freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2019第三季度DDoS报告
2019-11-13 14:00:21

上个季度发现攻击者利用Memcached协议进行攻击,正如推测的那样,攻击者试图使用相当奇特的协议来放大DDoS攻击。例如,通过WS-Discovery多播协议。据研究人员称,网络罪犯最近才开始使用这种方法,但已经达到了350 Gbps的攻击能力。

概述

Trend Micro的研究人员发现了DDoS另一个新工具,是通过数据搜索和分析工具Elasticsearch的后门分发的新负载。该恶意软件之所以危险,是因为它采用了多阶段的感染方法,并成功地逃过了检测,可以用来创建僵尸网络发动大规模的DDoS攻击。

如今网络犯罪者更倾向于使用成熟的技术,而不是尝试新的技术。例如,当去年联邦调查局(FBI)取缔了一些廉价的DDoS出租网站时,新的DDoS立即取代了他们的位置,据报道,本季度的袭击比上一季度增加了400%。九月初,针对魔兽世界的几波攻击很可能就是通过这样的服务发起的。但如果是这样,攻击者并不是一个黑客组织的成员,而是一个DDoS出租服务的客户。

另一种攻击方法(类似于Mirai的僵尸网络),7月份针对流媒体服务发起了为期13天的应用级攻击,每秒高达292000个请求。这次攻击涉及大约40万台设备,主要是家庭路由器。

今年夏天和秋天发生的另外两起袭击是出于政治原因。8月31日,LIKG论坛是香港使用的主要网站之一,用来协调他们的行动。据网站所有者称,该网站在16小时内收到15亿个请求,导致其暂时离线,移动应用出现故障。不久之后,WIKI遭到了攻击。它从9月6日晚开始无法供欧洲、非洲和中东各国的用户使用。WIKI经常受到攻击,但这次攻击在容量和持续时间(三天)是异乎寻常的。

季度趋势

第三季度通常会看到DDoS活动在夏季的几个月内较为活跃,然后在九月份出现高峰。今年也不例外。

根据卡巴斯基DDoS防护的数据,第三季度智能攻击(即技术更先进、更巧妙的攻击)数量较上一季度大幅下降,这一指标与去年同期相比,足足有两倍多的增长。

从全年的增长情况来看,智能攻击的平均持续时间自第二季度以来几乎没有变化,但与2018年第三季度相比几乎翻了一番。同时,所有攻击的平均持续时间略有下降。

智能DDoS攻击在一般网络攻击流中所占份额的变化如下:

智能攻击占攻击总数的比例与上季度相比几乎减半,但与2018年第三季度相比上升了7个百分点。

与去年一样,9月的时间点与DDoS攻击数量的大幅上升密不可分。今年初秋,60%的DDoS活动都是针对教育相关资源:电子书籍、大学网站等。去年也观察到类似的情况,主要原因是学生们返回学校。这些攻击大多是业余人士进行的,没有经济收益。

与2018年9月相比,2019年9月的攻击总数增加了35次,2019年第3季度的攻击总数与2018年第3季度相比上升了32次,虽然这些数字大致相同,但智能攻击数量指标的差异要大得多:智能攻击总数增长了58个百分点,但9月份的智能攻击数量仅增长了27个百分点,平均时长甚至下降了三个百分点。

因此,在2019年第三季度,第一次观察到智能攻击的数量总数下降。很有可能DDoS市将趋于饱和并停止增长。

然而,根据过去几年的经验,在第四季度,预计所有关键指标(攻击总数和智能攻击;攻击持续时间)都会增长,因为年底是假日较多,有更多的商业活动,从而导致犯罪活动。

季度总结

1、中国仍然是攻击次数最多的国家,与第二季度(62.97%对63.80%)相比,所占份额几乎没有变化。

2、在攻击地域分布排名的前十名中,南非此前从未出现在我们的排行榜上,此次它排在第四位(2.40%),。

3、从目标数量上看:前3名分别是中国(57.20%)、美国(22.16%)和香港(4.29%)。

4、在过去的一个季度中,7月份为DDOS僵尸网络活动高峰;最高的一天是星期一(17.53%的攻击),最低的是星期天(10.69%)。

5、最长的攻击持续了超过11天(279小时),几乎是第二季度的一半。

6、最常见的攻击类型仍然是SYN泛洪(79.7%),其次是UDP泛洪(9.4%)。

7、与第二季度相比,Windows和Linux僵尸网络的份额几乎没有变化;Linux僵尸网络仍然占绝大多数(97.75%)。

8、僵尸网络C&C服务器数量排名为美国(47.55%)、荷兰(22.06%)、中国(6.37%)。

地理分布

与前几个季度一样,攻击次数最多的地区仍是中国,其所占比例下降了0.83个百分点,至62.97%,美国仍然排在第二位:其份额略减至17.37%(上季度为17.57%),香港第三。

南非上升到前10名,占2.4%,上季度排名第19位。荷兰(0.69%)下降到第九名。韩国回归,但是并没有进入前3名,以0.71%排在第8位。

本季度目标的地理分布与攻击次数的分布有很多共同点,前3名为中国(57.20%)、美国(22.16%)和香港(4.29%)。

DDoS动态变化

第三季度相对平静,仅在7月份出现了明显的波峰和波谷。攻击最多的一天为22日,共发生457起袭击事件,其次7月8日369起。最平静的一天是8月11日,65次袭击。

第三季度按天计算攻击次数分布与第二季度相似。最安全的一天是周日(10.69%的攻击)。DDoS攻击大部分发生在周一(17.53%)。

DDoS攻击的持续时间和类型

上个季度最长的攻击持续了11.6天(279小时),是第二季度(509小时)的1.8倍。

持续140多小时的攻击比例下降了0.01%至0.12%,20-139小时攻击的比例略有上升,5-9小时攻击的比例下降了1.5%,短攻击(持续时间不超过4小时)的总比例上升到84.42%。

主要攻击类型仍然是SYN泛洪,从84%降至79.7%。排名第二的是UDP攻击(9.4%)。

Linux僵尸网络的份额继续增长:第三季度的为97.75%,Windows僵尸网络下降了1.75个百分点,至2.25%。

僵尸网络分布

美国的C&C服务器数量位居榜首,其份额从44.14%增至47.55%,第二位的是荷兰,俄罗斯以3.92%升至第五位。

总结

从统计数据来看,2019年第三季度与第二季度差别不大。从攻击和目标的地理分布来看,大多也与前一季度相同。

攻击的时间分布,第3季度与第2季度相似。按天计算的攻击的特征分布也几乎没有变化。与前一季度相比,最长攻击持续时间有所下降,但长攻击和短攻击所占比例的差异几乎不明显。

所有这些表明,DDOS攻击市场已经暂时稳定下来。

*参考来源:securelist,由Kriston编译,转载请注明来自FreeBuf.COM

# ddos # 安全报告 # 2019第三季度
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者