2019年互联网DDoS网络攻击和应用程序攻击分析

2019年互联网DDoS网络攻击和应用程序攻击分析

2019 年,DDoS这种古老的攻击方式依然焕发着强大的生命力。简单、直接和有效是它攻击特性最好的注解。DDoS 防护不再依赖设备和检测算法的堆积,更需要安全生态合作和防护协同。一个更好的 DDoS 防护业态需要依赖众多环节,包括漏洞挖掘与披露,网络测量与感知,威胁狩猎与情报共享,防护资源调度和应急响应。

基于阿里云安全2019年上半年云上的DDoS攻击数据,绿盟科技攻击态势报告等数据,从DDoS攻击事件、僵尸网络中控、DDoS肉鸡、攻击事件情况等多个维度做了统计分析,希望为政府和企业客户提供参考。

年初,DDoS攻击策划者的工具库中出现了各种各样的新工具。例如,在2月初,由Qbot、Mirai和其他公开可用的恶意软件组成的新僵尸网络Cayosin进入了人们的视野。安全专家更感兴趣的不是它的镶嵌结构和频繁更新的漏洞集,而是它的广告——作为DDoS服务,广告位不是在暗网上,而是摆上了YouTube。更重要的是,它将在Instagram上出售,僵尸网络显然在充分利用社交媒体提供的机会。通过追踪网络罪犯的账户,研究人员还发现了其他恶意软件和僵尸网络,包括已经发现的Yowai。 3月中旬又发现了一个新版本的Mirai,意在攻击商业设备。该恶意软件现在不仅能“僵尸化”接入点、路由器和网络摄像头,还能“僵尸化”无线演示系统和数字标牌系统。 Trend Micro的研究人员发现了DDoS另一个新工具,是通过数据搜索和分析工具Elasticsearch的后门分发的新负载。该恶意软件之所以危险,是因为它采用了多阶段的感染方法,并成功地逃过了检测,可以用来创建僵尸网络发动大规模的DDoS攻击。

今年夏天和秋天发生的另外两起袭击是出于政治原因。8月31日,LIKG论坛是香港使用的主要网站之一,用来协调他们的行动。据网站所有者称,该网站在16小时内收到15亿个请求,导致其暂时离线,移动应用出现故障。不久之后,WIKI遭到了攻击。它从9月6日晚开始无法供欧洲、非洲和中东各国的用户使用。WIKI经常受到攻击,但这次攻击在容量和持续时间(三天)是异乎寻常的。

2019年互联网DDoS攻击 vs 2018 互联网DDoS攻击

1. 攻击次数增加了30.2%,攻击总流量下降了26.4%。

2. 1-5Gbps小规模攻击显著增加,300Gbps 以上的大规模攻击小幅增加。

3. 平均峰值小幅增长,达 42.9Gbps,中大规模攻击的技术成熟度在逐年提高。

4. UDP Flood、SYN Flood 和 ACK Flood 依然是 DDoS 的主要攻击手法,混合攻击在超大规模攻击中发挥重要作用。

5. 物联网设备的 DDoS 攻击参与度逐年提升。

6. IoT 家族的漏洞利用载荷组成与 2018 年类似,主要攻击物联网智能设备,同时攻击手段增多,在攻击链上的角色出现了分工态势。

结论观点

1. 成熟:攻击者的技术成熟度在稳步提升,攻击者在 DDoS 外存在更多获利选择。

2. 混合:12.5% 的 DDoS 攻击事件使用了多种攻击手法,在 300Gbps 以上的超大规模攻击中逾 3成攻击都采用了混合攻击模式,对清洗设备性能和清洗线路的稳定,以及防护运营提出了更大的挑战。

3. 惯犯:2019 年全年 DDoS 惯犯(攻击次数大于 20 次)达 130 万,其中 7% 的惯犯发起了 78%的攻击事件,惯犯行为值得持续关注。

4. 团伙:全年发现DDoS团伙60个,攻击资源数量大于1000的团伙达15个,最大攻击团伙包含8.8万攻击源,月均活跃 3.5 万攻击源,团伙行为和攻击团伙的治理值得持续关注。

5. 物联网:物联网设备参与 DDoS 攻击的情况值得持续关注,参与 DDoS 攻击的物联网设备逐年增加,DDoS 团伙中单一团伙最高物联网设备占比达 31%。

6. 恶意家族:IoT 平台家族攻击占比进一步扩大,Gafgyt 和 Mirai 贡献了大部分攻击行为,但整体上,在 DDoS 特征、攻击目标和 C&C 分布等方面没有明显变化。

7. 地域:国内,香港取代浙江成为受 DDoS 攻击最多的省份,其它依次是浙江、广东、北京、江苏。

黑灰产的DDoS 攻击能力在逐年加强,大规模攻击的组织能力也在不断提升,安全厂商和运营商需要更好地协同,完善“盾”的能力,同时也要加强“看见” 的能力,对漏洞的威胁面要有更好地预判,对攻击团伙的监控要有更深入而持续的跟踪。DDoS攻击的演进是全球网络安全态势的缩影,黑灰产的趋利性是其不变的行为内核,在做好技战术层面上的防护和跟踪之外,更要做好获利渠道和攻击动机的监控。

关于作者

cdnya administrator

安全防御技术员

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据