导语:在本报告中,将统计2018年第一季度的DDoS攻击概况,其中包括攻击方法、攻击地理目标、数量变化、攻击类型及趋势。
1月初,一名业余黑客利用从黑客论坛收集到的信息,在华为路由器中利用零日漏洞创建了一个木马程序并在线发布。不过,袭击很快就在萌芽状态被扼杀,幕后的网络犯罪分子无法追查到。
另外,IoTroop僵尸网络在上个季度首次被发现。还有,一种用于感染ARC CPU的Linux ELF恶意软件——Mirai OkiruI也首次在一月被发现。此外,二月初,JenX僵尸网络被发现,它不仅提供DDoS攻击服务,还充当网游私服主机。另外,在二月有媒体报道,黑客正在构建一个独特的僵尸网络,第一次将两个攻击捆绑在一起,试图绕过企业防火墙并感染设备。
至于DDoS的新方法和漏洞,除了Memcached中的multiget漏洞之外,上个季度的新闻还曝出了WordPress中的一个漏洞,使得Web服务器很容易被攻击。幸运的是,目前还没有发现野外攻击的样本。
尽管在过去三个月内影响很大的DDoS攻击并不多,但利润仍然是DDoS攻击数量翻倍的主要原因,仅在2017年,俄罗斯的攻击数量就翻了一倍。在2月初的三天时间里,最终幻想的玩家在登录某些服务时遇到了问题。在大致同一时间,BusinessWire遇到了超过持续一周的类似攻击,在此期间编辑和读者都无法访问新闻门户。不过却没有关于赎金的报道,估计攻击背后的动机与商业竞争有关。
在三月初发生一系列袭击GitHub和针对一家不知名服务提供商的攻击,这些攻击产生了超过1TB/s的垃圾流量。这么大的流量是通过利用Linux服务器的流行缓存服务Memcached实现的,有趣的是,在其中一些攻击中,垃圾流量本身在Monero中包含赎金要求。
最近发生的最突出的事件当然是在2月初破坏冬奥会开幕式的DDoS攻击,在此之前,在1月底,美国国防部阻止了了大量垃圾邮件的攻击。另外,专家报道,朝鲜的DDoS攻击者正在扩大其影响范围。
不过对荷兰主要金融机构的DDoS攻击事件最初被认为是有政治目的的,但经仔细分析后,这其实是纯粹的流氓行为,因为荷兰警方逮捕了一名青年犯罪嫌疑人,因为他对几家银行都实施了类似的攻击。
作为个人报复手段,DDoS也越来越受欢迎。例如,加利福尼亚州的大卫•古德伊尔(David Goodyear)为了报复一个业余天文论坛将其列入黑名单,而发起一场DDoS攻击。
本季度趋势
Memcached是上一季度最具轰动性的攻击的导火索,2月下旬,一家公司联系了卡巴斯基DDoS研究部门。起初,研究人员根据对方提供的信息,发现对他们的攻击确实类似于典型的DDoS攻击:通信渠道堵塞,用户无法访问公司的服务。但是,通过调查,在其中一台客户端服务器上安装了具有易受攻击的Memcached服务的CentOS Linux服务器。网络犯罪分子在攻击期间使用的这项服务产生大量传出流量,导致信道过载。换句话说,客户端不是目标,而是DDoS攻击中的道具:攻击者使用其服务器作为放大器。
对Memcached来说,攻击期间被攻击的服务器的用户会注意到负载增加,并且通过修复漏洞,以免受到更多的停机损失。因此,可用于此类易受攻击的服务器数量正在迅速下降,因此Memcached攻击可能很快就会消失。
尽管如此,第一季度的情况表明,“放大”的攻击的数量似乎还在增多,除了Memcached之外,网络犯罪分子可能会寻找其他非标准“放大”方法。例如,上个季度, LDAP服务被用作放大器。尽管可用的LDAP服务器数量相对较少,但这种类型的攻击可能会在未来几个月内造成一定影响。
DDoS攻击统计
方法
在本报告中,如果僵尸网络活动时间间隔不超过24小时,则认为事件是单独的DDoS攻击。例如,如果一个特定的网络资源遭到同一僵尸网络的攻击,间隔时间为24小时或更长时间,则该事件被认为是两次攻击,来自不同僵尸网络但针对一种资源的僵尸网络请求也被视为单独的攻击。
用于发送命令的DDoS攻击受害者和C&C服务器的地理位置由其各自的IP地址决定。本报告中DDoS攻击的唯一目标数量按季度统计中唯一IP地址的数量计算。
DDoS Intelligence统计仅限于卡巴斯基实验室检测和分析的僵尸网络。请注意,僵尸网络只是执行DDoS攻击的工具之一,并且本报告中提供的数据不包括在审查期间发生的每一次DDoS攻击。
统计结果
在2018年第一季度,针对79个国家的目标登记了DDoS攻击。与以往一样,绝大多数(95.14%)发生在前十位国家。
至于袭击目标,中国的攻击目标占了47.53%。
攻击和目标的数量大幅增加,长期攻击的数量也大幅增加。最长的DDoS攻击历时297小时(超过12天),成为近年来最长的一次。
Linux僵尸网络的份额轻微下降至66%,而上一季度为71%。
在1月中旬和3月初观察到网络攻击的数量和能力出现了明显的高峰,而中期则相对平静。
攻击地理
中国所占的比重从59.18%上升到59.42%,而美国在17.83%的基础上增加了1.83%,韩国则下降了2%,从10.21%下降到8%。
英国(1.30%)由第四位上升至第五位。在2018年第一季度中,第十位变为了俄罗斯,其份额从1.25%下降到0.76%。荷兰和越南退出前十名,但香港和日本(1.16%)重新出现。
按国家分布的DDoS攻击,2018年第1季度和2017年第4季度比较
至于攻击目标的分布情况,头把交椅仍然属于中国,尽管其份额从51.84%下降到47.53%。第二的美国份额从19.32%上升到24.10%,韩国是第三位(9.62%)。法国的排名显着变化,虽然本季度仅下降0.65%,从第五位下降到第九位。
受攻击最严重的十个国家的名单里,不再有俄罗斯和荷兰,但香港(4.76%)直接进入第四位,日本(1.6%)进入第六位。总体而言,本季度,排名前十位的国家的攻击总量相比2017年底略有增长,达到94.17%。
按国家分布的DDoS攻击目标,2017年第4季度和2018年第1季度的比较
DDoS攻击数量的动态变化
第一季度的大多数活动发生在开始的一个月,1月19日(666次袭击)和3月7日(687次袭击)的攻击次数达到顶峰。这可能与新年假期结束(1月第二周攻击次数开始增加)和3月份销售额(与国际妇女节有关)有关。
本季度最平静的一天是星期天,仅占所有攻击的11.35%。
按着攻击日期,2017年第四季度和2018年第一季度的DDoS攻击分布情况
DDoS攻击的类型和持续时间
SYN-DDOS攻击的比例略有增加(从55.63%增加到57.3%),但之前几个季度没有出现这种情况。ICMP攻击份额几乎翻了一番,从3.4%上升到6.1%。
按类型分布的DDoS攻击,2018年第一季度
经过2017年底的短暂停歇之后,我们看到了持续攻击的回归,最长的持续297小时(12.4天)。尽管低于世界纪录,但其攻击规模仍然相当可观。
其他持续攻击(50小时或以上)的比例增加了六倍以上,从0.10%增加到0.63%。另一方面,最短的攻击份额(9小时或更短)也在增长,如果上个季度它们占所有攻击的85.5%,现在这一数字为91.47%。与此同时,最近一个季度持续10小时至3天的攻击次数从14.85%减少到了7.76%。
DDoS攻击的持续时间(小时),2017年第4季度和2018年第1季度的分布情况
上个季度,按照C&C服务器数量排名前十位的国家进行了一次重大洗牌:加拿大,土耳其,立陶宛和丹麦不再榜上有名,而意大利,香港,德国和英国则持续攀升。前三名几乎没有变化:韩国(30.92%),美国(29.32%),中国(8.03%)。只有俄罗斯(2.01%)在2017年末滑落至第九名。
美国的份额几乎翻了一番,此外,意大利(6.83%),荷兰(5.62%)和法国(3.61%)的份额大幅增加。这一增长是由于Darkai(美国,意大利,荷兰和法国)和AESDDoS(中国)攻击的C&C账户数量急剧增加。
按国家分布的僵尸网络C&C服务器,2018年第一季度
上一季度Linux僵尸网络的份额与2017年底相比略有下降,从71%下降至66%。因此,基于Windows的僵尸网络的份额从29%上升到34%。
基于Windows和Linux的僵尸网络攻击之间的关系,2018年第1季度
总结
在2018年第一季度,我们观察到DDoS攻击总数和持续时间在2017年第四季度显着增加。新的基于Linux的僵尸网络Darkai和AESDDoS负主要责任。现在熟悉的Xor攻击的数量也上升了。基于Windows的僵尸网络也没有被攻击者放过,在攻击总次数方面,Linux的数量所占份额也在增加。
涉及多个僵尸网络的混合攻击数量也有所增加,这个趋势的明显比以往增多了。根据研究人员的分析,为了让利益最大化,攻击者利用僵尸网络中未使用的部分来产生垃圾流量,并将其重新部署到目标中。
放大的攻击也成为了新趋势,特别是通过Memcached服务器。虽然Memcached服务器的制造商能够快速修补漏洞,但攻击者可能会寻求其他放大方法,其中之一是利用LDAP服务器。在受攻击的情况下,LDAP服务器的响应能够达到非常高的带宽,平均放大系数为46倍,而在攻击高峰期,这个数值更是达到了55倍。