1. DDoS簡介:
1.1 DdoS定義:
DDOS是什么?分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術,主控程序能在幾秒鐘內激活成百上千次代理程序的運行。
DDOS攻擊又是什么呢?其實DDOS就是DDOS攻擊,是同一種技術。DDOS全稱為Distributed Denial of Service,中文名為分布式拒絕服務攻擊,是一種常見的服務器攻擊技術。
DDOS攻擊的原理
DDOS攻擊最初被人們成為DOS(Denial of Service)攻擊,DOS攻擊的原理是:你有一臺服務器,我有一臺個人電腦,我就用我的個人電腦想你的服務器發送大量的垃圾信息,擁堵你的網絡,并加大你處理數據的負擔,降低服務器CPU和內存的工作效率。
隨著科技的告訴發展,類似DOS這樣一對一的攻擊已經起不了什么作用了,于是DDOS—分布式拒絕服務攻擊誕生了,其原理和DOS相同,不同之處在于DDOS攻擊是多對一進行攻擊,甚至達到數萬臺個人電腦在同一時間一DOS攻擊的方式攻擊一臺服務器,最終導致被攻擊的服務器癱瘓。
1.2 DDoS攻擊目的:
(1)商業惡性競爭:
商業競爭在互聯網這個萬億市場中尤為激烈。一些行業競爭者為了利益不擇手段、不顧法紀,通過DDoS攻擊妨礙競爭對手的業務活動,打擊對手的聲譽,從中獲取競爭優勢。其中,電商行業和在線游戲行業是重災區。
(2)敲詐勒索:
DDoS由于成本低、實施容易等特點,在較早期就開始成為黑客在網絡上進行敲詐勒索、收取“保護費”的主要方式。
1.3 DDos常見攻擊類型
資源耗盡型:這種攻擊消耗網絡帶寬或使用大量數據包淹沒一個或多個路由器、服務器和防火墻;帶寬攻擊的普遍形式是大量表面看合法的 TCP、UDP 或 ICMP 數據包被傳送到特定目的地;為了使檢測更加困難,這種攻擊也常常使用源地址欺騙,并不停地變化。這種攻擊相對而言更加難以防御,因為合法數據包和無效數據包看起來非常類似。,通常出現流量性攻擊時,高防服務器能夠對數據進行實時的監控并進行智能的識別與分流,在高防服務器的流量防御范圍內都能對流量型的攻擊進行很好的防御
導致異常型:利用TCP和HTTP等協議定義的行為來不斷占用計算資源以阻止它們處理正常事務和請求。HTTP 半開和 HTTP 錯誤就是應用攻擊的兩個典型例子,緩存溢出攻擊-試圖在一個緩存中存儲超出其設計容量的數據。這種多出的數據可能會溢出到其他的緩存之中,破壞或者覆蓋其中的有效數據。
應用層攻擊——這種攻擊的目標是應用或7層網絡服務的某些方面。
常見的DDoS攻擊類型有哪些
(1).TCP SYN泛洪攻擊
通常在進行 TCP 連接需要進行三次握手。當客戶端向服務端發出請求時,首先會發送一個 TCP SYN 數據包。而后,服務器分配一個控制塊,并響應一個 SYN ACK 數據包。服務器隨后將等待從客戶端收到一個 ACK 數據包。如果服務器沒有收到ACK 數據包,TCP連接將處于半開狀態,直到服務器從客戶端收到ACK數據包或者連接因為 time-to-live(TTL)計時器設置而超時為止。在連接超時的情況下,事先分配的控制塊將被釋放。當一個攻擊者有意地、重復地向服務器發送 SYN 數據包,但不對服務器發回的SYN ACK 數據包答復 ACK 數據包時,就會發生 TCP SYN 泛洪攻擊。這時,服務器將會失去對資源的控制,無法建立任何新的合法TCP連接。
(2).UDP flood
UDP flood 又稱UDP洪水攻擊或UDP淹沒攻擊,UDP是沒有連接狀態的協議,因此可以發送大量的 UDP 包到某個端口,如果是個正常的UDP應用端口,則可能干擾正常應用,如果是沒有正常應用,服務器要回送ICMP,這樣則消耗了服務器的處理資源,而且很容易阻塞上行鏈路的帶寬。常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100k pps的UDPFlood經常將線路上的骨干設備例如防火墻打癱,造成整個網段的癱瘓。在UDPFLOOD攻擊中,攻擊者可發送大量偽造源IP地址的小UDP包。但是,由于UDP協議是無連接性的,所以只要開了一個UDP的端口提供相關服務的話,那么就可針對相關的服務進行攻擊,正常應用情況下,UDP包雙向流量會基本相等,而且大小和內容都是隨機的,變化很大。出現UDPFlood的情況下,針對同一目標IP的UDP包在一側大量出現,并且內容和大小都比較固定。
(3).ICMP flood
ICMP flood是通過 通過高速發送大量的ICMP Echo Reply數據包,導致目標網絡的帶寬瞬間就會被耗盡,阻止合法的數據通過網絡。ICMP Echo Reply數據包具有較高的優先級,在一般情況下,網絡總是允許內部主機使用PING命令。這將導致系統不斷地保留它的資源,直到無法再處理有效的網絡流量。攻擊者可以通過發送一個偽造的ICMP Destination Unreachable或Redirect消息來終止合法的網絡連接。更具惡意的攻擊,如puke和smack,會給某一個范圍內的端口發送大量的數據包,毀掉大量的網絡連接,同時還會消耗受害主機CPU的時鐘周期。還有一些攻擊使用ICMP Source Quench消息,導致網絡流量變慢,甚至停止。Redirect和Router Announcement消息被利用來強制受害主機使用一個并不存在的路由器,或者把數據包路由到攻擊者的機器,進行攻擊。
(4).Smurf 攻擊
Smurf 攻擊的主要方式為攻擊者會向接收站點中的一個廣播地址發送一個IP ICMP ping(即“請回復我的消息”)。Ping 數據包隨后將被廣播到接收站點的本地網絡中的所有主機。該數據包包含一個“偽裝的”源地址,即該DoS攻擊的對象的地址。每個收到此 ping 數據包的主機都會向偽裝的源地址發送響應,從而導致這個無辜的、被偽裝的主機收到大量的ping 回復。如果收到的數據量過大,這個被偽裝的主機就將無法接收或者區分真實流量。
(5).Fraggle攻擊
Fraggle攻擊與Smurf攻擊類似,只是利用UDP協議。攻擊者掌握著大量的廣播地址,并向這些地址發送假冒的UDP包,通常這些包是直接到目標主機的7號端口——也就是Echo端口,而另一些情況下它卻到了Chargen端口,攻擊者可以制造一個在這兩個端口之間的循環來產生網絡阻塞。
(6).Land
Land主要是采用目標和源地址相同的UDP包攻擊目標。在Land攻擊中,一個特別打造的SYN包中的原地址和目標地址都被設置成某一個服務器地址,這時將導致接受服務器向它自己的地址發送SYN一ACK消息,結果這個地址又發回ACK消息并創建一個空連接,每一個這樣的連接都將保留直到超時掉。對Land攻擊反應不同,許多UNIX實現將崩潰,而 Windows NT 會變的極其緩慢(大約持續五分鐘)。Land 攻擊發生的條件是攻擊者發送具有相同IP源地址、目標地址和TCP端口號的偽造TCP SYN數據包信息流。必須設置好SYN標記。其結果是該計算機系統將試圖向自己發送響應信息,而受害系統將會受到干擾并會癱瘓或重啟。最近的研究發現Windows XP SP2和Windows 2003 的系統對這種攻擊的防范還是非常薄弱的。事實上,Sun的操作系統的高防服務器BSD和Mac對這種攻擊的防范都是非常薄弱的,所有這些系統都共享基于 TCP/IP 協議棧的BSD。
(7).Trinoo 攻擊
的攻擊方法是向被攻擊目標主機的隨機端口發出全零的4字節 UDP 包,在處理這些超出 其處理能力的垃圾數據包的過程中,被攻擊主機的網絡性能不斷下降,直到不能提供正常服務,乃至崩潰。它對IP 地址不做假,采用的通訊端口是:攻擊者主機到主控端主機:27665/TCP 主控端主機到代理端主機:27444/UDP 代理端主機到主服務器主機:31335/UDP.
(8).Stacheldraht
Stacheldraht是基于TFN和trinoo一樣的客戶機/服務器模式,其中Master程序與潛在的成千個代理程序進行通訊。在發動攻擊時,侵入者與master程序進行連接。Stacheldraht增加了新的功能:攻擊者與master程序之間的通訊是加密的,對命令來源做假,而且可以防范一些路由器用RFC2267過濾,若檢查出有過濾現象,它將只做假IP地址最后8位,從而讓用戶無法了解到底是哪幾個網段的哪臺機器被攻擊;同時使用rcp (remote copy,遠程復制)技術對代理程序進行自動更新。Stacheldraht 同TFN一樣,可以并行發動數不勝數的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發動的攻擊包括UDP 沖擊、TCP SYN 沖擊、ICMP 回音應答沖擊
(9).TFN2K
TFN2K 是由德國著名黑客Mixter編寫的同類攻擊工具 TFN 的后續版本,在 TFN 所具有的 特性上,TFN2K 又新增一些特性,TFN2K 通過主控端利用大量代理端主機的資源進行對一個 或多個目標進行協同攻擊。當前互聯網中的 UNIX、Solaris 和 Windows NT 等平臺的主機能被 用于此類攻擊,而且這個工具非常容易被移植到其它系統平臺上。
(10).Ping of Death
是一種拒絕服務攻擊,方法是由攻擊者故意發送大于65535字節的ip數據包給對方。 TCP/IP的特征之一是碎裂;它允許單一IP包被分為幾個更小的數據包。在1996年,攻擊者開始利用那一個功能,當他們發現一個進入使用碎片包可以將整個IP包的大小增加到ip協議允許的65536比特以上的時候。當許多操作系統收到一個特大號的ip包時候,它們不知道該做什么,因此,服務器會被凍結、當機或重新啟動。ICMP的回送請求和應答報文通常是用來檢查網路連通性,對于大多數系統而言,發送ICMP echo request 報文的命令是ping ,由于ip數據包的最大長度為65535字節。而ICMP報頭位于數據報頭之后,并與ip數據包封裝在一起,因此ICMP數據包最大尺寸不超過65515字節利用這一規定,可以向主機發動 ping of death 攻擊。ping of death 攻擊 是通過在最后分段中,改變其正確的偏移量和段長度的組合,使系統在接收到全部分段并重組報文時總的長度超過了65535字節,導致內存溢出,這時主機就會出現內存分配錯誤而導致TCP/IP堆棧崩潰,導致死機。
(11).Tear drop
攻擊利用UDP包重組時重疊偏移(假設數據包中第二片IP包的偏移量小于第一片結束的位移,而且算上第二片IP包的Data,也未超過第一片的尾部,這就是重疊現象。)的漏洞對系統主機發動拒絕服務攻擊,最終導致主機菪掉;對于Windows系統會導致藍屏死機,并顯示STOP 0x0000000A錯誤。對付這種類型得攻擊最好的方法就是要及時為操作系統打補丁了,但是Teardrop攻擊仍然會耗費處理器的資源和主機帶寬。
(12).WinNuke攻擊
WinNuke攻擊又稱“帶外傳輸攻擊”,它的特征是攻擊目標端口,被攻擊的目標端口通常是139,而且URG位設為1,即緊急模式。WinNuke攻擊就是利用了Windows操作系統的一個漏洞,向這些端口發送一些攜帶TCP帶外(OOB)數據報文,但這些攻擊報文與正常攜帶OOB數據報文不同的是,其指針字段與數據的實際位置不符,即存在重合。這樣Windows操作系統在處理這些數據的時候,就會崩潰。
(13).jolt2
基于因特網協議(IP)分組破壞的拒絕服務(DoS)攻擊,利用一個死循環不停的發送一個ICMP/UDP的IP碎片,讓設備不斷的處理這些分片,jolt2的影響相當大,通過不停的發送這個偏移量很大的數據包,不僅死鎖未打補丁的Windows系統,同時也大大增加了網絡流量。
(14).ICMP重定向攻擊
ICMP重定向報文是當主機采用非最優路由發送數據報時,設備會發回ICMP重定向報文來通知主機最優路由的存在。一般情況下,設備僅向主機而不向其它設備發送ICMP重定向報文,但一些惡意的攻擊可能跨越網段向另外一個網絡的主機發送虛假的重定向報文,以改變主機的路由表,破壞路由,干擾主機正常的IP報文轉發,并以此增強其竊聽能力。
(15).蠕蟲
蠕蟲是一些獨立的程序,可以自行攻擊系統和試圖利用目標的漏洞。在 成功地利用漏洞之后,蠕蟲會自動地將其程序從攻擊主機復制到新發現的系統, 從而再次啟動循環。蠕蟲會將自身的多個復本發送到其他的計算機,例如通過 電子郵件或者互聯網多線交談(IRC)。有些蠕蟲(例如眾所周知的紅色代碼和 NIMDA 蠕蟲)具有 DDoS 攻擊的特征,可能導致終端和網絡基礎設施的中斷。
OSI層?
2. 全球&全國DDOS攻擊情況?
2.1 2017Q1DDOS總體趨勢預覽
雖然今年第一季度的DDoS攻擊次數比上個季度下降了23%。但是,每次攻擊的平均峰值規模卻增加了近26%。此外,攻擊者還對目標進行了持續和反復的攻擊。事實上,在本季度中,幾乎50%經歷過DDoS攻擊的客戶都遭遇過多次有針對性的攻擊。
在2017年第一季度中DDoS攻擊仍然是不可預測且持續的,且在速度及復雜性等方面差別很大。為了對抗這些攻擊,不斷監測攻擊的變化趨勢顯得越來越重要,以便可以及時優化緩解策略。
觀察上圖我們發現,從2016年第一季度以來每季度的平均攻擊峰值都超過了10Gbps。
多向量DDoS攻擊成常態
該報告還顯示,在第一季度中,57%的DDoS攻擊使用了多個攻擊向量,范圍從兩個到五個以上不等。其中,43%的攻擊者只使用一個攻擊載體;25%的攻擊者使用兩個;17%的攻擊者使用了三個;8%的攻擊者使用了四個;6%的攻擊者使用了五個及以上攻擊向量。這意味著,攻擊本質上變得更為復雜了,他們試圖使用幾種不同的攻擊類型來占用網站資源。
DDoS攻擊類型
UDP洪水攻擊在2017年第一季度中繼續保持領先,占本季度總攻擊的46%。最常見的UDP洪水攻擊是域名系統(DNS)反射攻擊,其次是網絡時間協議(NTP)和簡單服務發現協議(SSDP)反射攻擊。
雖然基于UDP的攻擊類型繼續占據主導地位,但是基于TCP的攻擊數量卻呈增加趨勢,占據總攻擊的33%。TCP攻擊主要由TCP SYN和不同數據包大小的TCP RST組成。
最大容量的攻擊和最高強度的洪水
在第一季度發現的最大規模DDoS攻擊。這是一個峰值達到120Gbps的多向量攻擊,吞吐量約為90 Mpps,其目標受到60 Gbps攻擊的時間超過15個小時。
此外,攻擊者非常堅持試圖通過在超過兩個星期的時間內,每天發送攻擊流量來破壞受害者的網絡。攻擊主要由TCP SYN和不同數據包大小的TCP RST組成,并采用與未來IoT僵尸網絡相關的攻擊。該次攻擊還包括UDP洪水和IP片段,增加了攻擊的數量。
不同行業的DDoS攻擊現狀和平均攻擊規模
遭遇DDoS攻擊最頻繁的是IT/云/SaaS行業,占據所有惡意活動的58%,平均攻擊規模為22.5Gbps;金融部門排在第二,占據28%(比上一季度增加了7%),平均攻擊規模為1.7Gbps。具體分布如下所示:
大規模的DDoS攻擊越來越司空見慣,雖然如今網絡技術發展迅速,但是面對日益復雜多變的DDoS攻擊,企業往往還是不堪一擊,目前針對金融行業的DDoS攻擊正呈不斷上升趨勢,相關行業還需提早做好準備,迎接更為嚴峻的挑戰。
2.2 2017Q1 DDOS全球攻擊情況
第一季度僵尸網絡輔助DDoS攻擊統計
Q4 2016 vs. Q1 2017各國DDoS攻擊分布
數據顯示,2017年第一季度最易受攻擊的國家占所有DDoS供給數量的95.1%
DDoS攻擊數量
2017年第一季度,每日DDoS攻擊數量在86到994次。攻擊量最高的日期分別是1月1日(793次)、2月18日(994次)和2月20日(771次)。而最安靜的日子是2月3日(86次),2月6日(95次),2月7日(96次)及3月15日(91次)。
一個星期中,每天DDoS攻擊量和前一季度幾乎沒有變化。周六(16.05%)是攻擊量最高的日子,周一(12.28%)則是最平靜的。
DDoS攻擊的類型和持續時間
2017年第一季度,TCP DDoS攻擊的數量和比例急劇上升,從10.36%上升到26.62%。UDP和ICMP攻擊量也有所增長,分別從2.19%和1.41%增長至8.71%和8.17%。同時,SYN DDoS和HTTP的攻擊量則有大幅下降。
TCP攻擊比例的增加是由于Yoyo、Drive和Nitol機器人活動量更大。ICMP攻擊增長則是Yoyo和Darkrai的結果。
第一季度,很少有攻擊持續超過100個小時。大部分攻擊持續時間不超過4小時(82.21%),比前一季度有所增長。但是,持續時間更長的攻擊的比例則有所下降,例如,持續時間在50-99小時的攻擊僅占0.24%,和2016年第四季度(0.94%)比下降明顯。持續時間在5-9小時的攻擊份額也從19.28%降至8.45%;持續10-19小時的攻擊從7%下降到5.05%;持續20-49小時的攻擊比例略有增加。
另外,第一季度持續時間最長的DDoS攻擊的時長是120小時,比上一季度的最長時間縮短172小時。
C&C服務器和僵尸網絡類型
第一季度,韓國檢測到的C&C服務器數量最多,從上季度的59.06%上升至66.49%。 美國(13.78%)位居第二,其次是荷蘭3.51%。中國從第二位降至第七位(1.35%)。
第一季度,操作系統的分布發生了巨大變化:基于Windows的DDoS機器人超越了新的物聯網機器人,占所有攻擊的59.81%。 這主要是由于Yoyo,Drive和Nitol都是為Windows開發的。
結論
2017年第一季度相當平靜,但有一些有趣的發展。盡管物聯網僵尸網絡越來越受歡迎,但基于Windows的機器人占所有攻擊的59.81%。 同時,只能用復雜的保護機制抵御的復雜攻擊正在變得越來越頻繁。
附 2016年全球DDOS 7大攻擊事件?
1.暴雪DDoS攻擊
4月,Lizard
Squad組織對暴雪公司戰網服務器發起DDoS攻擊,包括《星際爭霸2》、《魔獸世界》、《暗黑破壞神3》在內的重要游戲作品離線宕機,玩家無法登陸。名為“Poodle Corp”黑客組織也曾針對暴雪發起多次DDoS攻擊,8月三起,另一起在9月。攻擊不僅導致戰網服務器離線,平臺多款游戲均受到影響,包括《守望先鋒》,《魔獸世界》、《暗黑3》以及《爐石傳說》等,甚至連主機平臺的玩家也遇到了登陸困難的問題。
2.珠寶店遭遇25000個攝像頭組成的僵尸網絡攻擊
25000個攝像頭組成僵尸網絡發起DDoS攻擊,成為已知最大的CCTV(閉路電視攝像頭)僵尸網絡
3.Anonymous組織發起的“Operation OpIcarus”攻擊
2016年5月,Anonymous(匿名者)麾下的BannedOffline、Ghost Squad Hackers(幽靈黑客小隊)等黑客小組,針對全球范圍內的多家銀行網站,發動了短期性網絡攻擊,Anonymous將此次攻擊行動稱為:“Operation OpIcarus”。此次選定的攻擊目標包括約旦國家央行、韓國國家央行、摩納哥央行以及一些設立在摩納哥的企業銀行網站等,隨后黑客們對其實施了一系列的DDoS攻擊。這次攻擊導致約旦、韓國以及摩納哥等央行網絡系統陷入了半小時的癱瘓狀態,使其無法進行正常工作,而黑山國家銀行網絡系統則被迫關閉,停止服務。
4.精準的NS1攻擊
5月,DNS和流量管理供應商NS1(ns1.com)遭遇了歷時10天的針對性大規模DDoS攻擊,它通過執行上游流量過濾和使用基于行為的規則屏蔽了大部分攻擊流量。攻擊者沒有使用流行的DNS放大攻擊,而是向NS1的域名服務器發送編程生成的DNS查詢請求,攻擊流量達到了每秒5000萬到6000萬數據包,數據包表面上看起來是真正的查詢請求,但它想要解析的是不存在于NS1客戶網絡的主機名。攻擊源頭也在東歐、俄羅斯、和美國的不同僵尸網絡中輪換。
5.五家俄羅斯銀行遭遇DDoS攻擊
11月10日,俄羅斯五家主流大型銀行遭遇長達兩天的DDoS攻擊。來自30個國家2.4萬臺計算機構成的僵尸網絡持續不間斷發動強大的DDOS攻擊。卡巴斯基實驗室提供的分析表明,超過50%的僵尸網絡位于以色列、臺灣、印度和美國。每波攻擊持續至少一個小時,最長的不間斷持續超過12個小時。攻擊的強度達到每秒發送66萬次請求。卡巴斯基實驗室還指出,有些銀行反復遭受被攻擊。
6.Mirai僵尸網絡攻擊KrebsonSecurity
9月20日,安全研究機構KrebsonSecurity遭遇Mirai攻擊,當時被認為是有史以來最大的一次網絡攻擊之一。然而沒過多久,法國主機服務供應商OVH也遭到了兩次攻擊,罪魁禍首是Mirai。KrebsonSecurity被攻擊時流量達到了665GB,而OVH被攻擊時總流量則超過了1TB。Mirai是一個十萬數量級別的僵尸網絡,由互聯網上的物聯網設備(網絡攝像頭等)構成,8月開始構建,9月出現高潮。攻擊者通過猜測設備的默認用戶名和口令控制系統,將其納入到Botnet中,在需要的時候執行各種惡意操作,包括發起DDoS攻擊,對互聯網造成巨大的威脅。
7.美國大半個互聯網下線事件
10月21日,提供動態DNS服務的Dyn DNS遭到了大規模DDoS攻擊,攻擊主要影響其位于美國東區的服務。此次攻擊導致許多使用DynDNS服務的網站遭遇訪問問題,其中包括GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify和Shopify。攻擊導致這些網站一度癱瘓,Twitter甚至出現了近24小時0訪問的局面。
2.3 2016年全國DDOS攻擊情況
攻擊目標?
在360 威脅情報中心監測到的所有DDoS 攻擊中,70.5通過對2016 年DDoS 攻擊的抽樣分析顯示:從被攻擊次數來看,約33.7%(三分之一)的被攻擊網站為沒有ICP/IP 備案的非法網站(不包括合法境外網站),數量占比最高。這些被攻擊的非
法網站提供的服務主要是游戲私服、色情信息和網上賭博等。排在第二位的被攻擊網站類型是在線服
務類網站,占比為27.5%,主要包括門戶網站、新聞網站和生活服務類網站等。排在第三至第五的
網站類型分別是企業網站,網絡服務和生活娛樂。詳細信息參見表1。其中,網絡服務是指DNS、
CDN、云服務、大數據服務等基礎網絡服務。
DDOS攻擊地下產業鏈
表1 DDoS 攻擊網站類型分布
被攻擊網站流量損失的比例分布情況
攻擊強度
在監測到的所有DDoS 攻擊中,70.5% 的攻擊帶寬小于1Mbps,而小于
10Mbps 的攻擊占比接近90%。100Mbps-1Gbps 的攻擊僅占2.2%,而大于1Gbps 的攻擊則僅
占0.2%。
而從攻擊時長來看,近七成的DDoS 攻擊持續時間小于10 分鐘,而持續時間在10 分鐘-1 小
時的攻擊占比約為30.5%,持續時間超過1 小時的攻擊占比僅為0.1%。總體而言,短時、小量的
攻擊仍然是DDoS 攻擊的主流。下圖給出了DDoS 攻擊的帶寬和時長分布統計。
為了進一步分析DDoS 攻擊的時間分布特性。我們對部分網站的業務流量峰值與DDoS 攻擊發
生的時間進行了抽樣比對分析。統計顯示:約有兩成(17%)的DDoS 攻擊為高精準攻擊,攻擊時
間與被攻擊網站的業務流量高峰時段高度重合,重合度在80% 以上。另有73% 的DDoS 攻擊時間
與網站的業務流量重合度在40%-70% 之間。而業務重合度低于30% 的DDoS 攻擊,僅占比10%
左右。由此可見,DDoS 攻擊具有很強的策略性和針對性。
僵尸網絡
一、僵尸網絡地域分布
DDoS 攻擊主要由受控的僵尸網絡發動。統計顯示,在世界范圍內(不含中國),南美洲的委
內瑞拉和美國是最為主要的僵尸網絡攻擊源,在攻擊源頭中占比分別高達33.4% 和32.4%。其它的
僵尸網絡則主要集中在印度尼西亞、日本、新加坡、泰國、越南、印度、馬來西亞等亞洲沿海國家。
下面兩圖給出了全球僵尸網絡的國家分布情況。
而從國內的僵尸網絡情況來看,廣東是僵尸網絡最多的省級行政區,國內占比高達14.5%。其
次是浙江7.7%,河南6.3%,北京、四川緊隨其后。
下面兩圖給出了國內僵尸網絡的地域分布情況。
二、僵尸網絡的操控
2015 年全年,360 威脅情報中心共監測到僵尸網絡主控服務器13599 個。這些主控服務器是
大量僵尸網絡的控制者,可以稱得上是僵尸網絡中的僵尸王。
通過對僵尸網絡主控服務器的追蹤分析顯示:有45.0% 主控服務器會使用固定IP 地址,而另
外的55.0% 的主控服務器則會使用固定域名。此外,約有27.7% 的主控服務器的生存周期不滿1 天;
生存周期在2 天至一周的約占比15.9%;生存周期在一周以上,一個月一下的為22.1%。另有7%
以上的主控服務器生存周期超過半年,更有1.2% 的主控服務器生存周期超過一年。總體而言,主控
服務器的生存周期比一般的木馬網站或釣魚網站(生存周期通常不超過48 小時)要長得多,這也就
為我們定位、追蹤僵尸網絡提供了更多的機會。
從端口來看,約有16.7% 的僵尸網絡主控服務器選擇一些特殊端口號來進行自我身份偽裝。其中,
偽裝成系統服務,即端口號在1-1024 之間(不包括80,443)的主控服務器占比為9.5%,偽裝
成網站的(80、8000、8080、443 等)的為7.2%:80 占2.9%,8000 占1.1%,8080 占1.0%,
443(偽裝成加密網站)占2.3%。
從尸王級主控服務器的全球地域分布來看,中美俄排名前三:44.3% 的主控服務器在中國境內;美國則是最大的海外控制源,占比為19.8%;俄羅斯排第三,占比為6.8%。
從尸王級主控服務器的境內分布來看,江蘇的主控服務器數量最多,占比為27.6%;廣東次之,
占比為17.5%,香港位列第三,占比為8.3%。
此外,監測還顯示,僵尸網絡之間也存在著“黑幫械斗”和“聯手結盟”的情況。我們即能看到
幾個分屬不同派別的僵尸網絡有相互攻擊的明顯跡象,同時也能看到分屬不同派別的僵尸網絡會在一
定時間內突然同時對同一目標發動攻擊。
造成這種情況的主要原因有兩個方面,一個是黑產之間本來就存著相互競爭與合作的關系;二是
黑產的攻擊行動往往取決于金主的需求和意圖:同一個金主同時雇傭了不同派系的DDoS 黑幫,不
同派系的僵尸網絡就會呈現出協同合作的態勢;而相互斗爭的金主分別雇傭不同派系的DDoS 黑幫
進行相互攻擊,就有可能出現不同派系的僵尸網絡相互攻擊的情況。
DDOS攻擊類型
從技術角度看,SYN Flood、UDP Flood 和DNS Flood 是最主要的三種攻擊類型,從攻擊次
數來看,總占比接近98.9%。SYN Flood 攻擊仍然是最為主要的攻擊方式,占DDoS 攻擊總量的
55.6%,超過半數;其次是UDP Flood,占比為37.5%,其中絕大多數為AMP 攻擊;DNS Flood
占比為5.78%。
下圖給出AMP 攻擊的一些細分類型的分布情況。其中,NTP 攻擊占比最高,為45.0%,其次
是SSD,占比為34.6%,兩者之和約占AMP 攻擊總量的80%。
下圖給出了不同類型DDoS 攻擊的24 小時時間分布對比情況。其中可以看出,在2015 年的
DDoS 攻擊中,SYN Flood 與AMP(UDP Flood)攻擊在一天24 小時中的分布都比較均勻,并
沒有攻擊量特別突出的時段。但DNS Flood 則比較明顯的主要集中在深夜和凌晨。
下圖給出了不同類型DDoS 攻擊的攻擊時長分布對比。總體來看,不同類型的DDoS 攻擊,攻
擊時長的分布差異不大。
下圖給出了DDoS 攻擊黑色產業鏈的基本模型分析。
木馬作者:研發用于DDoS 攻擊的后門程序及網站滲透工具的人。這些人通常并不直接參與
DDoS 攻擊,而是直接把自己研發的木馬程序賣給專門從事各種網絡攻擊的其他黑客。
網絡黑客:此處特指那些專門通過入侵網站或其他網絡服務系統,并在其中植入 DDoS 攻擊后
門程序的黑客。這些黑客入侵網站的主要手段有兩種:一是通過傳播木馬程序逐步滲透,并最終獲取
網站的控制權;二是利用網站漏洞,直接入侵網站并獲取控制權。而一旦DDoS 后門植入成功,相
關網站或網絡就成為了僵尸網絡。
地下承包商:這是專門將網絡黑客,以及黑客手中的僵尸網絡組織起來參與DDoS 攻擊黑產活
動的團伙。他們從下游的網絡黑幫手中承接任務,并分派給上游指定的網絡黑客,進而通過僵尸網絡
發動DDoS 攻擊。某些地下承包商還會搭建某種形式的交易平臺,用于協調和組織網絡黑客。
網絡黑幫:專門在互聯網上承攬各種DDoS 攻擊業務并收取服務費的黑幫團伙。網絡黑幫收取
服務費后還會進行洗錢及與上游各個環節進行分贓的工作。某些網絡黑幫甚至會公然搭建銷售平臺或
相關網頁來承接各種用戶業務。
下圖就是我們在某個專門承攬DDoS 攻擊業務的網站上下載的一份收費清單。從圖中可以看
出,該平臺提供的服務非常細致,可以根據攻擊的帶寬和攻擊的天數來進行差異化的收費。最便宜的
50M 包日服務,僅需30 元,100M 包月服務也只有500 元。但這樣的攻擊,已經足以讓某些中小
網站被打癱或打死。
同時,該平臺還能提供40G 以上的超大流量攻擊,其包月服務價也只有16800 元。而如果該
平臺確實能夠提供40G 帶寬攻擊的包月服務,那么可以說,絕大多數的中小網站,甚至是某些大型
網站都一定會被打死。從這個意義上說,只要肯花16800 元,你幾乎可以“雇兇”殺死任何一家網站。
總結 :DDoS攻擊是協奏、分布更為廣泛的大規模攻擊陣勢,破壞能力也是空前的,這使我們更深刻地認識到僅僅依靠某種系統或硬防服務器來防御DDoS攻擊是不夠的,應當把防御DDoS做成一個系統工程,全面考慮并作出部署,才能起到有效的防御作用。
