伴隨全球范圍內(nèi)的網(wǎng)絡(luò)安全狀況的不斷惡化,近期的分布式拒絕服務(wù)(DDoS)和Web應(yīng)用程序攻擊愈演愈烈,根據(jù)剛剛發(fā)布的《2015年第四季度互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報(bào)告》顯示,在2015年第四季度里,上述兩種攻擊的數(shù)量都在快速增長(zhǎng),與去年第三季度相比,Web應(yīng)用程序攻擊的數(shù)量上升了28%,而DDoS攻擊上升了40%。不僅如此,惡意攻擊者還會(huì)針對(duì)同一目標(biāo)展開(kāi)重復(fù)攻擊,以期找到防御系統(tǒng)可能發(fā)生故障的時(shí)機(jī)。
DDoS攻擊總量持續(xù)增長(zhǎng)
據(jù)統(tǒng)計(jì)發(fā)現(xiàn),與2014年第四季度相比,DDoS攻擊總量增加148.85%,與2015年第三季度相比,DDoS攻擊總量也有39.89%的增長(zhǎng)。而且自2014年第四季度以來(lái),反射攻擊的使用大幅增加。其中,SSDP、NTP、DNS和CHARGEN一直是最常見(jiàn)的反射攻擊向量。同時(shí),經(jīng)CDN智能平臺(tái)抵御的DDoS攻擊超過(guò)3600次,是一年前攻擊數(shù)量的兩倍多。
SSDP、NTP、DNS和CHARGEN是最常見(jiàn)的反射攻擊向量(圖片來(lái)自stateoftheinternet.com)
經(jīng)分析,上述攻擊的絕大部分來(lái)自于基于stresser/booter的僵尸網(wǎng)絡(luò)。鑒于這些雇傭式DDoS攻擊主要依賴于反射技術(shù)來(lái)推動(dòng)其流量,且無(wú)法生成大型攻擊。因此,與一年前相比,檢測(cè)到的大型攻擊數(shù)量有所減少。此外,stresser/booter站點(diǎn)在其使用方面通常具有時(shí)間限制,從而使得平均攻擊持續(xù)時(shí)間減少到15個(gè)小時(shí)以內(nèi)。
在2015年第四季度,DDoS攻擊的最大峰值達(dá)到了309Gbps,以及最高202億個(gè)數(shù)據(jù)包每秒(Mpps)。據(jù)悉,受此攻擊的主要目標(biāo)是軟件和技術(shù)行業(yè)的客戶,攻擊者則使用了來(lái)源于XOR和BillGates僵尸網(wǎng)絡(luò)的SYN、UDP和NTP攻擊的常見(jiàn)組合。利用該組合攻擊者往往發(fā)動(dòng)持續(xù)性攻擊,有受害企業(yè)表示曾在8天時(shí)間里遭受19次攻擊,而且從一月初開(kāi)始就不斷遭到其他攻擊。
同時(shí)根據(jù)分析發(fā)現(xiàn),基礎(chǔ)架構(gòu)層(第3 & 4層)攻擊在多個(gè)季度均居于主導(dǎo)地位,并占2015年第四季度檢測(cè)到的攻擊總量的97%。在2015年第四季度,21%的DDoS攻擊包含UDP Fragments攻擊。這其中有一些是反射攻擊的放大因素所造成的直接效果,主要是由CHARGEN、DNS和SNMP協(xié)議的濫用所導(dǎo)致的,所有這些均可能存在很大的有效負(fù)載。
而與2015年第三季度相比,NTP和DNS攻擊數(shù)量大幅增加。由于惡意攻擊者試圖濫用具有內(nèi)置安全性的域(DNSSEC),且這些域通常提供更大的響應(yīng)數(shù)據(jù),DNS反射式攻擊因此增加了92%。盡管NTP反射資源隨著時(shí)間的推移已經(jīng)耗盡,但與上一季度相比,四季度的NTP更流行,增幅近57%。
在2015年第四季度的另一個(gè)趨勢(shì)是多向量攻擊的增加。在2014年第二季度,僅42%的DDoS攻擊是多向量的;但在2015年第四季度,56%的DDoS攻擊是多向量。在第四季度檢測(cè)到的大多數(shù)的多向量攻擊僅使用了2個(gè)向量(占所有攻擊的35%),而3%的攻擊會(huì)用5到8個(gè)向量。
雖然Web應(yīng)用攻擊數(shù)量與與2015年第三季度相比增加了28%,但通過(guò)HTTP與HTTPS發(fā)送的Web應(yīng)用攻擊的百分比卻在兩個(gè)季度保持相對(duì)一致:第四季度通過(guò)HTTP發(fā)送的Web應(yīng)用攻擊為89%,第三季度通過(guò)HTTP發(fā)送的為88%。
在Web應(yīng)用攻擊方面,2015Q4最常檢測(cè)到的攻擊向量有LFI、SQLi和PHPi
其中,2015年第四季度最常檢測(cè)到的攻擊向量有LFI、SQLi和PHPi,其次是XSS和Shellshock。其余的2%由RFI、MFU、CMDi和JAVAi攻擊構(gòu)成。除了PHPi以外,通過(guò)HTTP與HTTPS發(fā)送的攻擊向量的相對(duì)分布很相似;PHPi僅占通過(guò)HTTPS發(fā)送的攻擊的1%。
第四季度Web應(yīng)用攻擊有59%以零售商為目標(biāo),而第三季度此比例為55%。媒體與娛樂(lè)、酒店與旅游行業(yè)是第二最常被攻擊的目標(biāo),各占攻擊的10%。這表示與第三季度相比有所變化,在第三季度金融服務(wù)行業(yè)是第二最常被攻擊的行業(yè)(占攻擊的15%),而2015年第四季度金融服務(wù)行業(yè)僅占攻擊的7%。
據(jù)了解,美國(guó)是Web應(yīng)用攻擊的主要來(lái)源(56%)和最常被攻擊的目標(biāo)(77%),該趨勢(shì)自2015年第三季度起便在開(kāi)始延續(xù)。巴西是第二大攻擊源(6%)以及第二大最常被攻擊的國(guó)家(7%),這似乎與一個(gè)大型的云基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商在此處開(kāi)設(shè)了新的數(shù)據(jù)中心相關(guān)。自從開(kāi)設(shè)數(shù)據(jù)中心以來(lái),Akamai便發(fā)現(xiàn)來(lái)自巴西的惡意流量開(kāi)始大幅增長(zhǎng),特別是來(lái)自前面提及的數(shù)據(jù)中心。大部分此類(lèi)攻擊針對(duì)的是零售行業(yè)中的巴西客戶。
綜上,隨著DDoS攻擊和Web應(yīng)用攻擊日益增長(zhǎng)的嚴(yán)峻挑戰(zhàn),對(duì)于上述攻擊的安全防護(hù)一直以來(lái)都是業(yè)內(nèi)的關(guān)注焦點(diǎn),而在近期召開(kāi)的RSA2016大會(huì)上,也有關(guān)于新時(shí)期下甚至未來(lái)SDN趨勢(shì)下如何構(gòu)建抵御DDoS攻擊的相關(guān)講演,有興趣的企業(yè)用戶可以進(jìn)入RSA2016專題了解更多詳細(xì)內(nèi)容。