全球交付、優(yōu)化及網(wǎng)絡(luò)內(nèi)容安全等云服務(wù)供應(yīng)商阿卡邁技術(shù)公司(Akamai Technologies, Inc.,以下簡稱:Akamai)近日發(fā)布了《2015年第二季度互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報告》。本季度報告對全球云安全威脅狀況進(jìn)行了深度分析,提出獨到見解,如需了解報告詳情,可點擊www.stateoftheinternet.com/security-report下載報告。
Akamai云安全業(yè)務(wù)部副總裁John Summers表示:“分布式拒絕服務(wù)(DDoS)與網(wǎng)絡(luò)應(yīng)用攻擊帶來的威脅每個季度都在不斷增加。黑客們通過轉(zhuǎn)變戰(zhàn)術(shù)在不斷改變游戲規(guī)則,尋找新漏洞,甚至采用被視為過時的老式技術(shù)。通過對我們網(wǎng)絡(luò)所觀察到攻擊加以分析,我們可以確認(rèn)新興威脅與趨勢,從而為公眾提供加強(qiáng)網(wǎng)絡(luò)、網(wǎng)頁與應(yīng)用安全所需的信息,提高云端安全性。”
John Summers補(bǔ)充道:“例如,在本報告中,我們不僅將兩種網(wǎng)絡(luò)應(yīng)用攻擊向量納入了我們的分析范圍,還檢查了由洋蔥路由器(Onion Router/Tor)流量所帶來的威脅,甚至還發(fā)現(xiàn)了第三方WordPress插件中以CVE形式出現(xiàn)的部分新漏洞。我們對網(wǎng)絡(luò)安全威脅知道的越多,就越能夠保護(hù)企業(yè)安全。”
DDoS攻擊活動一覽
在過去三個季度內(nèi),DDoS攻擊量同比增長了一倍。本季度,盡管攻擊者傾向于發(fā)起不太強(qiáng)烈但持續(xù)時間較長的攻擊,但危險的大規(guī)模攻擊數(shù)量持續(xù)上升。2015年第二季度,12起攻擊的峰值流量超過了100 Gbps,5起攻擊的包轉(zhuǎn)發(fā)率峰值超過了50 Mpps。只有極少數(shù)的企業(yè)能夠以一己之力承受住這樣的攻擊。
2015年第二季度,最大規(guī)模的DDoS攻擊峰值流量超過了240 Gbps,持續(xù)了13個小時以上。峰值帶寬一般被限定至1-2小時的時間窗口。2015年第二季度還發(fā)現(xiàn)了Prolexic Routed網(wǎng)絡(luò)迄今所記錄到的包轉(zhuǎn)發(fā)率最高的攻擊之一,峰值達(dá)到了214 Mpps。這種規(guī)模的攻擊足以摧毀一級路由器,例如互聯(lián)網(wǎng)服務(wù)提供商(ISP)所使用的路由器。
2015年第二季度,DDoS攻擊活動創(chuàng)下了新紀(jì)錄,相比2014年第二季度增長了132%,相比2015年第一季度增長了7%。相對于2015年第一季度,2015年第二季度的平均峰值攻擊帶寬與容量略微增加,但仍顯著低于2014年第二季度觀測到峰值均值。
SYN與簡單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)是本季度最常見的DDoS攻擊向量——各占DDoS攻擊流量的16%左右。隨著采用通用即插即用(UPnP)協(xié)議的不安全家庭聯(lián)網(wǎng)設(shè)備不斷激增,這些設(shè)備常被當(dāng)作SSDP反射器,持續(xù)發(fā)起攻擊。SSDP攻擊在一年前幾乎銷聲匿跡,但在過去3個月內(nèi)卻成為了首要的攻擊向量之一。SYN floods繼續(xù)成為各種容量攻擊中最常見的向量之一,可追溯至2011年第三季度第一期互聯(lián)網(wǎng)安全報告。
自2014年第二季度以來,在線游戲行業(yè)受到的攻擊最為嚴(yán)重,一直占DDoS攻擊的35%。中國一直是過去兩個季度內(nèi)非欺騙攻擊流量的首要來源地,并是自2011年第三季度發(fā)布首份報告以來的前三個來源國之一。
歷史數(shù)據(jù)比較縱覽
相比2014年第二季度
攻擊總量增長132.43%
應(yīng)用層(第7層)DDoS攻擊增長122.22%
基礎(chǔ)架構(gòu)層(第3 & 4層)攻擊增長133.66%
平均攻擊時長增長18.99%:20.64小時對比17.35小時
平均峰值帶寬減少11.47%
平均峰值容量減少77.26%
100 Gbps的攻擊增長100%:12起對比6起
相比2015年第一季度
DDoS攻擊總量增長7.13%
應(yīng)用層(第7層)DDoS攻擊增長17.65%
基礎(chǔ)架構(gòu)層(第3 & 4層)攻擊增長6.04%
平均攻擊時長減少16.85%:20.64小時對比24.82小時
平均峰值帶寬增長15.46
平均峰值容量增長23.98%
> 100 Gbps的攻擊增長50%:12起對比8起
與2015年第一季度一樣,中國是本季度產(chǎn)生DDoS攻擊的首要國家
網(wǎng)絡(luò)應(yīng)用攻擊活動
Akamai在2015年第一季度首次公布網(wǎng)絡(luò)應(yīng)用攻擊統(tǒng)計數(shù)據(jù);本季度,又分析了兩種新的攻擊向量:Shellshock與跨站腳本(XSS)。
Shellshock是2014年9月首次跟蹤到的Bash bug漏洞,而在本季度內(nèi),它是49%網(wǎng)絡(luò)應(yīng)用攻擊的罪魁禍?zhǔn)?。但是,在本季度最初幾周持續(xù)不斷的強(qiáng)烈攻擊運動中,95%的Shellshock攻擊瞄準(zhǔn)金融服務(wù)行業(yè)內(nèi)的單一客戶。由于Shellshock攻擊一般通過HTTPS發(fā)起,因而改變了經(jīng)由HTTPS與HTTP攻擊的均衡態(tài)勢。2015年第一季度,僅9%的攻擊通過HTTPS展開;而在本季度,56%的攻擊是通過HTTPS渠道發(fā)起。
除了Shellshock,SQL注入(SQLi)占到全部攻擊的26%。這意味著僅第二季度SQLi警報數(shù)量即增長了75%以上。相反,本地文件包含(LFI)攻擊在本季度大幅下降。雖然它是2015年第一季度的首要網(wǎng)絡(luò)應(yīng)用攻擊媒介,但LFI僅占2015年第二季度警報數(shù)量的18%。遠(yuǎn)程文件包含(RFI)、PHP注入(PHPi)、命令注入(CMDi)、使用OGNL Java表達(dá)語言(JAVAi)的OGNL注入、以及惡意文件上傳(MFU)攻擊共占網(wǎng)絡(luò)應(yīng)用攻擊的7%。
與2015年第一季度一樣,金融服務(wù)與零售行業(yè)受到的攻擊最為頻繁。
第三方WordPress插件與主題威脅
全球最受歡迎的網(wǎng)站與博客平臺WordPress經(jīng)常成為攻擊者的目標(biāo),這些攻擊者旨在利用數(shù)百個已知漏洞構(gòu)建僵尸網(wǎng)絡(luò)、傳播惡意軟件以及發(fā)起DDoS攻擊行動。
第三方插件很少受到代碼審查。為了更好地了解威脅狀況,Akamai測試了1300多個最受歡迎的插件與主題。結(jié)果發(fā)現(xiàn),25個單獨插件與主題至少被檢查出1個新漏洞。在部分情況下,插件或主題擁有多個漏洞,總共有49個可能被攻擊者利用。本報告包含了新發(fā)現(xiàn)的完整漏洞列表,以及強(qiáng)化WordPress安裝的建議。
Tor的利弊
洋蔥路由器(TOR)確保了網(wǎng)絡(luò)入口節(jié)點與出口節(jié)點不相匹配,借以讓用戶得到匿名掩護(hù)。雖然Tor擁有多種合法用途,但其匿名性對于黑客而言更具吸引力。為了評估因放行Tor網(wǎng)絡(luò)流量而帶來的風(fēng)險,Akamai在7天內(nèi)分析了Kona安全客戶群內(nèi)的網(wǎng)絡(luò)流量。
分析顯示,99%的攻擊來自非Tor IP。但是,在380個離開Tor出口節(jié)點的請求中就有1個是惡意請求。相反,在11500個離開非Tor IP的請求中只有1個是惡意的。也就是說,阻斷Tor流量將會產(chǎn)生負(fù)面業(yè)務(wù)影響。但是,指向電子商務(wù)相關(guān)頁面的合法HTTP請求顯示,Tor的出口節(jié)點擁有與非Tor IP相等的轉(zhuǎn)換率。