在Akamai最新的互联网状态报告中，黑客利用物联网（IoT）设备发起攻击成为安全威胁发展的一个重要趋势。

作为承载全球15％～30%互联网流量的第一大CDN服务商（http://baike.baidu.com/view/564098.htm），Akamai的“互联网状态报告”（State of the Internet）是当前阐述全球互联网（流量）状况和发展趋势的最权威的报告。

在上周23日，Akamai的Q3 State of the Internet／Security安全报告发布（微盘下载：http://vdisk.weibo.com/s/C72IDYVyetPLq/1414113806）。这是Akamai全球互联网状态报告的安全专版，也是一份非常难得和值得仔细阅读与学习的安全报告。

本期将集中对该报告进行解读。需要首先说明的是，本文对Akamai安全报告的解读主要集中在DDoS上（P.S：事实上State of the Internet／Security安全报告中绝大部分内容也是对DDoS攻击的分析），第四章Emerging threat不在本文中阐述；此外，受篇幅所限，Case Study一章亦不涉及。

在Stateof the Internet／Security（Q3）报告中，Akamai关于DDoS攻击的阐述，笔者概括为四个主要观点：

（1）物联网（IoT）为黑客提供了广阔的攻击来源；
（2）黑客越来越借助攻击的强度而非复杂的技巧；
（3）流量型攻击的比例远高于应用层攻击；
（4）黑客越来越依赖混合攻击来提高防护一方的难度

IoT攻击的崛起

以往发起DDoS攻击的多是僵尸主机或数据中心里的服务器，然而这种现状正在被打破。拥有更多数量的个人手机、平板、家用路由器以及ARM－Based的家电等系统正在成为黑客发起攻击的来源。除此之外，可以通过互联网访问的提供各种业务功能的电信运营商服务器、基站以及其他工业系统也都被黑客盯上。上述这些设备和系统都可能最终成为黑客发起网络攻击的载体。

物联网攻击的另一个加速器是最近曝光的三大漏洞，Heartbleed (OpenSSL) 漏洞 (CVE-2014-0160)，Shellshock (Bash)漏洞 (CVE-2014-6271) 和Poodle (ssl 3.0) 漏洞(CVE-2014-3566)。

这些严重漏洞的一个极其严重的后果是很多IoT终端设备的安全性也收到威胁。这些设备的漏洞很难在短期内修复——原因是多方面，然而结果就是黑客就像找到了四十大盗藏宝的洞穴一样，突然发现攻击源是如此的取之不尽，用之不绝。

赐予我力量吧

在Akamai安全报告中提到，从大量的DDoS攻击事件中发现，黑客发起DDoS攻击时，越来越追求攻击的强度，而不是攻击的技巧。

从上图中可以看出，攻击的带宽/速率（bps）和流量（pps）无论是同比还是环比均有明显上升。其中：

（对照2013年Q3）同比增长：
80 percent increase in average attack bandwidth
10 percent increase in average peak packets per second
（对照2014年Q2）环比增长：
389 percent increase in average attack bandwidth
366 percent increase in average peak packets per second

相信上面的数字足以证明黑客攻击的火力越来越猛。在Q3，Akamai监测到最大的攻击流量已经突破320Gbps！

如此大流量的攻击除了卷入更多的僵尸和攻击设备外，基于Network Time Protocol (ntp)、SimpleNetwork Management Protocol (snmp)、CharacterGeneration (chargen) 和Domain Name System(dns)协议的反射放大攻击，以及大负载Syn／UDP flood攻击也是常用的手段。

下图是Akamai捕获的两个大负载Syn Flood以及UDP Flood数据包：

请注意上图中介绍部分的文字内容，Figure-5显示的一个是970字节的Syn包，类似这样超大负载的SYN包在超过100Gbps的攻击中很常见；Figure-6显示的是673字节的UDP包，这样的UDP包就出现在321Gbps的攻击事件中。

花拳绣腿不如直接干死

在报告中，Akamai“惊奇地”发现，流量型，即面向基础设施，如带宽的DDoS攻击（Infrastructure Attack），或简称为3层攻击是主流，而应用层攻击（或简称7层攻击）只占10%，如下图：

这是一个有趣的现象，从攻击所需要的技巧来说，3层攻击的技术难度要低于7层攻击。对于防护一方来说，当攻击的流量到了一定的数量，防护一方实际可以采取的手段是非常有限的，其防护的成本也是非常高昂的。这恰恰是攻击一方希望看到的。

组合拳

混合攻击的初衷就是提高防护一方的防护难度。

首先，何为混合攻击？混合攻击就是采用两种或两种以上的攻击手段。举例来说，SYN Flood＋UDP Flood，虽然都是三层攻击，由于手段不同，就是一种混合攻击；SYN Flood＋HTTP Get Flood，一个三层，一个七层，也是一种常见的混合攻击。

在Q3中，Akamai监测到攻击流量超过100Gbps的17起事件均为混合攻击。Akamai对攻击流量最高（highest pps）和攻击带宽最大（largestbandwidth ）的两次攻击进行了分析。流量最高的一次攻击，流量达到169 millionpackets per second (Mpps)，对应的带宽是232Gbps。攻击一方采用了大负载Syn Flood和单字节负载UDP Flood的混合流量。另一起攻击事件是攻击带宽最大的事件，即上文提到的320Gbps的DDoS攻击（对应流为72 million packets per second）。攻击者同样混合了大负载的UDP Flood和Syn Flood数据包。

下图是Q3Akamai对于DDoS攻击手段的统计，及其同比和环比变化的对照：

从上图不难发现，从DDoS攻击手段上来说，可以总结为以下几个特点：

（1）以SYN Flood和UDP Flood为代表的3层攻击为黑客最主要DDoS攻击手段。反射放大攻击的比例并不太高（<10%）。看来黑客经过权衡，更重视对攻击成本和难度的考虑。当然，这可能也与攻击工具的操作难度和扩散范围有关。
（2）应用层攻击比例越来越小，特别是一直困扰防护一方的SSL Flood并没有被黑客广泛采用；
（3） SSDP攻击在2014 Q3经历了从无到有的过程，这对于个人家用网络设备以及IoT系统不是一个好消息。

上面就是AkamaiQ3互联网状态报告安全专版中主要传递的四个核心观点。当然，报告本身内容还是非常丰富的，还包括攻击来源的国家分布、攻击时长统计以及攻击时间段分析等。既有数据，也有案例。一方面笔者认为上述内容均非报告最核心的观点，同时受本文篇幅所限，这里均不再赘述。

最后，打一个小广告，笔者计划近期创建一个微信公众号，推送一些最新的海外安全动态。和笔者微博（http://weibo.com/hacktivism）相比，这个微信公众号所发布的内容除了保持百分百的海外一手资讯外，很多资讯将先于我的微博发布，而且不受限于140个字。此外，微信平台也便于大家相互沟通和交流。关于公众号的上线，请感兴趣的朋友留意我的微博。

[本文由FreeBuf专栏作者Blackscreen撰写 ]