威廉希尔中文网站

多年来,威廉希尔中文网站每天都在追踪全球DDoS攻击的风云变幻,
正如这浩瀚的宇宙,在无尽网络空间的深处,到底发生了什么?2016 Q3 DDoS态势报告正从空间站发往地球……

全球攻击态势

全球 71,416 次 DDoS 攻击

  • Q1
  • Q2
  • Q3
  • Q3
    Q2
    Q1
    39.0% 23.6% 4.1% 3.5% 2.5% 53.2% 22.7% 3.2% 1.9% 1.2% 58.9% 20.6% 8.1% 5.1% 5.0%

    攻击趋势

  • Q1
  • Q2
  • Q3
  • DDos 攻击峰值

    Q3季度的DDoS平均攻击峰值为19.4Gbps,相比Q2的16.7Gbps上升16.2%,比Q1的
    28.2Gbps减少31.2%。

    Q3季度DDoS攻击累计流量的最高峰值为3.7Tbps,比Q2季度的1.8Tbps增加1.9Tbps,比Q1
    季度的1.2Tbps增长了2.5Tbps。

    2116 Q1-Q3季度全球DDos攻击累计总流量趋势图

    本季度单次DDoS攻击最高峰值为572.6Gbps,相比Q2季度的445.7Gbps峰值有所上升,但
    仍然低于Q1季度的615.1Gbps。

    2016 Q1-Q3季度单次DDoS攻击事件周峰值趋势图

    我们对本季度攻击峰值较高的几个攻击事件进行溯源分析,发现除了几个是NTP和SSDP反射攻击外,其余的非反射攻击大都有网络摄像头、家庭路由器这些物联网设备的参与,且大部分流
    量的攻击特征符合Mirai的僵尸网络攻击特点。这也恰恰印证了我们在10月14日发布《2016威廉希尔中文网站网络视频监控系统安全报告》中的观点,目前已经有大量物联网设备感染了如Mirai、
    Luabot等恶意僵尸网络程序,被用于扫描、DDoS攻击等黑客活动。由于物联网设备普遍存在着各种安全问题,相比传统的PC机,黑客开始青睐于使用直接或者间接暴露于互联网上的物联
    网设备作为僵尸网络的被控肉鸡。可以预见,随着物联网技术的发展及各行业对其需求的不断扩大,成千上万的物联网设备正在以惊人的速度接入互联网,这一趋势将会更加明显。

  • Q1
  • Q2
  • Q3
  • DDoS攻击次数

    攻击流量各区间分布情况

    Q3季度,我们监控到DDoS攻击71,416次,相比Q2季度的
    50,988次增加40%,但仍然低于Q1季度的108,045次。

    7月份共发生DDoS攻击25,795次,比上个月增长了43.7%。
    到8月份攻击有所下降,相比7月份减少22.4%。9月份发生攻击23,020次,与8月份持平。

    2016 Q1-Q3季度各月份DDoS攻击次数图

    大流量DDoS攻击趋势Q3季度峰值在300Gbps以上的超大型
    DDoS攻击共发生35次,相比前两个季度均有所增加。

    峰值在50Gbps以上的大流量攻击共发生2,555次,相比Q1的
    13,762次,Q2的5,254次,分别下降81%和51%。

    2016 Q1-Q3季度攻击流量区间占比图

    Q3季度攻击峰值在20Gbps以下的小流量攻击相比Q1、Q2季
    度所占比例继续增加,其占比达整个Q3季度总攻击次数的
    85%。

    攻击峰值在20-50G的中型攻击占比11.5%。峰值在
    50-300Gbps间的大流量攻击占比3.5%,相比前两个季度的
    均明显下降。

    2016 Q1-Q3季度大流量(峰值>50Gbps)攻击次数图

    DDos 攻击持续时间

  • Q1
  • Q2
  • Q3
  • DDos 攻击峰值

    本季度攻击时长在30分钟以下的攻击占总数的56.6%,相比前两个季度继续上升。平均攻击
    时长为7.2小时,相比Q2季度的8.1小时略有下降。攻击时长超过1天的攻击占总攻击次数的
    8.5%,相比前两个季度继续下降。

    我们监控到Q3最长的一次DDoS攻击持续了31天19个多小时(764小时),累计总攻击流量
    达17 TBytes。

    2016 Q1-Q3季度全球DDoS攻击持续时间占比图

    DDoS 重复攻击频次

    Q3季度单个IP平均被攻击次数与前两个季度相比略有下降,大概单个IP每个月平均被攻击
    1.4次,Q1和Q2均是1.5次/月。

    我们监控到某网络在Q3季度内被重复攻击达30次,攻击手段多是短时的UDP Flood和NTP
    Reflection Flood混合攻击。

    2016 Q1-Q3季度各月份单个IP平均被攻击频次

    攻击类型分布

    各攻击类型次数和流量占比

    攻击类型次数和流量占比

    从攻击次数上看,Q3反射攻击在总攻击次数上的占比达90.5%,相比Q2季度增长了20.6%。其中,NTP反射攻击次数最
    多,占40.4%,其次是Chargen、SSDP、SNMP反射攻击。

    反射攻击的原理是攻击者伪造请求,将受害者IP地址作为请求源地址并将之发往互联网中大量存在协议漏洞的反射器,利用
    这些协议回应包字节数远大于请求包的特点,达到反射放大流量的效果,构成对目标网络的大流量DDoS攻击。由于不需要
    像传统僵尸网络那样对大量的攻击源进行事先感染和控制,因此发起此类大流量攻击的代价远远小于传统的DDoS攻击。目
    前已知流量放大倍数最高的反射攻击是NTP反射攻击,最大可放大至556.9倍。

    2016 Q3季度按攻击总次数统计类型占比图

    2016 Q3季度按攻击总流量统计类型占比图

    40.4%

    36.0%

    经分析,在不同的攻击峰值流量区间内,攻击协议类型表现
    出不同的分布特征。在5G以下的小流量攻击中NTP Reflec-
    tion Flood、CHARGEN Reflection Flood等反射类攻击较
    多,峰值在50-200G的大型流量中以SYN Flood为主,峰值
    在5-50G中小型流量和200G以上的大型、超大型流量中以
    UDP Flood为主,SYN Flood为辅。这表明,不同的攻击工
    具,或不同类型的僵尸网络,或不同攻击组织的攻击手段和
    攻击能力也不尽相同。

    2016 Q3季度按攻击类型各流量区间占比图

    混合攻击分析

    Q3季度利用多种流量混合发起的攻击占全部攻击流量的
    40.3%,相比Q2季度的33.7%继续增加,占比增长了6.6%。

    2016 Q3季度混合与非混合攻击手段占比图

    40.3%

    59.7%

    我们对使用混合攻击手段发起的攻击进行分析,统计其使用
    的种类数占比情况,如下图所示,发现混合攻击中2至3种攻
    击类型的混合较为常见,占总体分布的99.8%。

    混合DDoS攻击种类数占比图

    本季度最常见攻击混合类型为NTP Reflection Flood和UDP
    Flood攻击混合,占全部混合类型的47.1%。使用反射攻击流
    量混合的攻击仍然占较大比例,如CHARGEN Reflection和
    NTP Reflection Flood混合,SSDP Reflection和UDP Flood
    混合,NTP Reflection和SSDP Reflection混合等。

    混合攻击按混合类型发生次数统计分布图

    反射攻击趋势

    各类反射攻击占比

    活跃NTP反射器全球分布

    Q3季度反射类型攻击仍然比较活跃,相比Q2季度大幅度增加,我们对本季度各类反射攻击的次数和流量占比情况分别进行
    了统计。

    从攻击流量上来看,NTP Reflection Flood攻击流量占比最多,为60.5%,其占比比Q2季度增长了24.4%。其次是DNS和
    SSDP Reflection Flood攻击,攻击流量占比分别为19.6%, 5.9%,相比上一季度均有所下降。

    从攻击次数上看,NTP Reflection Flood在本季度超过CHARGEN Reflection Flood成为最活跃的反射攻击,其占比为
    42.6%,比上一季度占比增加13.6%。CHARGEN和SSDP Reflection Flood占比都略有下降。

    2016 Q3季度各类反射攻击流量占比图

    2016 Q3季度各类反射攻击次数占比图

    60.5%

    42.6%

    19.6%

    18.5%

    28.6%

    Q3季度NTP 反射器共25,371个,相比Q2季度数量增长了
    440%。其全球分布情况如下图所示。其中,中国占比最
    多,其次是美国、越南、韩国和俄罗斯。相比Q2季度,越
    南和韩国两个国家的占比增多,超过了俄罗斯、日本和法国
    跻身TOP5国家行列。

    2016 Q3季度被利用发起攻击的NTP反射器全球分布情况图

    2016 Q3季度各类反射攻击次数占比图

    Q3

    Q2

    DDoS 攻击趋势:基于物联网设备的僵尸网络

    Mirai僵尸网络主控端分布情况

    截止到2016年10月底,威廉希尔中文网站独立监控到的基于Mirai的僵尸网络主控端有23个

    Mirai僵尸网络Bot端分布

    截止到2016年10月底,我们统计到全球范围内仅感染Mirai的物联网设备的数量就已经达到
    1,508,059个,遍布全球的209个国家或地区

    基于物联网设备的僵尸网络已经改变了全球DDoS攻击的趋势,它已经成为黑客DDoS工具的新宠,其拥有的潜在破坏能力已经不容小觑。

    Mirai 全球扫描活动

    下图是截取了近一个月内其每日扫描23和2323端口次数的情况(EST时间)。

    10月21日之前针对23端口的扫描大概在15万次/日左右,针对2323端口的扫描大概在2万次/日左右。到10月22日,针对23端口的扫描开始大幅度增加,最高达34万次/日

    Mirai僵尸网络23和2323端口日扫描次数图

    正如之前的《2016威廉希尔中文网站网络视频监控系统安全报告》中,我们所提到的,物联网的安全现状如不加以控制和改变,基于物联网的僵尸网络就会以惊人的速度扩张,届时将给全球的网络
    安全防护带来极大的挑战。

    mirai23端口日扫描次数

    mirai2323端口日扫描次数

    200,036 341,236 340,975

    结束语

    随着物联网的崛起及其现阶段暴露的各种安全问题,全球DDoS攻击趋势正在发生巨大变化。从最初的基于传统PC机的僵尸网络攻击,到近两年兴
    起的反射放大攻击,到现在开始逐步转向基于各类物联网设备的僵尸网络攻击,这一变化过程反应了攻击者在利益的驱使下不断试图寻找低成本,
    高效率的攻击工具及攻击方式。我们也将持续追踪这些变化,并及时发布预警和提供行之有效的防御机制,促进互联网生态环境健康、有序的发
    展,这也正是我们在一直不懈努力追求的目标。

    特别声明

    为避免客户数据泄露,所有数据在进行分析前都已经匿名化处理,不会在中间环节出
    现泄露,任何与客户有关的具体信息,均不会出现在本报告中。

    了解更多

    威廉希尔中文网站威胁响应中心和 DDoS 攻防研究实验室持续关注
    DDoS 攻击事件的进展,如果您需要了解更多信息,请访问:

    数据来源:威廉希尔中文网站威廉希尔中文网站DDoS攻防研究实验室 NTI威廉希尔威胁情报中心

    XML 地图 | Sitemap 地图