綠盟科技發佈《2017上半年DDoS與Web應用攻擊態勢報告》
2017-10-16

綠盟科技發佈《2017上半年DDoS與Web應用攻擊態勢報告》

DDoS攻擊和Web應用攻擊是當今網路面臨較為明顯的兩大安全威脅。

       從攻擊實施的難易程度來看,Web應用層攻擊對攻擊者的Web相關知識和技能要求更高,但正因為DDoS攻擊技術門檻低,也使得DDoS攻擊越發猖獗。從對攻擊目標的威脅嚴重程度來看,DDoS攻擊一般是在攻擊持續期間對目標網路或系統資源的可用性造成嚴重影響,具有攻擊影響面大、直接損失嚴重等特點,如:可造成網路大面積癱瘓、各類服務不可用;而Web應用層攻擊對目標可造成持久的資源可用性、可控性,資料的機密性、完整性的破壞,其影響具有持久性、隱密性等特點。從很多案例我們看到,很多時候DDoS攻擊被駭客用作實施Web應用攻擊的煙霧彈,也即先發起DDoS攻擊吸引安全團隊精力,同時暗地裡進行Web應用層攻擊,最終達到篡改、竊取敏感資訊、獲取系統控制許可權等目的。

2017上半年DDoS攻擊態勢概覽

2017上半年我們監控到DDoS攻擊10萬餘次,其中:

  • DDoS攻擊總次數比2016下半年下降30%,攻擊總流量下降38.4%。
  • 單次DDoS攻擊平均峰值為32Gbps,相比2016年下半年升高47.5%。
  • 單次攻擊平均攻擊時長為9小時,相比2016年下半年呈回升趨勢,增長28.6%,但略低於2016年上半年水準。
  • 有10.6%的目標IP曾經遭受過長達24小時以上的攻擊,其中38.3%曾在1個季度內遭受過2次或更多次DDoS攻擊,最高達到20次/季度。
  • 300Gbps的超大流量DDoS攻擊呈增長趨勢,共發生46次, Q2比Q1增加了720%。
  • SYN Flood大流量攻擊明顯增多,在攻擊峰值大於300Gbps的超大流量攻擊中占比高達91.3%,相比去年增長52.3個百分點。
  • 反射攻擊整體活動放緩,Q2總流量比Q1下降80%,其中最明顯的是DNS反射攻擊,總流量下降301%。

2017上半年Web應用攻擊態勢概覽

2017上半年,攻擊者對NSFOCUS所防禦的Web網站發起了2,465萬次Web應用層攻擊。其中:

  • 有82%的網站在2017上半年曾遭受Web應用攻擊,單個網站日平均被攻擊次數為21次。
  • 有19.6%的攻擊源IP曾經對2個及以上的Web網站發起過攻擊,這部分攻擊源IP中有74.3% 在綠盟威脅情報中心(NTI)中有不良IP信譽記錄,且被標識為中、高危的占比74.2%。
  • 有79.3%的網站遭受的攻擊為已知Web漏洞攻擊,其中利用率最高的漏洞為Struts2相關漏洞,占全部已知Web漏洞攻擊的58.7%。
  • SQL注入攻擊占比40.8%,從攻擊Payload Top10來看,大部分攻擊發生在攻擊初期階段,主要是試探網站是否存在注入漏洞。
  • Struts2 CVE-2017-5638 高危漏洞爆發一周內平均每天發生2,771
  • 次攻擊,教育(23%)、政府(19%)、金融(17%)、互聯網(10%)受該漏洞影響較大。

2017年上半年DDoS攻擊趨勢

DDoS 攻擊次數和流量峰值情況

DDoS 攻擊次數和攻擊流量

       2017 年上半年,我們監控到DDoS 攻擊約10 萬次,相比2016 年下半年下降30%;攻擊總流量約1.6 萬TBytes,相比2016 年下半年下降38.4%,我們認為,這與今年年初開始反射攻擊活動減少有關。

       2017 上半年相比2016 年整體攻擊趨勢放緩,2017 Q2 季度有回升的趨勢。Q2 季度環比Q1 季度總攻擊次數增長39.3%,總流量增長10.3%。這符合以往的“年初DDoS 攻擊放緩,年中攻擊活躍”的趨勢。

http://blog.nsfocus.net/wp-content/uploads/2017/08/TIM%E6%88%AA%E5%9B%BE20170807141407.png

攻擊峰值各區間分佈

       2017 Q1 季度,DDoS 攻擊仍然以峰值在5Gbps 以下的小流量攻擊為主,這部分攻擊占全部攻擊峰值區間的73.3%。相比Q1 季度,Q2 季度攻擊峰值在5Gbps 以下的小流量攻擊明顯減少,占比為39.8%,而峰值在5G 以上的攻擊占比均有所上升,尤其是300G 以上的攻擊明顯增加。

       2017 上半年,攻擊峰值在200Gbps 以上的大流量攻擊共發生230 次,相比2016 下半年下降16.4%。

       2017 上半年攻擊總數量雖有減少,但峰值大於300Gbps 的超大流量攻擊呈增長趨勢,共發生46 次,相比2016 年下半年增長4.5%,2017 Q2 相比Q1 增加了720%。

單次攻擊最高/ 平均峰值

       2016 至2017 上半年單次攻擊的平均攻擊峰值呈整體上升的趨勢,在2017 年3 月份創新高,達42.1Gbps。

       雖然2017 上半年攻擊總量減少,但Q2 季度的大流量攻擊拉高了整體的平均攻擊峰值走勢。

       從單次攻擊峰值來看,2017 上半年單次最高攻擊峰值為418Gbps,相比2016 年整體呈下降趨勢;單獨看2017 上半年,最高攻擊峰值有回升的趨勢。

DDoS 攻擊類型分析

各攻擊類型次數和流量占比

       2017 上半年,Top 3(按攻擊次數統計)DDoS 攻擊類型分別為NTP Reflection Flood、SSDP ReflectionFlood 和CHARGEN Reflection Flood,均為反射類型,Top 3 合計占比達 81.7%。但反射攻擊整體活動有所放緩,具體分析請見反射攻擊活動放緩章節。

       從各類攻擊流量大小占比來看,SYN Flood 和UDP Flood 依然是流量最大的兩種攻擊類型,SYN Flood 流量占比達56%,UDP Flood 流量占比為23.3%。與2016 年相比,SYN Flood 流量占比明顯增多,上升7 個百分點,UDP Flood 流量占比明顯減少,下降6.3 個百分點。這一趨勢在大流量攻擊中體現尤其明顯,詳見之後的章節分析。

http://blog.nsfocus.net/wp-content/uploads/2017/08/5.png

攻擊類型各流量區間分佈

       2017 上半年,特別值得注意的是,SYN Flood 大流量攻擊明顯增多,其在大流量攻擊中占比明顯上升。尤其在大於300Gbps 的超大流量攻擊中,SYN Flood 占比高達91.3%,相比去年增長了52.3 個百分點。與此同時,UDP Flood 攻擊在大於300Gbps 的超大流量攻擊占比8.7%,相比去年下降34.9 個百分點。

       2017 上半年TOP 5 攻擊峰值事件攻擊手段均為SYN Flood。我們進一步對這五起攻擊事件進行溯源分析,發現攻擊源大多數為Web 伺服器,占比為37.5%,其次是資料庫系統,占比為12.9%。一般Web 伺服器或資料庫系統會被分配給較大的頻寬,所以它們能發出的攻擊流量也比普通PC 要大,可見攻擊者一直在尋求創造更高效的Botnet。

       這些攻擊的攻擊源中,有54.5% 為Windows 系統,超過Linux 系統(44.5%)。雖然Mirai 等物聯網僵屍網路大量崛起,但在2017 上半年的大流量攻擊中基於Windows 系統的攻擊凸顯,這與這段時間內某些基於Windows 系統的僵屍網路活動頻繁有關。

http://blog.nsfocus.net/wp-content/uploads/2017/08/8.png

反射攻擊活動放緩

反射攻擊次數和流量占比

       2017 上半年,攻擊次數占比和流量大小占比情況如下圖所示。NTP Reflection Flood 和SSDP ReflectionFlood 攻擊類型占比較大。

       從攻擊次數上來看,NTP Reflection Flood 仍霸佔首位,攻擊次數占全部反射攻擊次數的57%,其次是SSDPReflection Flood 和CHARGEN Reflection Flood,分別占24%、18.6%。

       從攻擊流量大小上來看,NTP Reflection Flood 攻擊流量占比仍最多,占全部反射攻擊流量的55.9%,其次是SSDP Reflection Flood,占40.5%。

http://blog.nsfocus.net/wp-content/uploads/2017/08/9.png

反射攻擊趨勢分析

      2017 上半年,反射類攻擊整體活動放緩。從各類反射攻擊總流量看,2017 Q1 季度相比2016 Q4 反射攻擊總流量下降71%;Q2 季度,相比Q1 季度下降80%。

      其中,NTP 反射攻擊相比2016 Q4,在Q1 季度其攻擊總流量下降了71.8%,Q2 季度相比Q1 季度繼續下降,下降了60.8%。DNS 反射攻擊下降趨勢較明顯,Q2 季度比Q1 季度下降了301%。

http://blog.nsfocus.net/wp-content/uploads/2017/08/10.png

       2017 上半年,大部分反射攻擊的最高攻擊峰值相比2016 Q4 季度均明顯下降。在Q1 季度,CHARGEN 反射攻擊最高攻擊峰值從Q4 的5.5Gbps 增長到39.6Gbps;其餘反射類均明顯下降,雖在Q2 季度略有增長,但仍然低於2016 Q4 季度。

       各類反射攻擊流量的減少,最高攻擊峰值的降低,都跟各類反射攻擊在全球範圍內可用的反射器數量逐年減少有關。分析有兩方面的原因,一方面,各運營商不斷對反射攻擊進行治理,如實施uRPF(Unicast ReversePath Forwarding)、BCP 38 等策略;另一方面,很多存在漏洞的伺服器都已經被打了補丁或者升級到較新版本,再或者直接關閉了本不需要開啟的服務。

       我們列出了2016 年Q4 到2017 年Q2 各類反射攻擊活躍反射器數量情況,如下圖所示。可以看出,2017上半年各類反射攻擊活躍反射器數量均呈下降趨勢。

NTP 活躍反射器分佈

       NTP 的活躍反射器數量雖然遠低於SSDP 的活躍反射器數量,但由於NTP 反射攻擊最高放大倍數可達550多倍,是SSDP 放大倍數(30)的18.3 倍,因此NTP 反射攻擊的攻擊總流量和攻擊峰值普遍高於SSDP 攻擊。

       我們以NTP 反射攻擊為例, 2017 年Q1 和Q2 季度,全球活躍NTP 反射器個數分別為23762 個和13809 個;NTP 反射器個數Top 5 國家如圖所示。

http://blog.nsfocus.net/wp-content/uploads/2017/08/13.png

DDoS 攻擊持續時間

DDoS 攻擊持續時間占比

       2017 上半年,長時攻擊增多,短時攻擊略有下降,但仍然占主導地位。攻擊時長在30 分鐘以內的DDoS 攻擊占全部攻擊的一半以上,占53.5%,相比2016 下半年下降8.9 個百分點;攻擊時長超過3 小時的攻擊呈增長趨勢,總體占比33%,相比2016 下半年增長5.7 個百分點。

DDoS 攻擊持續時間變化趨勢

       我們已經對攻擊持續時間跟蹤了較長時間,基本每季度的攻擊持續時間分佈都差不多,都遵循“30 分鐘以內攻擊占一半以上,5 分鐘以內攻擊占3 成”的規律。

http://blog.nsfocus.net/wp-content/uploads/2017/08/15.png

       2017 上半年平均攻擊時長為9 小時,相比2016 下半年增長28.6%。Q1 和Q2 季度分別為8.2 小時和9.4 小時,呈回升趨勢。

       2017 上半年各季度最長攻擊時長相比2016 下半年呈下降趨勢。2017 上半年我們監控到的最長一次DDoS 攻擊持續了16 天2 小時(386 小時),發生在Q1 季度,最高攻擊峰值達1.3Tbps,累計總攻擊流量達49TBytes。

http://blog.nsfocus.net/wp-content/uploads/2017/08/16.png

DDoS 攻擊持續時間與被攻擊頻次

       我們統計了2017 年上半年所有被攻擊目標IP 的情況,發現這些IP 中有72.8% 的IP 曾經遭受過30 分鐘以下的DDoS 攻擊,其中19.1% 曾在單個季度內遭受過2 次或更多的DDoS 攻擊,遭受DDoS 攻擊最頻繁的曾達到13 次/ 季度;有10.6% 的IP 曾經遭受過長達24 小時以上的攻擊,其中38.3% 曾在單個季度內遭受過2 次或更多的DDoS 攻擊,最高達到20 次/ 季度。這表明,攻擊者發起持續時間較長的DDoS 攻擊時,對目標進行頻繁多次攻擊的概率更大。這與攻擊者的攻擊企圖密切相關,追求高利潤的攻擊者比起那些為了好玩發起攻擊的攻擊者來說,他們更願意投入資源發起更持久的DDoS 攻擊,如果一直沒能達到攻擊的目的或預期的收益,就會再次發起攻擊,直至達成目標。

       30 分鐘以內結束的攻擊,平均攻擊峰值為14Gbps,其中有97.4% 的峰值在50Gbps 以下,有83% 的峰值在20Gbps 以下。長達24 小時以上的攻擊,平均攻擊峰值為46.4Gbps,是30 分鐘以內結束攻擊的3.3 倍,其中有39.4% 的攻擊峰值在50Gbps 以上,有19.2% 的攻擊峰值在100Gbps 以上。這個資料表明,短時、頻繁的DDoS 攻擊,其攻擊峰值普遍低於持續時間較長而頻繁的DDoS 攻擊。 這與攻擊者掌握的攻擊資源情況相關,Botnet 數量越多、規模越大,攻擊能力越強,攻擊者就有能力為了更高的利益多次對目標發起高頻寬、更持久的DDoS 攻擊。

http://blog.nsfocus.net/wp-content/uploads/2017/08/17.png

DDoS 攻擊源/ 目標地理分佈

全球DDoS 攻擊源國家分佈

      2017 上半年,中國依然是DDoS 攻擊受控攻擊源最多的國家,發起攻擊次數占全部的46.6%,其次是美國和俄羅斯,分別占3.0% 和2.0%。

中國DDoS 攻擊源省份分佈

       2017 上半年,國內發起DDoS 攻擊的省份主要分佈在東南沿海地區、內蒙古、四川及雲南地區,發起DDoS攻擊次數的Top 5 省份分別為江蘇、雲南、北京、廣東、福建,合計占比達50.3%。

全球DDoS 攻擊目標國家分佈

       2017 上半年,受攻擊最嚴重的國家是中國,攻擊次數占全部被攻擊國家的64.6%,其次是美國和加拿大,分別占18.1%、2.5%。

http://blog.nsfocus.net/wp-content/uploads/2017/08/20.png

中國DDoS 攻擊目標省份分佈

       我國中東部沿海地區一直是DDoS 攻擊的高發地。2017 上半年,受攻擊嚴重的Top 5 省份分別為廣東、浙江、福建、江蘇、北京,合計占比達68%。

http://blog.nsfocus.net/wp-content/uploads/2017/08/21.png

僵屍網路

中國BotMaster 省份分佈

       根據綠盟威脅情報中心和金山安全2017 上半年的統計,僵屍網路BotMaster 端主要分佈在我國的廣東(14.8%)、江蘇(8.1%)、江西(7.5%)、浙江(6.8%)、河南(5.4%)等省份。

http://blog.nsfocus.net/wp-content/uploads/2017/08/22.png

中國Bot 端省份分佈

       根據綠盟科技威脅情報中心(NTI)和金山安全的統計,僵屍網路Bot 端主要分佈在我國的廣東(15.5%)、江蘇(7.7%)、浙江(6.3%)、四川(5.4%)、北京(5.0%)等省份。相比2016 年,江西省排名下降,四川、北京排名上升。

http://blog.nsfocus.net/wp-content/uploads/2017/08/23.png

物聯網僵屍網路

       2016 下半年開始火遍全球的Mirai,其活動仍在繼續,我們的蜜罐系統監控了包括初版和變種Mirai 的10 個掃描埠(23、2323、7547、6789、5555、32、23231、3777、2222、19058),Mirai Bot 端日掃描次數如圖4.20 所示,平均掃描次數13193 次/ 日,相比去年下半年掃描活動下降明顯。我們推測有兩方面原因:

1. Mirai 僵屍網路在2016 年下半年發起了多次破壞力和影響較大的攻擊,已經引起了廣泛的關注,相關部門和機構,以及設備廠商已經開始著手應對,也有部分使用者開始注意自身的設備安全問題。

2. 除了Mirai,其他基於物聯網的惡意程式也在加緊搶佔物聯網資源,關於這點請詳見今年年初綠盟科技與電信雲堤聯合發佈的《2016 年DDoS 威脅報告》中關於颱風DDoS 物聯網僵屍網路的分析。

       物聯網僵屍網路的種類越發增多,用途也更為廣泛。IBM 研究人員最近又發現了Mirai 僵屍網路新變種,這次它拓展了自己的能力,還包括了比特幣挖掘組件。這並不奇怪,在利益的驅使下攻擊者總是願意投入更多的時間、精力去尋求更多、更有效的攻擊手段和攻擊資源。

更詳細的內容或是有任何問題,查詢或意見請直接與我們聯繫:

電子郵件:pm@fairline.com.tw

電話號碼:02 2658 1818 分機:221 林 先生

辦公地址:台北市內湖區瑞光路583巷32號五樓