1月初����,一名業(yè)余黑客利用從黑客論壇收集到的信息,在華為路由器中創(chuàng)建了一個(gè)木馬程序����,并在線發(fā)布��。然而�,襲擊很快就被扼殺在萌芽狀態(tài)�����,幕后的網(wǎng)絡(luò)罪犯無(wú)法追蹤�。
另外����,IoTroop僵尸網(wǎng)絡(luò)在上個(gè)季度首次被發(fā)現(xiàn)。還有一種感染ARCCPU的LinuxELF惡意軟件——MiraiOkiruI一月份也首次被發(fā)現(xiàn)�。另外,二月初��,JenX發(fā)現(xiàn)僵尸網(wǎng)絡(luò)不僅提供DDoS還充當(dāng)網(wǎng)游私服主機(jī)攻擊服務(wù)����。另外,在二月有媒體報(bào)道����,黑客正在構(gòu)建一個(gè)獨(dú)特的僵尸網(wǎng)絡(luò),第一次將兩個(gè)攻擊捆綁在一起�����,試圖繞過(guò)企業(yè)防火墻并感染設(shè)備。
至于DDoS的新方法和漏洞��,除了Memcached中的multiget除了漏洞���,上個(gè)季度的新聞也曝光了WordPress一個(gè)漏洞�����,使Web服務(wù)器很容易被攻擊����。幸運(yùn)的是��,野外攻擊樣本尚未找到��。
盡管在過(guò)去三個(gè)月內(nèi)影響很大的DDoS攻擊不多���,但利潤(rùn)仍然是DDoS僅在2017年���,俄羅斯的攻擊量就翻了一番。在2月初的三天里�����,幻想中的玩家在登錄某些服務(wù)時(shí)遇到了問(wèn)題。大致同時(shí)��,BusinessWire在此期間�,編輯和讀者都無(wú)法訪問(wèn)類似的攻擊超過(guò)一周��。但沒(méi)有關(guān)于贖金的報(bào)道����,估計(jì)攻擊背后的動(dòng)機(jī)與商業(yè)競(jìng)爭(zhēng)有關(guān)。
三月初發(fā)生了一系列襲擊GitHub以及對(duì)不知名服務(wù)提供商的攻擊�����,產(chǎn)生了1多次攻擊TB/s垃圾流量��。利用如此大的流量Linux流行的緩存服務(wù)器Memcached有趣的是�,在一些攻擊中,垃圾流本身就在Monero包括贖金要求���。
當(dāng)然��,最近最突出的事件是在2月初破壞冬奧會(huì)開(kāi)幕式DDoS在此之前���,美國(guó)國(guó)防部在1月底阻止了大量垃圾郵件的攻擊��。此外����,專家報(bào)道��,朝鮮DDoS攻擊者正在擴(kuò)大其影響范圍�����。
然而�����,荷蘭的主要金融機(jī)構(gòu)DDoS襲擊最初被認(rèn)為是政治目的����,但經(jīng)過(guò)仔細(xì)分析,這實(shí)際上是一種純粹的流氓行為�����,因?yàn)楹商m警方逮捕了一名年輕嫌疑人����,因?yàn)樗麑?duì)幾家銀行進(jìn)行了類似的攻擊����。
作為個(gè)人報(bào)復(fù)手段��,DDoS也越來(lái)越受歡迎�。例如��,加州大衛(wèi)•古德伊爾(DavidGoodyear)為了報(bào)復(fù)業(yè)余天文論壇將其列入黑名單��,發(fā)起了一場(chǎng)比賽DDoS攻擊��。
本季度趨勢(shì)
Memcached一家公司于2月底聯(lián)系了卡巴斯基DDoS研究部門(mén)����。起初,根據(jù)對(duì)方提供的信息����,研究人員發(fā)現(xiàn)對(duì)他們的攻擊確實(shí)與典型的攻擊相似DDoS攻擊:通信渠道堵塞,用戶無(wú)法訪問(wèn)公司服務(wù)����。但通過(guò)調(diào)查,在其中一臺(tái)客戶端服務(wù)器上安裝了易受攻擊的服務(wù)器Memcached服務(wù)的CentOSLinux服務(wù)器�����。網(wǎng)絡(luò)犯罪分子在攻擊期間使用的服務(wù)產(chǎn)生了大量的流量,導(dǎo)致信道過(guò)載��。換句話說(shuō)���,客戶端不是目標(biāo)�����,而是目標(biāo)����。DDoS攻擊中的道具:攻擊者使用其服務(wù)器作為放大器�。
對(duì)Memcached在攻擊過(guò)程中,被攻擊服務(wù)器的用戶會(huì)注意到負(fù)載增加�����,并通過(guò)修復(fù)漏洞來(lái)避免更多的停機(jī)損失��。因此���,可用于此類攻擊的服務(wù)器數(shù)量正在迅速下降���,因此Memcached攻擊很快就會(huì)消失�。
盡管如此�,第一季度的情況表明,“放大”除了Memcached此外�����,網(wǎng)絡(luò)犯罪分子可能會(huì)尋找其他非標(biāo)準(zhǔn)“放大”方法��。例如�,上一季度��,LDAP服務(wù)被用作放大器��。盡管可用的LDAP服務(wù)器數(shù)量相對(duì)較少�,但這種攻擊可能會(huì)在未來(lái)幾個(gè)月產(chǎn)生一定的影響。
DDoS攻擊統(tǒng)計(jì)
方法
在本報(bào)告中�����,如果僵尸網(wǎng)絡(luò)活動(dòng)間隔不超過(guò)24小時(shí)�,則認(rèn)為事件是單獨(dú)的DDoS攻擊。例如�,如果一個(gè)特定的網(wǎng)絡(luò)資源被同一僵尸網(wǎng)絡(luò)攻擊�,間隔時(shí)間為24小時(shí)或更長(zhǎng)���,則該事件被認(rèn)為是兩次攻擊�����,來(lái)自不同僵尸網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)要求也被視為單獨(dú)攻擊����。
發(fā)送命令DDoS攻擊受害者和C&C服務(wù)器的地理位置由各自決定IP地址決定DDoS季度統(tǒng)計(jì)中唯一的攻擊目標(biāo)數(shù)量IP計(jì)算地址數(shù)量����。
DDoSIntelligence統(tǒng)計(jì)僅限于卡巴斯基實(shí)驗(yàn)室檢測(cè)和分析的僵尸網(wǎng)絡(luò)。請(qǐng)注意����,僵尸網(wǎng)絡(luò)只執(zhí)行DDoS攻擊工具之一,本報(bào)告中提供的數(shù)據(jù)不包括審查期間發(fā)生的每次數(shù)據(jù)DDoS攻擊�����。
統(tǒng)計(jì)結(jié)果
2018年第一季度�����,對(duì)79個(gè)國(guó)家的目標(biāo)進(jìn)行了登記DDoS攻擊。和以前一樣�����,絕大多數(shù)(95.14%)發(fā)生在十大國(guó)家�����。
至于攻擊目標(biāo)���,中國(guó)的攻擊目標(biāo)占47%.53%�����。
攻擊和目標(biāo)的數(shù)量顯著增加,長(zhǎng)期攻擊的數(shù)量也顯著增加����。DDoS攻擊持續(xù)了297小時(shí)(超過(guò)12天),成為近年來(lái)最長(zhǎng)的一次���。
Linux僵尸網(wǎng)絡(luò)的份額略有下降至66%��,而上一季度為71%���。
在1月中旬和3月初��,網(wǎng)絡(luò)攻擊的數(shù)量和能力出現(xiàn)了明顯的高峰�,而相對(duì)平靜���。
攻擊地理
中國(guó)占59%.18%上升到59.美國(guó)在172%.在83%的基礎(chǔ)上增加了1.韓國(guó)從10%下降了83%.21%下降到8%�。
英國(guó)(1.30%)從第四名上升到第五名�����。2018年第一季度��,第十名變成俄羅斯�����,其份額從10%上升.25%下降到0.76%����。荷蘭和越南退出前十名,但香港和日本(1.16%)重新出現(xiàn)���。
按國(guó)家分布DDoS攻擊比較2018年第一季度和2017年第四季度
至于攻擊目標(biāo)的分布�,盡管其份額為51.84%下降到47.53%。第二美國(guó)份額為19.32%上升到24.10%的韓國(guó)是第三(9.62%)����。法國(guó)的排名發(fā)生了顯著變化,盡管本季度只下降了0.65%��,從第五名下降到第九名���。
俄羅斯和荷蘭不再是十個(gè)受到攻擊最嚴(yán)重的國(guó)家�����,而是香港(4).76%)直接進(jìn)入第四名�,日本(1.6%)進(jìn)入第六名�。總的來(lái)說(shuō)���,與2017年底相比,本季度排名前十的國(guó)家攻擊總量略有增長(zhǎng)����,達(dá)到94.17%。
按國(guó)家分布DDoS2017年第四季度和2018年第一季度的攻擊目標(biāo)比較
DDoS動(dòng)態(tài)變化動(dòng)態(tài)變化
第一季度的大部分活動(dòng)發(fā)生在第一個(gè)月,1月19日(66次襲擊)和3月7日(687次襲擊)達(dá)到頂峰���。這可能與新年假期結(jié)束(1月第二周攻擊次數(shù)開(kāi)始增加)和3月份銷售(與國(guó)際婦女節(jié)有關(guān))有關(guān)���。
本季度最平靜的一天是星期天,只占所有攻擊的11.35%���。
根據(jù)攻擊日期�����,2017年第四季度和2018年第一季度DDoS攻擊分布
DDoS攻擊類型和持續(xù)時(shí)間
SYN-DDOS攻擊比例略有增加(從55.63%增加到57.3%)����,但之前幾個(gè)季度沒(méi)有出現(xiàn)這種情況�����。ICMP從3.4%上升到6.1%�。
按類型分布DDoS2018年第一季度攻擊
在2017年底短暫停止后,我們看到了持續(xù)攻擊的回歸���,最長(zhǎng)持續(xù)297小時(shí)(12.4天)�。雖然低于世界紀(jì)錄,但其攻擊規(guī)模仍相當(dāng)可觀�����。
其他持續(xù)攻擊(50小時(shí)以上)的比例增加了6倍以上�����,從0開(kāi)始.10%增加到0.63%����。另一方面,如果上個(gè)季度占所有攻擊的85%��,最短的攻擊份額(9小時(shí)或更短)也在增加�����。.現(xiàn)在這個(gè)數(shù)字是91%.47%��。與此同時(shí)����,上個(gè)季度持續(xù)10小時(shí)至3天的攻擊次數(shù)從14%開(kāi)始.85%減少到了7.76%�。
DDoS攻擊持續(xù)時(shí)間(小時(shí))���,2017年第四季度和2018年第一季度的分布
按照上個(gè)季度C&C服務(wù)器數(shù)量排名前十的國(guó)家進(jìn)行了重大洗牌:加拿大、土耳其����、立陶宛和丹麥不再名列前茅,而意大利�����、香港���、德國(guó)和英國(guó)則繼續(xù)攀升��。前三名幾乎沒(méi)有變化:韓國(guó)(30.美國(guó)(292%).中國(guó)(8)32%.03%).01%)在2017年底滑落至第九名����。
此外���,意大利(6)的份額幾乎翻了一番.83%)�,荷蘭(5.62%)和法國(guó)(3.61%)份額大幅增加����。這種增長(zhǎng)是由于Darkai(美國(guó)��、意大利��、荷蘭和法國(guó))和AESDDoS(中國(guó))攻擊C&C賬戶數(shù)量急劇增加����。
僵尸網(wǎng)絡(luò)按照國(guó)家分布的僵尸網(wǎng)絡(luò)C&C2018年第一季度服務(wù)器
上一季度Linux與2017年底相比����,僵尸網(wǎng)絡(luò)的份額略有下降,從71%下降到66%����。因此,基于此Windows的僵尸網(wǎng)絡(luò)的份額從29%上升到34%��。
基于Windows和Linux2018年第一季度僵尸網(wǎng)絡(luò)攻擊的關(guān)系
總結(jié)
我們?cè)?018年第一季度觀察到DDoS2017年第四季度攻擊總數(shù)和持續(xù)時(shí)間顯著增加�����。新的基礎(chǔ)Linux的僵尸網(wǎng)絡(luò)Darkai和AESDDoS主要責(zé)任?��,F(xiàn)在熟悉的Xor基于攻擊的數(shù)量也增加了�����。Windows在攻擊總次數(shù)方面�,僵尸網(wǎng)絡(luò)沒(méi)有被攻擊者放過(guò)����,Linux數(shù)量的份額也在增加。
多個(gè)僵尸網(wǎng)絡(luò)的混合攻擊數(shù)量也增加了����,這一趨勢(shì)明顯高于以往。根據(jù)研究人員的分析�����,為了最大化利益����,攻擊者使用僵尸網(wǎng)絡(luò)中未使用的部分來(lái)產(chǎn)生垃圾流量,并將其重新部署到目標(biāo)中��。
擴(kuò)大攻擊也成為一種新趨勢(shì)��,特別是通過(guò)Memcached服務(wù)器����。雖然Memcached服務(wù)器制造商可以快速修復(fù)漏洞���,但攻擊者可能會(huì)尋求其他放大方法,其中之一是使用LDAP服務(wù)器����。在攻擊的情況下,LDAP服務(wù)器的響應(yīng)能達(dá)到很高的帶寬�����,平均放大系數(shù)是46倍��,而在攻擊高峰期���,這個(gè)值是55倍���。
游戲、金融���、網(wǎng)站等用戶騰佑科技遭受了大流量DDoS在攻擊后導(dǎo)致服務(wù)不可用的情況下�,推出DDoS高防ip付費(fèi)增值服務(wù)����,用戶可以配置高防御服務(wù)IP���,將ddos將攻擊流引流到高防IP,確保源站穩(wěn)定可靠�!詳細(xì)詢問(wèn)在線客服!
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁(yè)
0371-89913000
