2015 H1 DDoS態(tài)勢報告:DDoS攻擊兩極分化

責(zé)任編輯:王李通

作者:王洋

2015-08-22 10:12:35

摘自:綠盟科技

報告發(fā)現(xiàn)有越來越多的攻擊者混合使用多種形式,讓用戶防不勝防,這些混合化攻擊中,以大流量混合攻擊為主(72%)。在2014年的報告中,這種現(xiàn)象稱之為“行業(yè)潮流性” ,即攻擊者不僅會預(yù)估收益選擇攻擊目標(biāo),更能夠根據(jù)行業(yè)業(yè)務(wù)特性演變攻擊形式。

綠盟科技發(fā)布了2015 H1 DDoS威脅報告。報告發(fā)現(xiàn)近期的DDoS攻擊呈現(xiàn)兩極分化的局面:大流量攻擊不斷增長,按照此趨勢足以對互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)造成威脅(>100G的攻擊有33起),并開始走向云端攻擊的形式;與此同時,小流量攻擊并沒有消失(1分鐘以下占42.74%),而是轉(zhuǎn)變?yōu)槊}沖攻擊及慢速攻擊,主要針對各行業(yè)中的業(yè)務(wù)設(shè)計不合理的環(huán)節(jié),這些攻擊很容易導(dǎo)致用戶的業(yè)務(wù)緩慢甚至無法進(jìn)行。

而且,報告發(fā)現(xiàn)有越來越多的攻擊者混合使用多種形式,讓用戶防不勝防,這些混合化攻擊中,以大流量混合攻擊為主(72%)。

14401282635710.jpg!small

大流量攻擊呈現(xiàn)增長趨勢,過百G的攻擊越來越多

近年,美國聯(lián)邦通信委員會(FCC)CC對寬帶重新定義,下行速度從 4Mbps 調(diào)整至 25Mbps,上行速度從 1Mbps 調(diào)整至3Mbps。全球的互聯(lián)網(wǎng)用戶2008-2012共4年的年平均增長率高達(dá)12%,2013互聯(lián)網(wǎng)用戶數(shù)比例已經(jīng)超過人口的37.96%,預(yù)期在2015年用戶數(shù)量可以超過30億。

十二五以來,國內(nèi)隨著“寬帶中國”戰(zhàn)略實施方案的推進(jìn),城市和農(nóng)村家庭寬帶接入能力逐步達(dá)到20兆比特每秒(Mbps)和4Mbps,部分發(fā)達(dá)城市達(dá)到100Mbps,寬帶首次成為國家戰(zhàn)略性公共基礎(chǔ)設(shè)施。根據(jù)CNNIC的統(tǒng)計,中國國際出口帶寬呈現(xiàn)非??焖俚脑鲩L趨勢。與此同時,中國的網(wǎng)民規(guī)模也在大幅度提升,5年來平均增長幅度達(dá)到7.2%,2014年接近6.5億。

寬帶標(biāo)準(zhǔn)被調(diào)高以及聯(lián)網(wǎng)用戶的(設(shè)備)增多,在方便用戶使用的同時,也為大流量DDoS攻擊的出現(xiàn)創(chuàng)造了條件,加之設(shè)備廠商和消費(fèi)者在安全意識方面需要提升,這方面的因素也助長了DDoS放大式攻擊的發(fā)生,這些方面都直接導(dǎo)致了DDoS風(fēng)險的增高。

報告數(shù)據(jù)顯示,在2015年大流量DDoS攻擊仍舊在持續(xù)增加。2015年上半年,至少出現(xiàn)33起流量超過100G的攻擊,集中在6個相對獨(dú)立的IP上。從全國范圍分布上看,排名前五的城市包括上海、成都、東莞、濟(jì)南、天津。

另外,從多年來為運(yùn)營商服務(wù)的數(shù)據(jù)來看,也可以看到在2015年上半年的DDoS攻擊中,百G以上的攻擊頻次明顯增大。以某運(yùn)營商為例,2015年受100G以上流量攻擊的IP數(shù)增長到1675個,攻擊的次數(shù)增長到3729次,照此計算100G以上的攻擊總量已經(jīng)超過300T,這已經(jīng)威脅到互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)的正常運(yùn)作。這個趨勢相比2014年有所增長,單IP受到100G以上流量攻擊的次數(shù)也明顯上升。而100G以下的攻擊總量要遠(yuǎn)遠(yuǎn)超過這個數(shù)量。

大流量攻擊走向云端,可能出現(xiàn)的云端攻擊形式

在DDoS大流量攻擊興起的同時,為了抵御風(fēng)險免受其害,許多用戶將其業(yè)務(wù)向云端遷移,云計算技術(shù)的諸多優(yōu)點(diǎn)使得云服務(wù)得以廣泛應(yīng)用。中國信息通信研究院的報告顯示,我國公共云服務(wù)市場規(guī)模大概在72億元左右,比去年增長47.5%。中國私有云市場規(guī)模也在不斷擴(kuò)張,2014年國內(nèi)私有云市場規(guī)模大概在246億人民幣左右,增長速度將近30%。

云服務(wù)的增多在為用戶帶來了便利的同時,也在安全方面也帶來了兩個方面的變化:

客戶端輕量化??蛻舳嗽镜挠嬎闳蝿?wù),大幅度向云端轉(zhuǎn)移,云端的流量會越來越大,這將會被大流量DDoS攻擊所利用;環(huán)境復(fù)雜化。隨著業(yè)務(wù)環(huán)境虛擬化,從業(yè)務(wù)更加靈活多變到運(yùn)維管理,其中不斷產(chǎn)生新的不確定性,都可能為新的 DDoS攻擊形式創(chuàng)造機(jī)會。報告中分析了這些可能的攻擊形式,并在報告的PDF版本中給出了計算器,便于大家粗略估算DDoS可能帶來的損失。

大流量攻擊在游戲行業(yè)中加劇,尤以UDP攻擊常見

大流量攻擊在影響著各個行業(yè),在近幾年的分析中,綠盟科技的技術(shù)專家觀測到游戲行業(yè)遭受大流量攻擊的情況在逐年增加。在2014年的報告中,這種現(xiàn)象稱之為“行業(yè)潮流性” ,即攻擊者不僅會預(yù)估收益選擇攻擊目標(biāo),更能夠根據(jù)行業(yè)業(yè)務(wù)特性演變攻擊形式。

2015年上半年的數(shù)據(jù)顯示,游戲行業(yè)仍然是DDoS攻擊的重點(diǎn)對象之一。游戲行業(yè)用戶基數(shù)大、用戶類型多、在線維護(hù)難度大的特點(diǎn),也使得游戲行業(yè)成為極易受到攻擊的目標(biāo)行業(yè)。由于很多游戲基于私有協(xié)議開發(fā),傳統(tǒng)DDoS防御手段在沒有貼合業(yè)務(wù)特性的情況下,防御DDoS攻擊常常面臨較大困難。

以某大型互聯(lián)網(wǎng)企業(yè)為例,在其多項業(yè)務(wù)中,在線游戲仍然是DDoS主要的攻擊對象(74.7%),DNS服務(wù)及Web服務(wù)分別為15.1%及9.7%。通過對各項服務(wù)的展開分析可以看到,除了游戲業(yè)務(wù)以外,Web服務(wù)及其他服務(wù)中大流量攻擊的比例也不在少數(shù)。

小流量快攻擊變身脈沖式攻擊,實戰(zhàn)國內(nèi)外實際案例

雖然大流量攻擊乃至云端攻擊會越來越多的出現(xiàn),但這并不意味著小流量攻擊就消失了。相反,在一些行業(yè)中,小流量攻擊有著特殊的目的,與大流量(百G以上)及超大流量(500G或 更高)相比,1這些攻擊因為其流量小,不會引起業(yè)界的關(guān)注,2這些小流量隱藏在大流量其中,難以辨識;3有些攻擊時長小到防護(hù)設(shè)備難以捕獲,很難完整呈現(xiàn)其攻擊過程,這些特點(diǎn)決定了小流量攻擊不僅不會被攻擊者拋棄。2015年上半年,0-30分鐘時長的攻擊環(huán)比上漲4.52%,1分鐘以下的攻擊占總量的42.74%。

將這些短時攻擊組合起來看,往往每輪次總的攻擊時間也很短。數(shù)據(jù)統(tǒng)計顯示,5分鐘以下的攻擊已經(jīng)有46%的比例,接近總量的半數(shù)。綠盟科技的技術(shù)專家將這種短時長“閃電戰(zhàn)”的攻擊形式,歸類為DDoS脈沖攻擊(Hit-and-run DDoS )。

小流量慢攻擊專盯業(yè)務(wù)邏輯問題,呈現(xiàn)攻擊原理及防御

在眾多小流量攻擊案例中,針對業(yè)務(wù)邏輯設(shè)計問題的慢速攻擊也具有代表性。不同于游戲領(lǐng)域的小而快,這種攻擊類型的小流量慢速攻擊由于間隔時間較長,從協(xié)議、流量、邏輯上來看也沒有明顯異常,但是卻針對協(xié)議的弱點(diǎn)或者應(yīng)用邏輯上的弱點(diǎn),故意延長通信的時間、占用連接的資源、增加服務(wù)器的處理過程,進(jìn)行資源消耗,使目標(biāo)的CPU資源、內(nèi)存資源、連接池等耗盡,最終產(chǎn)生拒絕服務(wù),服務(wù)器無法再接受來自用戶的訪問請求。

DDoS攻擊手段日益高級,智能路由器溫床未見好轉(zhuǎn)

DDoS攻擊者為了達(dá)到目的,會結(jié)合多個方面的因素實施不同形式的攻擊,攻擊手段不斷翻新,變得越來越高級,甚至呈現(xiàn)出“APT”的特色。

攻擊業(yè)務(wù)多樣化。 DDoS多年難以治理,有一方面原因就是因為業(yè)務(wù)形態(tài)的多樣性。隨著業(yè)務(wù)形態(tài)的不斷發(fā)展及演變,結(jié)構(gòu)及業(yè)務(wù)流程越來越復(fù)雜,攻擊者無時無刻不在反復(fù)跟蹤分析這些業(yè)務(wù)特點(diǎn)及可能存在的問題,而攻擊形式也隨之而變。

攻擊流量多樣化。 在2015年上半年數(shù)據(jù)顯示,在DDoS攻擊中,攻擊者往往混合使用多種攻擊手段和多種類型的攻擊源。UDP混合流量占主要比重,達(dá)到72%。這些流量組合正如前面的分析所展示的那樣,并非無的放矢,而是跟隨業(yè)務(wù)的特性發(fā)生的變化。

攻擊設(shè)備多樣化。 如今,用戶連接互聯(lián)網(wǎng)的設(shè)備越來越多樣化,在終端方面,已經(jīng)不再局限于PC,更多的設(shè)備也包括平板電腦、手機(jī)、電視等智能終端;同時,反射放大式攻擊,讓業(yè)界清晰的認(rèn)識到,DDoS可利用的設(shè)備也不再局限于終端,更多的設(shè)備也包括路由器、打印機(jī)、攝像頭、掃描儀等智能設(shè)備。

在2014年的報告中,統(tǒng)計了全球的這些可能被利用的智能設(shè)備超過80萬,在6月份的數(shù)據(jù)中,報告統(tǒng)計了全球SSDP協(xié)議設(shè)備的分布狀況,顯然一情況在2015年并未得到大的改觀,這也是基于SSDP協(xié)議的放大攻擊仍舊肆虐的原因。

在此呼吁這些設(shè)備的廠商盡快發(fā)布相關(guān)補(bǔ)丁或者升級相關(guān)固件,最終用戶也需要隨時關(guān)注升級信息,盡快升級及采用對應(yīng)的防護(hù)措施,不要被利用,成為“攻擊者”!同時,在智能設(shè)備增加、混合流量攻擊模式下,傳統(tǒng)的業(yè)務(wù)場景和思路可能需要考慮新的模式和新的應(yīng)用場景。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號