Verisign发布2017年Q1全球DDoS攻击趋势报告

报告摘要

近日，信息安全公司Verisign发布了2017年第一季度的分布式拒绝攻击（DDos）趋势报告。此份报告介绍了该公司在2017年1月1日—2017年3月31日这一阶段观察到的DDoS攻击频率，大小和类型的变化。

【总体趋势预览】

DDoS攻击保持不可预测和持久性

Verisign发现，虽然今年第一季度的DDoS攻击次数比上个季度下降了23%。但是，每次攻击的平均峰值规模却增加了近26%。此外，攻击者还对目标进行了持续和反复的攻击。事实上，Verisign发现，在本季度中，几乎50%经历过DDoS攻击的客户都遭遇过多次有针对性的攻击。

Verisign还观察到，在2017年第一季度中DDoS攻击仍然是不可预测且持续的，且在速度及复杂性等方面差别很大。为了对抗这些攻击，不断监测攻击的变化趋势显得越来越重要，以便可以及时优化缓解策略。

【图1：攻击规模及2015年Q2—2017年Q1的攻击峰值】

【图2：2015年Q2—2017年Q1的平均攻击峰值规模】

观察上图我们发现，从2016年第一季度以来每季度的平均攻击峰值都超过了10Gbps。

多向量DDoS攻击成常态

该报告还显示，在第一季度中，57%的DDoS攻击使用了多个攻击向量，范围从两个到五个以上不等。其中，43%的攻击者只使用一个攻击载体；25%的攻击者使用两个；17%的攻击者使用了三个；8%的攻击者使用了四个；6%的攻击者使用了五个及以上攻击向量。这意味着，攻击本质上变得更为复杂了，他们试图使用几种不同的攻击类型来占用网站资源。

【图3: 2017年第一季度DDoS攻击使用的攻击向量分布】

DDoS攻击类型

UDP洪水攻击在2017年第一季度中继续保持领先，占本季度总攻击的46%。最常见的UDP洪水攻击是域名系统（DNS）反射攻击，其次是网络时间协议（NTP）和简单服务发现协议（SSDP）反射攻击。

虽然基于UDP的攻击类型继续占据主导地位，但是基于TCP的攻击数量却呈增加趋势，占据总攻击的33%。TCP攻击主要由TCP SYN和不同数据包大小的TCP RST组成。

【图4: DDoS攻击类型分布】

最大容量的攻击和最高强度的洪水

Verisign的报告还谈到公司在第一季度发现的最大规模DDoS攻击。这是一个峰值达到120Gbps的多向量攻击，吞吐量约为90 Mpps，其目标受到60 Gbps攻击的时间超过15个小时。

此外，攻击者非常坚持试图通过在超过两个星期的时间内，每天发送攻击流量来破坏受害者的网络。攻击主要由TCP SYN和不同数据包大小的TCP RST组成，并采用与未来IoT僵尸网络相关的攻击。该次攻击还包括UDP洪水和IP片段，增加了攻击的数量。

不同行业的DDoS攻击现状和平均攻击规模

报告指出，遭遇DDoS攻击最频繁的是IT/云/SaaS行业，占据所有恶意活动的58%，平均攻击规模为22.5Gbps；金融部门排在第二，占据28%（比上一季度增加了7%），平均攻击规模为1.7Gbps。具体分布如下所示：

【图5:不同行业攻击现状】

【图6:2016年Q2—2017年Q1不同行业DDoS峰值攻击规模】

大规模的DDoS攻击越来越司空见惯，虽然如今网络技术发展迅速，但是面对日益复杂多变的DDoS攻击，企业往往还是不堪一击，目前针对金融行业的DDoS攻击正呈不断上升趋势，相关行业还需提早做好准备，迎接更为严峻的挑战。