热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

2018上半年互联网DDoS攻击趋势分析

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~2018年上半年DDoS攻防仍如火如荼发展,以IoT设备为反射点的SSDP反射放大尚未平息,MemcachedDDoS又异军突起

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~

2018年上半年DDoS攻防仍如火如荼发展,以IoT设备为反射点的SSDP反射放大尚未平息,Memcached DDoS又异军突起,以最高可达5万的反射放大倍数、峰值可达1.7Tbps的攻击流量成为安全界关注的新焦点。DDoS这一互联网公敌,在各种防御设备围追堵截的情况下,攻击者夜以继日地钻研对抗方法、研究新的攻击方式;而且往平台化、自动化的方向发展,不断增强攻击能力。这里我们从2018年上半年DDoS攻击情况的全局统计、DDoS黑色产业链条中的人员分工与自动化操作演进两个方面进行分析阐述。

一、全局统计分析

1. 2013~2018年DDoS流量峰值情况

DDoS攻击流量峰值每年都不断地被超越,今年3月份针对某游戏攻击的Memcached DDoS,其峰值1.7Tbps达到了一个新的高度。虽然已经关闭了大量的Memcached的UDP端口,但其5万的反射放大倍数,仍使攻击者可利用少量未关停UDP端口的Memcached反射点,打出大流量攻击。所以短短的三个月,Memcached DDoS已成为反射放大的一股主要力量。

img

2. DDoS攻击行业分类情况

随着各行各业的互联网化,DDoS的攻击面也越来越多,这里我们列出了14种主要行业。游戏行业因其日流水量最大、变现快,一直站在利益的风口浪尖上,当仁不让地成为DDoS首选的攻击目标,也是上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后,也遭受到了不同程度的攻击,且呈上升的趋势。

在游戏行业当中,手机游戏已超过了PC客户端游戏成为了DDoS攻击的主要目标。H5游戏的崛起,也成为了DDoS的关注点,占整体攻击的1.4%。这里我们首次把游戏的第三方服务归结到游戏中,游戏的飞速发展催生了大量的第三方服务商,包括但不限于游戏虚拟财产买卖平台、数据分析、电竞、美术/音乐外包、游戏云服务、游戏资讯等各个环节。

img

3. DDoS攻击的类型占比统计

在攻击类型中,反射放大占比最多,约为55.8%。Memcached作为今年三月以来的新兴反射放大力量,迅速被DDoS黑产界利用,其在整体的占比中也相当大。反射放大占比如此之多的一个原因是DDoS黑产的自动平台化,即无需人工干预,完全自动流程可完成攻击的所有操作。

SYN Flood 排名第二,其一直是DDoS的主要攻击手法。随着DDoS黑产的平台化,SYN Flood的载体也发生了改变,由海量的肉鸡渐渐转移到了发包机上(以伪造源IP的SYN Flood为主)。

HTTP Flood作为7层攻击的主要方式,因为要建立完整的TCP连接,不能够伪造源IP,所以还是以肉鸡侧发动攻击为主。但云鼎实验室监测发现,HTTP Flood也开始向代理服务器和发包机发展。在互联网上获取海量的代理服务器相比肉鸡的抓取容易很多,以代理服务器频繁地变换真实的IP,再加上交互的模拟,可以使HTTP Flood很难被发现。而发包机的方式,虽不能变换IP,但可以频繁变换UserAgent的内容,以突破针对HTTP Flood的防御。

img

下图给出了几种反射放大的反射源地域分布情况,从抽样数据统计可见,LDAP、NTP、Memchached为主的反射源Top 10的国家重合度很高,以美国、中国、欧洲国家为主。SSDP反射源因IoT设备的问题,导致其地域分布有所不同。

img

4. DDoS所对应的C2地域分布

近年来国内的互联网安全措施持续加强,通过监控发现,在国内的C2渐渐有外迁的现象。还有一些持有高性能肉鸡的黑客,看到了虚拟货币的逐利远远大于DDoS攻击,将一部分高性能肉鸡转去挖矿。鉴于以上原因针对用于DDoS的C2监控难度越来越大。

img

5. 家族情况

通过对攻击家族的监控,主要以Xorddos,Billgates,Mayday,Dofloo,Nitol,Darkshell等家族为主。Xorddos是发起攻击最多的家族,甚至每天多达上万次的攻击;攻击类型多以SYN Flood为主、其他攻击类型为辅的组合攻击。Nitol家族是发起HTTP Flood攻击最多的家族,还会输出SYNFlood, ICMP Flood, TCP Flood等攻击。以上家族攻击的统计中,针对各个行业的攻击都有涉猎,游戏行业无疑是攻击的首选。

6. 被攻击IP的地域情况

DDoS攻击目标按地域分布统计中,国外受攻击最多的国家是美国,其次是韩国、欧洲国家为主,DDoS攻击的主要目标还是聚集在互联网发达的国家中。

img

在国内各省的统计来看,受到DDoS攻击较多的省份在长三角、珠三角和京津片区,即中国的互联网发达省份,其中以江浙两省最多。

img

7. 每月百G以上攻击流量情况

以每月超过百Gbps的攻击次数统计来看,百Gbps流量分层占比相差不多。100-200Gbps占比最大,基本都在75%以上,而超过300Gbps的流量攻击次数较少。

img

8. 攻击流量带宽分布情况

在攻击流量的分层统计上,1-5G的攻击次数最多,占比约38%。通过统计可得到,大多数的攻击为100Gbps以下的流量攻击,超过百G的攻击累计占总攻击次数不到5%。整体的攻击流量的平均峰值约在5.2Gbps左右。

img

9. 攻击时长分布占比情况

在攻击时长来看,占比最多是1min以下的攻击,约占38.7%。其主要攻击方式是瞬时攻击,以极大的流量直接瘫痪掉攻击的服务,导致大量用户掉线、延迟、抖动等。5-10min也占相当大比例,约28.7%。抽样统计得出,平均攻击时长约1h,单次攻击最长时长约54天。

img

二、DDoS黑色产业链条演进

我们从黑产中的人员分工与自动化操作两个方面进行DDoS发展的阐述。

1. 传统DDoS攻击

早期的DDoS一般是黑客一个人的游戏,从工具开发、bot传播、接单、攻击等都独自完成。随着互联网经济的飞速发展,网络攻击获利越来越多,催生了DDoS攻击的大量需求,例如竞品的攻击、DDoS勒索等。高额的利益便会催生对应工作的精细化分工,DDoS的黑产也不例外,我们针对传统DDoS攻击的专业化人员分工进行分析:

  • 发单人:也可以称为金主,是DDoS攻击后的直接获利者,提出攻击需求。
  • 担保商:也可以称为中间人,是DDoS黑产中较出名的人物,在各个不同分工人员间做“信任”担保,与交易环节的资金中转工作。担保商也会自己架设接发单平台或即时通讯工具群等形式来扩大自己的知名度,带来更多的DDoS攻击业务。
  • 接单人:也可以称为攻击手,通过操作C2服务器或发包机直接发起DDoS攻击。
  • 流量商:通过担保商或直接将国外购买的流量服务器,售卖给攻击手。
  • 肉鸡商:手头拥有大量的肉鸡资源,通过担保商或直接将肉鸡售卖/出租给攻击手。
  • 黑客软件作者:开发botnet程序,反射放大程序等各种DDoS工具。

这样的多种分工,使DDoS在技术难度上被拆解,技术门槛降低,部署更容易。同时给互联网安全人员的分析与溯源带来更大的困难。在分析中我们发现,有一些人员也可能同时担当多个角色。

虽然这种比较早期的DDoS攻击分工已十分成熟,但还是存在一定的不足之处:

  • 成单难以保障:担保商、接单人都具有不确定性,发单人付费后,可能会存在针对目标的攻击没有效果或根本没有发起攻击的情况,给发单人造成经济损失。
  • 响应周期较长:从发单人提出需求到真正达到攻击效果,需要发单人、担保商(或其搭建的各种对接平台/即时通讯工具群等)、接单人等几个环节,时间上需要几小时到几天不等。
  • 攻击效果不能保证:攻击手一般手动远程操作C2服务器或发包机针对目标服务器进行攻击,攻击手所掌握的botnet或发包机规模不同,攻击的流量达不到保证。

img

2. 目前DDoS攻击

鉴于传统DDoS攻击的不足,促使了DDoS的多个环节的自动化发展,页端DDoS攻击平台便是发展的结果之一。其高度集成管理,在成单率、响应时长、攻击效果方面都得到了可行的解决。在人员分工上,有了新的发展:

担保商淡出DDoS黑产圈,发单人可直接在页端DDoS攻击平台下单、支付费用;且可以根据自己的攻击目标的情况选择攻击方式与流量大小。保障了百分之百的成单率。

攻击手已被自动化的攻击平台取代,不需要手动操作攻击。从发起攻击命令,到真正开始攻击,一般延时在10s左右,再也不用等几小时或几天了。

发包机提供人替代了流量商角色,且完成发包机的程序部署,测试,最终给出发包机的攻击类型、稳定流量、峰值流量等各种定量且稳定的攻击能力。稳定的攻击流量,保障了最终的攻击效果。

站长成为了页端DDoS攻击平台的核心人员,进行平台的综合管理、部署、运维工作。例如:DDoS攻击套餐管理、注册用户(金主)管理、攻击效果与流量稳定保障、及后续的升级等。

img

不同的页端DDoS攻击平台也有不同的实现,但其操作流程、核心攻能都很相似,下图给出了其技术的解读。从此图中可见,在用户注册、套餐付费、攻击发起,在用户侧都可以完成,不需要其他人员参与。相对比传统DDoS攻击来看,已完成了全自动的无人值守攻击方式。在图中的调用传统肉鸡的攻击形式很少,主要是调用发包机的攻击方式。发包机中主要配置的是反射放大的各种程序和其对应的反射源列表,偶尔会有伪造源IP的SYN Flood、动态变化UserAgent的HTTP Flood (如goldeneye工具)。

img

三、总结与趋势展望

综上所述,上半年的DDoS攻击,无论从流量还是次数的角度,都上升了一个新的高度。

DDoS黑色产业链的人员与技术的演进降低了整体DDoS入门的门槛,在溯源监控中,有的DDoS黑产团伙平均年龄 20 岁左右,甚至有未满 16 周岁的学生也是其中的一员。

在DDoS的整体防御上,建议用户采用具备大带宽储备和BGP资源的云服务商防御方案。如腾讯云大禹拥有30线BGP IP接入资源,丰富的场景化防护方案。

随着智能AI设备与物联网的飞速发展,DDoS的新宿主平台不断出现,DDoS攻防战会越来越激烈。可以预期,2018年下半年DDoS会呈现出多样化的发展:

  • 类似于Memcached DDoS的新反射放大方式会不断的被曝光与利用;
  • 智能设备的发展会催生出新平台下的botnet产生,且这些平台基本防护措施薄弱,更成了DDoS的温床;
  • 随着打击DDoS力度的不断加大,P2P式僵尸网络或半去中心化变种方式有望重回风口,让DDoS难于监控与溯源分析;
  • 基于暗网的DDoS平台将逐渐替代目前流行的页端DDoS攻击平台,让其平台的存活时间更长。

问答
如何防范DDos攻击?
相关阅读
游戏场景下的DDOS风险分析及防护
基于TCP反射DDoS攻击分析
初识常见DDoS攻击手段

此文已由作者授权腾讯云+社区发布,原文链接:https://cloud.tencent.com/developer/article/1146994?fromSource=waitui
欢迎大家前往腾讯云+社区或关注云加社区微信公众号(QcloudCommunity),第一时间获取更多海量技术实践干货哦~


推荐阅读
  • 技术日志:Ansible的安装及模块管理详解 ... [详细]
  • EST:西湖大学鞠峰组污水厂病原菌与土著反硝化细菌是多重抗生素耐药基因的活跃表达者...
    点击蓝字关注我们编译:祝新宇校稿:鞠峰、袁凌论文ID原名:PathogenicandIndigenousDenitrifyingBacte ... [详细]
  • 基于iSCSI的SQL Server 2012群集测试(一)SQL群集安装
    一、测试需求介绍与准备公司计划服务器迁移过程计划同时上线SQLServer2012,引入SQLServer2012群集提高高可用性,需要对SQLServ ... [详细]
  • 在Delphi7下要制作系统托盘,只能制作一个比较简单的系统托盘,因为ShellAPI文件定义的TNotifyIconData结构体是比较早的版本。定义如下:1234 ... [详细]
  • 本文介绍了如何利用HTTP隧道技术在受限网络环境中绕过IDS和防火墙等安全设备,实现RDP端口的暴力破解攻击。文章详细描述了部署过程、攻击实施及流量分析,旨在提升网络安全意识。 ... [详细]
  • 开机自启动的几种方式
    0x01快速自启动目录快速启动目录自启动方式源于Windows中的一个目录,这个目录一般叫启动或者Startup。位于该目录下的PE文件会在开机后进行自启动 ... [详细]
  • 秒建一个后台管理系统?用这5个开源免费的Java项目就够了
    秒建一个后台管理系统?用这5个开源免费的Java项目就够了 ... [详细]
  • 在分析和解决 Keepalived VIP 漂移故障的过程中,我们发现主备节点配置如下:主节点 IP 为 172.16.30.31,备份节点 IP 为 172.16.30.32,虚拟 IP 为 172.16.30.10。故障表现为监控系统显示 Keepalived 主节点状态异常,导致 VIP 漂移到备份节点。通过详细检查配置文件和日志,我们发现主节点上的 Keepalived 进程未能正常运行,最终通过优化配置和重启服务解决了该问题。此外,我们还增加了健康检查机制,以提高系统的稳定性和可靠性。 ... [详细]
  • 本文介绍了如何利用Shell脚本高效地部署MHA(MySQL High Availability)高可用集群。通过详细的脚本编写和配置示例,展示了自动化部署过程中的关键步骤和注意事项。该方法不仅简化了集群的部署流程,还提高了系统的稳定性和可用性。 ... [详细]
  • 数字图书馆近期展出了一批精选的Linux经典著作,这些书籍虽然部分较为陈旧,但依然具有重要的参考价值。如需转载相关内容,请务必注明来源:小文论坛(http://www.xiaowenbbs.com)。 ... [详细]
  • CentOS 7环境下Jenkins的安装与前后端应用部署详解
    CentOS 7环境下Jenkins的安装与前后端应用部署详解 ... [详细]
  • 在Kubernetes上部署多个Mitmproxy代理服务器以实现高效流量管理 ... [详细]
  • 点互信息在自然语言处理中的应用与优化
    点互信息(Pointwise Mutual Information, PMI)是一种用于评估两个事件之间关联强度的统计量,在自然语言处理领域具有广泛应用。本文探讨了 PMI 在词共现分析、语义关系提取和情感分析等任务中的具体应用,并提出了几种优化方法,以提高其在大规模数据集上的计算效率和准确性。通过实验验证,这些优化策略显著提升了模型的性能。 ... [详细]
  • HBase在金融大数据迁移中的应用与挑战
    随着最后一台设备的下线,标志着超过10PB的HBase数据迁移项目顺利完成。目前,新的集群已在新机房稳定运行超过两个月,监控数据显示,新集群的查询响应时间显著降低,系统稳定性大幅提升。此外,数据消费的波动也变得更加平滑,整体性能得到了显著优化。 ... [详细]
  • Python 伦理黑客技术:深入探讨后门攻击(第三部分)
    在《Python 伦理黑客技术:深入探讨后门攻击(第三部分)》中,作者详细分析了后门攻击中的Socket问题。由于TCP协议基于流,难以确定消息批次的结束点,这给后门攻击的实现带来了挑战。为了解决这一问题,文章提出了一系列有效的技术方案,包括使用特定的分隔符和长度前缀,以确保数据包的准确传输和解析。这些方法不仅提高了攻击的隐蔽性和可靠性,还为安全研究人员提供了宝贵的参考。 ... [详细]
author-avatar
jlxx19_937
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有