前沿|腾讯2018年上半年DDoS攻防数据分析:游戏医疗最多,江浙两省为最大目标

来 源:网络整理发布时间:2018-06-19 移动版

大数据文摘专栏

本文投稿自腾讯安全云鼎实验室


2018年上半年 DDoS 攻防仍如火如荼发展,以 IoT 设备为反射点的 SSDP 反射放大尚未平息,Memcached DDoS 又异军突起,以最高可达5万的反射放大倍数、峰值可达1.7 Tbps 的攻击流量成为安全界关注的新焦点。


DDoS 这一互联网公敌,在各种防御设备围追堵截的情况下,攻击者夜以继日地钻研对抗方法、研究新的攻击方式;而且往平台化、自动化的方向发展,不断增强攻击能力。腾讯安全云鼎实验室主要从2018年上半年 DDoS 攻击情况的全局统计、DDoS 黑色产业链条中的人员分工与自动化操作演进两个方面进行分析阐述。


一、全局统计分析


2013~2018年 DDoS 流量峰值情况


DDoS 攻击流量峰值每年都不断地被超越,上半年的一起Memcached DDoS攻击,其峰值1.7 Tbps 达到了一个新的高度。虽然已经关闭了大量的 Memcached 的UDP 端口,但其5万的反射放大倍数,仍使攻击者可利用少量未关停 UDP 端口的 Memcached 反射点,打出大流量攻击。所以在短短的三个月里,Memcached DDoS 已成为反射放大的一股主要力量。


△2013~2018年 DDoS 攻击流量峰值统计


DDoS攻击行业分类情况


随着各行各业的互联网化,DDoS 的攻击面也越来越多,这里我们列出了14种主要行业。游戏行业因其日流水量最大、变现快,一直站在利益的风口浪尖上,当仁不让地成为 DDoS 首选的攻击目标,也是上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后,也遭受到了不同程度的攻击,且呈上升的趋势。


在游戏行业当中,手机游戏已超过了 PC 客户端游戏成为了 DDoS 攻击的主要目标。H5 游戏的崛起,也成为了 DDoS 的关注点,占整体攻击的1.4%。这里我们首次把游戏的第三方服务归结到游戏中,游戏的飞速发展催生了大量的第三方服务商,包括但不限于游戏虚拟财产买卖平台、数据分析、电竞、美术/音乐外包、游戏云服务、游戏资讯等各个环节。


△ 2018上半年 DDoS 攻击行业分类情况


DDoS攻击的类型占比统计


在攻击类型中,反射放大占比最多,约为55.8%。 Memcached 作为今年三月以来的新兴反射放大力量,迅速被 DDoS 黑产界利用,其在整体的占比中也相当大。反射放大占比如此之多的一个原因是 DDoS 黑产的自动平台化,即无需人工干预,完全自动流程可完成攻击的所有操作。


SYN Flood 排名第二,一直是 DDoS 的主要攻击手法。随着 DDoS 黑产的平台化,SYN Flood 的载体也发生了改变,由海量的肉鸡渐渐转移到了发包机上(以伪造源 IP 的 SYN Flood 为主)。


HTTP Flood 作为7层攻击的主要方式,因为要建立完整的 TCP 连接,不能够伪造源 IP,所以还是以肉鸡侧发动攻击为主。但云鼎实验室监测发现,HTTP Flood 也开始向代理服务器和发包机发展。在互联网上获取海量的代理服务器相比肉鸡的抓取容易很多,以代理服务器频繁地变换真实的IP,再加上交互的模拟,可以使 HTTP Flood 很难被发现。而发包机的方式,虽不能变换 IP ,但可以频繁变换 UserAgent 的内容,以突破针对 HTTP Flood 的防御。


△2018年上半年 DDoS 攻击的类型统计


下图给出了几种反射放大的反射源地域分布情况。从抽样数据统计可见,LDAP、NTP、Memcached 为主的反射源 Top 10的国家重合度很高,以美国、中国、欧洲国家为主。SSDP 反射源因 IoT 设备的问题,导致其地域分布有所不同。


△反射源地域分布抽样统计


DDoS 所对应的C2地域分布


近年来国内的互联网安全措施持续加强。通过监控发现,在国内的C2渐渐有外迁的现象。还有一些持有高性能肉鸡的黑客,看到了虚拟货币的逐利远远大于 DDoS攻击,将一部分高性能肉鸡转去挖矿。鉴于以上原因针对用于 DDoS 的 C2 监控难度越来越大。


△ C2服务器所在地域情况


家族情况


通过对攻击家族的监控,主要以 Xorddos、Billgates 、Mayday 、Dofloo、Nitol、Darkshell 等家族为主。Xorddos 是发起攻击最多的家族,甚至每天多达上万次的攻击,攻击类型多以 SYN Flood 为主、其他攻击类型为辅的组合攻击。Nitol 家族是发起 HTTP Flood 攻击最多的家族,还会输出 SYN Flood、ICMP Flood、TCP Flood 等攻击。以上家族攻击的统计中,针对各个行业的攻击都有涉猎,游戏行业无疑是攻击的首选。


被攻击IP的地域情况


DDoS 攻击目标按地域分布统计中,国外受攻击最多的国家是美国,其次是韩国、欧洲国家为主,DDoS 攻击的主要目标还是聚集在互联网发达的国家中。

转载请注明出处: http://www.maoming7.com/view-163781-1.html