前言
年初,DDoS攻击策划者的工具库中出现了各种各样的新工具。例如,在2月初,由Qbot、Mirai和其他公开可用的恶意软件组成的新僵尸网络Cayosin进入了人们的视野。安全专家更感兴趣的不是它的镶嵌结构和频繁更新的漏洞集,而是它的广告——作为DDoS服务,广告位不是在暗网上,而是摆上了YouTube。更重要的是,它将在Instagram上出售,僵尸网络显然在充分利用社交媒体提供的机会。通过追踪网络罪犯的账户,研究人员还发现了其他恶意软件和僵尸网络,包括已经发现的Yowai。
3月中旬又发现了一个新版本的Mirai,意在攻击商业设备。该恶意软件现在不仅能“僵尸化”接入点、路由器和网络摄像头,还能“僵尸化”无线演示系统和数字标牌系统。
尽管如此,使用僵尸网络进行高调攻击的数量并没有那么大。年初,美国UAlbany大学受到攻击:在2月5日至3月1日期间,该校遭受了17次攻击,服务器宕机至少5分钟。学生和教职工数据库没有受到影响,但一些服务无法提供;UAlbany的IT安全主管认为,这所大学是被特别盯上的。
二月初,菲律宾全国记者联盟的网站也受到攻击。由于一系列强大的攻击,该网站被关闭了数小时,最高流量为468 GB/s。该网站认为自己是政治压力的受害者。
同样在3月中旬,Facebook和Instagram用户无法登录其账户,导致其服务出现严重问题。安全观察员认为该事件与DDoS有关。然而,Facebook本身拒绝这种说法。
在缺乏关于严重DDoS攻击的新闻的同时,有关警方对攻击组织者采取重大行动的报道数量也在增加,同时还出现了逮捕和指控事件。
然而,尽管有执法部门的努力,DDoS攻击仍然对企业构成巨大威胁。诺斯达国际安全理事会对200名大型公司的高级技术人员进行的调查显示,现如今,大型公司认为DDoS攻击是一个严重的问题:52%的安全服务人员已经遇到过这种攻击,75%的人对此表示担忧。
季度趋势
根据数据显示,长时间、更难组织的攻击在定性和定量上的比例仍在增长。我们认为这种趋势将在第二季度持续下去。
本报告包含2019年第一季度DDoS情报统计。
季度总结
就发起攻击的地理分布而言,中国仍然处于领先地位。
攻击目标的地理分布大致为:前三名分别是中国(59.85%)、美国(21.28%)和香港地区(4.21%)。
DDoS攻击在3月下旬达到高峰;最平静的时期是一月份。
对于DDoS攻击来说,一周中最危险的一天是周六,而周日仍然是最平静的。
SYN Flood的比例上升到84%,UDP Flood和TCP Flood的比例下降,HTTP和ICMP攻击的比例分别上升到3.3%和0.6%。
Linux僵尸网络的份额略有下降,但仍然占主导地位(95.71%)。
大多数僵尸网络C&C服务器仍然位于美国(34.10%),荷兰(12.72%)位居第二,俄罗斯(10.40%)位居第三。值得注意的是,曾经长期领先的韩国重新回到了前十名,尽管排在第十名(2.31%)。
攻击地理
中国仍然是发起袭击次数最多的国家。在经历了前几个季度的下跌之后,它甚至回到了之前的水平:份额从50.43%上升到了67.89%。排在第二位的是美国,尽管其份额从24.90%下降到了17.17%。香港从第七位上升至第三位,所占份额从1.84%升至4.81%。
有趣的是,除中国内地和香港外,其他所有国家的排名都下跌了。
2018Q4&2019Q1按国家划分的DDoS攻击分布
攻击目标的地理分布结果符合发起攻击本身的地理分布趋势:中国内地又一次在第一位置(从43.26%升到59.85%),美国在第二(从29.14%降到21.28%)和香港地区在第三(从1.76%升到4.21%)。
2018Q4&2019Q1按国家划分的DDoS攻击目标分布
距离DDoS攻击的持续时间和类型
在第一季度,持续攻击的比例几乎翻了一番,从0.11%上升到0.21%。然而,与2018年第四季度持续近14天(329H)不同,本季度持续时间最长的攻击仅略多于12天(289H)。
最重要的是,持续时间超过5小时的攻击所占比例显著增加;而在2018年底,这一比例为16.66%,目前为21.34%。从图中可以看出,如果将这一段分割成更小的片段,大部分长时间攻击的类别都有上升的趋势,而只有持续100-139小时的攻击比例略有下降(从0.14%下降到0.11%)。因此,短期攻击的比例下降了近5个百分点,至78.66%。
2018Q4&2019Q1 DDoS攻击的持续时间(小时)分布
和往年一样,SYN Flood在第一季度垃圾邮件流量中占据了最大份额。与2018年第四季度相比,其份额更大,攀升至84.1%。当然,如此大幅度的上涨对其他类型的占比也产生了影响。
举个例子,UDP Flood虽然排名第二,但第一季度的份额仅为8.9%(低于31.1%)。排在第三位的TCP Flood的份额也有所下降(从8.4%降至3.1%),仅排在第四位,仅次于HTTP Flood(增长了1.1个百分点,至3.3%)。尽管ICMP的份额从0.1%上升到0.6%,但仍排在最后。
2019年Q1 DDoS攻击的类型分布
Linux僵尸网络的数量仍然远远超过Windows僵尸网络,尽管在2019年第一季度,这一差距略有缩小:Linux僵尸网络现在占总数的95.71%,而Windows僵尸网络的份额分别上升了约1.5个百分点,达到4.29%。然而,这并不是因为Windows设备变得越来越受欢迎,而是因为Mirai机器人及其克隆产品Darkai的C&C服务器数量正在下降。相应地,这些机器人的攻击次数分别减少了3倍和7倍。
2018Q4&2019Q1 Windows/Linux僵尸网络攻击的比率
僵尸网络地理分布
在其国土上僵尸网络数量最多的国家仍然是美国(34.10%),荷兰从2018年第四季度的第三名升至第二名(12.72%),这次排名第三的是俄罗斯(10.40%),从第七名一路攀升。中国(7.51%)的排名从垫底升至第四。
2019Q1僵尸网络C&C服务器的国家分布
中国境内的数据
控制端资源分析
根据CNCERT抽样监测数据,2019年第一季度,平均每月利用肉鸡发起DDoS攻击的控制端有230个,平均29个控制端位于我国境内,201个控制端位于境外。
位于境外的控制端主要分布在美国、法国和中国香港。
位于境内的控制端按省份统计,江苏省占的比例最大,占比20%以上,其次是广东省;按运营商统计,电信占的比例最大,占66.5%,联通和移动随后。
肉鸡资源分析
根据CNCERT抽样监测数据,2019年第一季度,平均每月有195694个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。
这些肉鸡资源按省份统计,广东省、江苏省、浙江省占的比例最大,其次是福建省和河南省;按运营商统计,电信占的比例最大,为74.5%,联通和移动随后。
反射攻击资源分析
(1)Memcached反射服务器资源
本季度境内反射服务器数量按省份统计,山东省的比例最大,其次是广东省、河南省和浙江省;按归属运营商或云服务商统计,电信占的比例最大,占31.3%,但与移动和联通相比差距不大。值得注意的是,阿里云平均占比7.5%。
(2)NTP反射服务器资源
本季度被利用发起NTP反射攻击的境内反射服务器数量按省份统计,山东省占的比例最大,其次是河北省、湖北省和河南省;按归属运营商统计,移动和联通占的比例最大,达到70%以上,电信占比较小。
(3)SSDP反射服务器资源
本季度被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占21.4%,其次是浙江省、吉林省和广东省;按归属运营商统计,联通占的比例最大,占62.0%,电信占比36.3%,移动占比1.3%。
结论
在前三个季度,我们看到几个排名前十的国家出现了一些意想不到的新情况——这些国家并没有成为DDoS威胁的主要来源。但2019年第一季度并没有什么特别的惊喜,除了沙特阿拉伯、荷兰和罗马尼亚等国保持着高水平的DDoS活动;换句话说,他们出现在前10名并不能归因于随机偏差。与此同时,韩国的DDoS活动策划者似乎潜伏了下来,并未出现高调活动。我们有可能将目睹一个新的僵尸网络的产生,并在各个国家“定居”下来。
同样值得注意的是,Mirai克隆体之一Darkai的僵尸网络活动显著下降。在它的帮助下,攻击次数减少了7倍。源于各国对僵尸网络的严厉打击,Mirai本身也受到重创,活动减少了三倍。因此,这个因素在某种程度上解释了DDoS攻击数量和持续时间的下降。
*参考数据来源:Kaspersky Lab、国家互联网应急中心CNCERT,青松编译,转载请注明来自Qssec.COM。