上个季度发现攻击者利用Memcached协议进行攻击,正如推测的那样,攻击者试图使用相当奇特的协议来放大DDoS攻击。例如,通过WS-Discovery多播协议。据研究人员称,网络罪犯最近才开始使用这种方法,但已经达到了350 Gbps的攻击能力。
概述
Trend Micro的研究人员发现了DDoS另一个新工具,是通过数据搜索和分析工具Elasticsearch的后门分发的新负载。该恶意软件之所以危险,是因为它采用了多阶段的感染方法,并成功地逃过了检测,可以用来创建僵尸网络发动大规模的DDoS攻击。
如今网络犯罪者更倾向于使用成熟的技术,而不是尝试新的技术。例如,当去年联邦调查局(FBI)取缔了一些廉价的DDoS出租网站时,新的DDoS立即取代了他们的位置,据报道,本季度的袭击比上一季度增加了400%。九月初,针对魔兽世界的几波攻击很可能就是通过这样的服务发起的。但如果是这样,攻击者并不是一个黑客组织的成员,而是一个DDoS出租服务的客户。
另一种攻击方法(类似于Mirai的僵尸网络),7月份针对流媒体服务发起了为期13天的应用级攻击,每秒高达292000个请求。这次攻击涉及大约40万台设备,主要是家庭路由器。
今年夏天和秋天发生的另外两起袭击是出于政治原因。8月31日,LIKG论坛是香港使用的主要网站之一,用来协调他们的行动。据网站所有者称,该网站在16小时内收到15亿个请求,导致其暂时离线,移动应用出现故障。不久之后,WIKI遭到了攻击。它从9月6日晚开始无法供欧洲、非洲和中东各国的用户使用。WIKI经常受到攻击,但这次攻击在容量和持续时间(三天)是异乎寻常的。
季度趋势
第三季度通常会看到DDoS活动在夏季的几个月内较为活跃,然后在九月份出现高峰。今年也不例外。
根据卡巴斯基DDoS防护的数据,第三季度智能攻击(即技术更先进、更巧妙的攻击)数量较上一季度大幅下降,这一指标与去年同期相比,足足有两倍多的增长。
从全年的增长情况来看,智能攻击的平均持续时间自第二季度以来几乎没有变化,但与2018年第三季度相比几乎翻了一番。同时,所有攻击的平均持续时间略有下降。
智能DDoS攻击在一般网络攻击流中所占份额的变化如下:
智能攻击占攻击总数的比例与上季度相比几乎减半,但与2018年第三季度相比上升了7个百分点。
与去年一样,9月的时间点与DDoS攻击数量的大幅上升密不可分。今年初秋,60%的DDoS活动都是针对教育相关资源:电子书籍、大学网站等。去年也观察到类似的情况,主要原因是学生们返回学校。这些攻击大多是业余人士进行的,没有经济收益。
与2018年9月相比,2019年9月的攻击总数增加了35次,2019年第3季度的攻击总数与2018年第3季度相比上升了32次,虽然这些数字大致相同,但智能攻击数量指标的差异要大得多:智能攻击总数增长了58个百分点,但9月份的智能攻击数量仅增长了27个百分点,平均时长甚至下降了三个百分点。
因此,在2019年第三季度,第一次观察到智能攻击的数量总数下降。很有可能DDoS市将趋于饱和并停止增长。
然而,根据过去几年的经验,在第四季度,预计所有关键指标(攻击总数和智能攻击;攻击持续时间)都会增长,因为年底是假日较多,有更多的商业活动,从而导致犯罪活动。
季度总结
1、中国仍然是攻击次数最多的国家,与第二季度(62.97%对63.80%)相比,所占份额几乎没有变化。
2、在攻击地域分布排名的前十名中,南非此前从未出现在我们的排行榜上,此次它排在第四位(2.40%),。
3、从目标数量上看:前3名分别是中国(57.20%)、美国(22.16%)和香港(4.29%)。
4、在过去的一个季度中,7月份为DDOS僵尸网络活动高峰;最高的一天是星期一(17.53%的攻击),最低的是星期天(10.69%)。
5、最长的攻击持续了超过11天(279小时),几乎是第二季度的一半。
6、最常见的攻击类型仍然是SYN泛洪(79.7%),其次是UDP泛洪(9.4%)。
7、与第二季度相比,Windows和Linux僵尸网络的份额几乎没有变化;Linux僵尸网络仍然占绝大多数(97.75%)。
8、僵尸网络C&C服务器数量排名为美国(47.55%)、荷兰(22.06%)、中国(6.37%)。
地理分布
与前几个季度一样,攻击次数最多的地区仍是中国,其所占比例下降了0.83个百分点,至62.97%,美国仍然排在第二位:其份额略减至17.37%(上季度为17.57%),香港第三。
南非上升到前10名,占2.4%,上季度排名第19位。荷兰(0.69%)下降到第九名。韩国回归,但是并没有进入前3名,以0.71%排在第8位。
本季度目标的地理分布与攻击次数的分布有很多共同点,前3名为中国(57.20%)、美国(22.16%)和香港(4.29%)。
DDoS动态变化
第三季度相对平静,仅在7月份出现了明显的波峰和波谷。攻击最多的一天为22日,共发生457起袭击事件,其次7月8日369起。最平静的一天是8月11日,65次袭击。
第三季度按天计算攻击次数分布与第二季度相似。最安全的一天是周日(10.69%的攻击)。DDoS攻击大部分发生在周一(17.53%)。
DDoS攻击的持续时间和类型
上个季度最长的攻击持续了11.6天(279小时),是第二季度(509小时)的1.8倍。
持续140多小时的攻击比例下降了0.01%至0.12%,20-139小时攻击的比例略有上升,5-9小时攻击的比例下降了1.5%,短攻击(持续时间不超过4小时)的总比例上升到84.42%。
主要攻击类型仍然是SYN泛洪,从84%降至79.7%。排名第二的是UDP攻击(9.4%)。
Linux僵尸网络的份额继续增长:第三季度的为97.75%,Windows僵尸网络下降了1.75个百分点,至2.25%。
僵尸网络分布
美国的C&C服务器数量位居榜首,其份额从44.14%增至47.55%,第二位的是荷兰,俄罗斯以3.92%升至第五位。
总结
从统计数据来看,2019年第三季度与第二季度差别不大。从攻击和目标的地理分布来看,大多也与前一季度相同。
攻击的时间分布,第3季度与第2季度相似。按天计算的攻击的特征分布也几乎没有变化。与前一季度相比,最长攻击持续时间有所下降,但长攻击和短攻击所占比例的差异几乎不明显。
所有这些表明,DDOS攻击市场已经暂时稳定下来。
*参考来源:securelist,由Kriston编译,转载请注明来自FreeBuf.COM