绿盟科技2015 H1 DDoS态势报告:DDoS攻击两极分化

绿盟科技发布了2015 H1 DDoS威胁报告。

报告发现近期的DDoS攻击呈现两极分化的局面:

大流量攻击不断增长,按照此趋势足以对互联网骨干网络造成威胁(>100G的攻击有33起),并开始走向云端攻击的形式;与此同时,小流量攻击并没有消失(1分钟以下占42.74%),而是转变为脉冲攻击及慢速攻击,主要针对各行业中的业务设计不合理的环节,这些攻击很容易导致用户的业务缓慢甚至无法进行。而且,报告发现有越来越多的攻击者混合使用多种形式,让用户防不胜防,这些混合化攻击中,以大流量混合攻击为主(72%)。

大流量攻击呈现增长趋势,过百G的攻击越来越多

近年,美国联邦通信委员会(FCC)CC对宽带重新定义,下行速度从 4Mbps 调整至 25Mbps,上行速度从 1Mbps 调整至3Mbps。全球的互联网用户2008-2012共4年的年平均增长率高达12%,2013互联网用户数比例已经超过人口的37.96%,预期在2015年用户数量可以超过30亿。

十二五以来,国内随着“宽带中国”战略实施方案的推进,城市和农村家庭宽带接入能力逐步达到20兆比特每秒(Mbps)和4Mbps,部分发达城市达到100Mbps,宽带首次成为国家战略性公共基础设施。

根据CNNIC的统计,中国国际出口带宽呈现非常快速的增长趋势。与此同时,中国的网民规模也在大幅度提升,5年来平均增长幅度达到7.2%,2014年接近6.5亿。

宽带标准被调高以及联网用户的(设备)增多,在方便用户使用的同时,也为大流量DDoS攻击的出现创造了条件,加之设备厂商和消费者在安全意识方面需要提升,这方面的因素也助长了DDoS放大式攻击的发生,这些方面都直接导致了DDoS风险的增高。

报告数据显示,在2015年大流量DDoS攻击仍旧在持续增加。2015年上半年,至少出现33起流量超过100G的攻击,集中在6个相对独立的IP上。从全国范围分布上看,排名前五的城市包括上海、成都、东莞、济南、天津。

另外,从多年来为运营商服务的数据来看,也可以看到在2015年上半年的DDoS攻击中,百G以上的攻击频次明显增大。以某运营商为例,2015年受100G以上流量攻击的IP数增长到1675个,攻击的次数增长到3729次,照此计算100G以上的攻击总量已经超过300T,这已经威胁到互联网骨干网络的正常运作。

这个趋势相比2014年有所增长,单IP受到100G以上流量攻击的次数也明显上升。而100G以下的攻击总量要远远超过这个数量。

大流量攻击走向云端,可能出现的云端攻击形式

在DDoS大流量攻击兴起的同时,为了抵御风险免受其害,许多用户将其业务向云端迁移,云计算技术的诸多优点使得云服务得以广泛应用。中国信息通信研究院的报告显示,我国公共云服务市场规模大概在72亿元左右,比去年增长47.5%。中国私有云市场规模也在不断扩张,2014年国内私有云市场规模大概在246亿人民币左右,增长速度将近30%。

云服务的增多在为用户带来了便利的同时,也在安全方面也带来了两个方面的变化:

1、客户端轻量化。客户端原本的计算任务,大幅度向云端转移,云端的流量会越来越大,这将会被大流量DDoS攻击所利用;

2、环境复杂化。随着业务环境虚拟化,从业务更加灵活多变到运维管理,其中不断产生新的不确定性,都可能为新的 DDoS攻击形式创造机会。报告中分析了这些可能的攻击形式,并在报告的PDF版本中给出了计算器,便于大家粗略估算DDoS可能带来的损失。

大流量攻击在游戏行业中加剧,尤以UDP攻击常见

大流量攻击在影响着各个行业,在近几年的分析中,绿盟科技的技术专家观测到游戏行业遭受大流量攻击的情况在逐年增加。在2014年的报告中,这种现象称之为“行业潮流性” ,即攻击者不仅会预估收益选择攻击目标,更能够根据行业业务特性演变攻击形式。

2015年上半年的数据显示,游戏行业仍然是DDoS攻击的重点对象之一。游戏行业用户基数大、用户类型多、在线维护难度大的特点,也使得游戏行业成为极易受到攻击的目标行业。由于很多游戏基于私有协议开发,传统DDoS防御手段在没有贴合业务特性的情况下,防御DDoS攻击常常面临较大困难。

以某大型互联网企业为例,在其多项业务中,在线游戏仍然是DDoS主要的攻击对象(74.7%),DNS服务及Web服务分别为15.1%及9.7%。通过对各项服务的展开分析可以看到,除了游戏业务以外,Web服务及其他服务中大流量攻击的比例也不在少数。

小流量快攻击变身脉冲式攻击,实战国内外实际案例

虽然大流量攻击乃至云端攻击会越来越多的出现,但这并不意味着小流量攻击就消失了。相反,在一些行业中,小流量攻击有着特殊的目的,与大流量(百G以上)及超大流量(500G或 更高)相比,

1这些攻击因为其流量小,不会引起业界的关注;

2这些小流量隐藏在大流量其中,难以辨识;

3有些攻击时长小到防护设备难以捕获,很难完整呈现其攻击过程,这些特点决定了小流量攻击不仅不会被攻击者抛弃。2015年上半年,0-30分钟时长的攻击环比上涨4.52%,1分钟以下的攻击占总量的42.74%。

将这些短时攻击组合起来看,往往每轮次总的攻击时间也很短。数据统计显示,5分钟以下的攻击已经有46%的比例,接近总量的半数。绿盟科技的技术专家将这种短时长“闪电战”的攻击形式,归类为DDoS脉冲攻击(Hit-and-run DDoS )。

小流量慢攻击专盯业务逻辑问题,呈现攻击原理及防御

在众多小流量攻击案例中,针对业务逻辑设计问题的慢速攻击也具有代表性。不同于游戏领域的小而快,这种攻击类型的小流量慢速攻击由于间隔时间较长,从协议、流量、逻辑上来看也没有明显异常。

但是却针对协议的弱点或者应用逻辑上的弱点,故意延长通信的时间、占用连接的资源、增加服务器的处理过程,进行资源消耗,使目标的CPU资源、内存资源、连接池等耗尽,最终产生拒绝服务,服务器无法再接受来自用户的访问请求。

DDoS攻击手段日益高级,智能路由器温床未见好转

DDoS攻击者为了达到目的,会结合多个方面的因素实施不同形式的攻击,攻击手段不断翻新,变得越来越高级,甚至呈现出“APT”的特色。

‍攻击业务多样化。‍‍DDoS多年难以治理,有一方面原因就是因为业务形态的多样性。随着业务形态的不断发展及演变,结构及业务流程越来越复杂,攻击者无时无刻不在反复跟踪分析这些业务特点及可能存在的问题,而攻击形式也随之而变。

‍攻击流量多样化。‍在2015年上半年数据显示,在DDoS攻击中,攻击者往往混合使用多种攻击手段和多种类型的攻击源。UDP混合流量占主要比重,达到72%。这些流量组合正如前面的分析所展示的那样,并非无的放矢,而是跟随业务的特性发生的变化。

‍攻击设备多样化。‍如今,用户连接互联网的设备越来越多样化,在终端方面,已经不再局限于PC,更多的设备也包括平板电脑、手机、电视等智能终端;同时,反射放大式攻击,让业界清晰的认识到,DDoS可利用的设备也不再局限于终端,更多的设备也包括路由器、打印机、摄像头、扫描仪等智能设备。

在2014年的报告中,统计了全球的这些可能被利用的智能设备超过80万,在6月份的数据中,报告统计了全球SSDP协议设备的分布状况,显然一情况在2015年并未得到大的改观,这也是基于SSDP协议的放大攻击仍旧肆虐的原因。

在此呼吁这些设备的厂商尽快发布相关补丁或者升级相关固件,最终用户也需要随时关注升级信息,尽快升级及采用对应的防护措施,不要被利用,成为“攻击者”!同时,在智能设备增加、混合流量攻击模式下,传统的业务场景和思路可能需要考虑新的模式和新的应用场景。

<报告下载,点击阅读原文>

* 作者:绿盟科技(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-08-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏罗超频道

阿里UC合并,不看资本看业务

UC终于还是下嫁了,UC和阿里十分默契地采取了“合并”一词。人们第一反应是,这是阿里要为IPO讲故事,要提高故事,增加筹码——这是废话。除却在资本层面的影响,我...

36250
来自专栏机器人网

我国工业机器人三大零部件现状

我国的工业机器人三大核心零部件控制器、伺服电机、减速机是制约中国机器人产业的主要瓶颈,占到机器人成本的70%。 控制器 控制器国内外差距最小。控制器是机器人的大...

41990
来自专栏云+创业计划

腾讯云“云+创业”扶持计划

腾讯云一直以来十分重视对初创企业的扶持,致力于赋能创业公司,降低企业的 IT 成本和研发成本。2017年6月21日~22日,腾讯云“云+未来”大会正式宣布新版“...

15.5K100
来自专栏人称T客

云SCM,2018年你不得不赶上的一趟高速列车

移动信息化研究中心将于2017年12月21日在深圳举办“第三届2017中国SaaS产业峰会·深圳站”峰会,大会以“聚焦≠客户”为主题,与SaaS业内大牛和行业资...

449110
来自专栏FreeBuf

EU GDPR:金融机构需注意的GDPR要点分析

GPDR正式实施期限是2018年5月25日,任何一个未能满足新法规的组织将面临高达前一年全球收入4%的罚款,或者是2000万欧元。无论实施了哪种罚款,任何进一步...

15810
来自专栏IT派

业界 | 彭博确认微软即将收购GitHub:喜提最大代码托管网站

6 月 3 日得到的消息,微软已决定收购开源代码项目托管平台 GitHub,收购金额据称为 50 亿美元。与此同时,原微软高管 Nat Friedman 或将成...

13350
来自专栏钱塘大数据

分析:中国制造2025智能工厂的五大趋势

最近几年,欧美国家最早针对流程工业提出了“智能工厂”的概念。流程工业智能工厂由商业智能、运营智能、操作智能三个层次组成,由于自身的自动化水平较高,因此实施智能工...

43060
来自专栏小怪聊职场

管理|如何提高自己的管理幅度?学会制定制度和例外管理!

38250
来自专栏机器之心

业界 | 彭博确认微软即将收购GitHub:喜提最大代码托管网站

17130
来自专栏罗超频道

参观菜鸟自动化仓库,它或许代表了物流和电商的未来

8月15日,菜鸟联盟首个自动化仓库在广州增城正式开仓,我有幸进行了参观。 先简单介绍下这个仓库: 这个仓库位于菜鸟增城物流园区,专门为天猫超市提供仓储和分拣服务...

56450

扫码关注云+社区

领取腾讯云代金券