信息來源:freebuf
報(bào)告摘要
近日,信息安全公司Verisign發(fā)布了2017年第一季度的分布式拒絕攻擊(DDos)趨勢報(bào)告。此份報(bào)告介紹了該公司在2017年1月1日—2017年3月31日這一階段觀察到的DDoS攻擊頻率,大小和類型的變化。
【總體趨勢預(yù)覽】
DDoS攻擊保持不可預(yù)測和持久性
Verisign發(fā)現(xiàn),雖然今年第一季度的DDoS攻擊次數(shù)比上個(gè)季度下降了23%。但是,每次攻擊的平均峰值規(guī)模卻增加了近26%。此外,攻擊者還對目標(biāo)進(jìn)行了持續(xù)和反復(fù)的攻擊。事實(shí)上,Verisign發(fā)現(xiàn),在本季度中,幾乎50%經(jīng)歷過DDoS攻擊的客戶都遭遇過多次有針對性的攻擊。
Verisign還觀察到,在2017年第一季度中DDoS攻擊仍然是不可預(yù)測且持續(xù)的,且在速度及復(fù)雜性等方面差別很大。為了對抗這些攻擊,不斷監(jiān)測攻擊的變化趨勢顯得越來越重要,以便可以及時(shí)優(yōu)化緩解策略。
【圖1:攻擊規(guī)模及2015年Q2—2017年Q1的攻擊峰值】
【圖2:2015年Q2—2017年Q1的平均攻擊峰值規(guī)?!?/span>
觀察上圖我們發(fā)現(xiàn),從2016年第一季度以來每季度的平均攻擊峰值都超過了10Gbps。
多向量DDoS攻擊成常態(tài)
該報(bào)告還顯示,在第一季度中,57%的DDoS攻擊使用了多個(gè)攻擊向量,范圍從兩個(gè)到五個(gè)以上不等。其中,43%的攻擊者只使用一個(gè)攻擊載體;25%的攻擊者使用兩個(gè);17%的攻擊者使用了三個(gè);8%的攻擊者使用了四個(gè);6%的攻擊者使用了五個(gè)及以上攻擊向量。這意味著,攻擊本質(zhì)上變得更為復(fù)雜了,他們試圖使用幾種不同的攻擊類型來占用網(wǎng)站資源。
【圖3: 2017年第一季度DDoS攻擊使用的攻擊向量分布】
DDoS攻擊類型
UDP洪水攻擊在2017年第一季度中繼續(xù)保持領(lǐng)先,占本季度總攻擊的46%。最常見的UDP洪水攻擊是域名系統(tǒng)(DNS)反射攻擊,其次是網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)和簡單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)反射攻擊。
雖然基于UDP的攻擊類型繼續(xù)占據(jù)主導(dǎo)地位,但是基于TCP的攻擊數(shù)量卻呈增加趨勢,占據(jù)總攻擊的33%。TCP攻擊主要由TCP SYN和不同數(shù)據(jù)包大小的TCP RST組成。
【圖4: DDoS攻擊類型分布】
最大容量的攻擊和最高強(qiáng)度的洪水
Verisign的報(bào)告還談到公司在第一季度發(fā)現(xiàn)的最大規(guī)模DDoS攻擊。這是一個(gè)峰值達(dá)到120Gbps的多向量攻擊,吞吐量約為90 Mpps,其目標(biāo)受到60 Gbps攻擊的時(shí)間超過15個(gè)小時(shí)。
此外,攻擊者非常堅(jiān)持試圖通過在超過兩個(gè)星期的時(shí)間內(nèi),每天發(fā)送攻擊流量來破壞受害者的網(wǎng)絡(luò)。攻擊主要由TCP SYN和不同數(shù)據(jù)包大小的TCP RST組成,并采用與未來IoT僵尸網(wǎng)絡(luò)相關(guān)的攻擊。該次攻擊還包括UDP洪水和IP片段,增加了攻擊的數(shù)量。
不同行業(yè)的DDoS攻擊現(xiàn)狀和平均攻擊規(guī)模
報(bào)告指出,遭遇DDoS攻擊最頻繁的是IT/云/SaaS行業(yè),占據(jù)所有惡意活動的58%,平均攻擊規(guī)模為22.5Gbps;金融部門排在第二,占據(jù)28%(比上一季度增加了7%),平均攻擊規(guī)模為1.7Gbps。具體分布如下所示:
【圖5:不同行業(yè)攻擊現(xiàn)狀】
【圖6:2016年Q2—2017年Q1不同行業(yè)DDoS峰值攻擊規(guī)模】
大規(guī)模的DDoS攻擊越來越司空見慣,雖然如今網(wǎng)絡(luò)技術(shù)發(fā)展迅速,但是面對日益復(fù)雜多變的DDoS攻擊,企業(yè)往往還是不堪一擊,目前針對金融行業(yè)的DDoS攻擊正呈不斷上升趨勢,相關(guān)行業(yè)還需提早做好準(zhǔn)備,迎接更為嚴(yán)峻的挑戰(zhàn)。