绿盟2018 DDoS攻击态势报告

        2019-03-14 68219人围观 ,发现 3 个不明物体 安全报告

        本报告由电信云堤&绿盟科技联合出品,重点研究2018年DDoS攻击变化趋势。

        2018年,得益于互联网的快速发展,变革的触角伸向了网络空间和现实世界的各个角落。在技术高速革新的背景下,网络空间面临的威胁,也在随之改变和升级。近两年来,DDoS和挖矿活动高居攻击者选择榜首,攻击手段有效性和获利便捷性是DDoS攻击经久不衰的主要原因。

        报告通过多个维度力求全面呈现2018年DDoS攻击变化趋势,以便抛砖引玉,帮助组织及机构?#20013;?#25913;善自身网络安全防御技术及体系。

        2018 VS. 2017

        1.攻击次数14.8万次,比2017年下降了28.4%;

        2.攻击总流量64.31万TB,与2017年基本持平;

        3.单次攻击平均峰值达到了42.8Gbps,比2017年增加了204%;

        4.单次攻击最高峰值1.4Tbps,与2017年基本持平;

        5.平均攻击?#32972;?#20026;42分钟,比2017年下降了17%。

        DDoS攻击趋势

        1.攻击规模扩大,攻击能力普遍提高

        在总流量与2017年持平的情况下,2018年的攻击规模普遍扩大。攻击峰值20-200Gbps 以上的中大型DDoS 攻击有所增加,200Gbps 以上的超大模型攻击比例基本上成倍增加。

        2.反射攻击放缓,治理有效

        2018年,平均每个?#36335;?#23556;攻击下降了0.93万次,非反射攻击增加了0.35万次。DDoS攻击活动受政策监管和国家治理的影响明显。

        3.利益驱动

        DDoS 流量与比特币价格,呈一定的?#21512;?#20851;性。在DDoS攻击和挖矿活动中,攻击者倾向在不同时期选择投入产比更高的获利方式。

        4.多发于高峰期,打击精准

        攻击者倾向于在短时间内,以极大的流量导致目标服务的用户掉线、延时、抖动。

        5.物联网威胁不容小觑

        2018年,参与DDoS攻击的物联网设备总量超过23万,恶意软件利用的漏洞涵盖多种物联网设备。

        DDoS攻击现状

        2018年,我们监控到DDoS攻击次数为14.8万次,攻击总流量64.31万TB,与2017年相比,攻击次数下降了28.4%,攻击总流量没有显著变化。

        image.png

        攻击次数与攻击流量(数据来源:电信云堤)

        反射攻击数量的降低是整体攻击量的下降的重要因素,国家监管机构和电信运营商长期以来对反射攻击的治理显现成效。

        image.png

        反射攻击次数与其他类型的攻击次数月度对比图(数据来源:电信云堤)

        随着虚拟货币的升值,黑产从DDoS攻击活动转而投向犯罪成本相对?#31995;?#20294;收益更高的挖矿活动中。2018年随着比特币价格的回落,DDoS总流量有明显的上升趋势。各?#36335;?#27604;特币价格与DDoS总流量趋势对比,其Pearson相关系数为-0.48,呈显著的?#21512;?#20851;性。

        image.png

        比特币价格与DDoS攻击总流量趋势对比图(数据来源:电信云堤)

        攻击服务通过瞬时极大流量?#38405;?#26631;业务高峰实?#26412;?#20934;打击,实现利益最大化。

        2018年,短时攻击增加,攻击?#32972;?#22312;30分钟?#38405;?#30340;DDoS攻击占了全部攻击了77%,和2017年相比,增加了33%,但平均攻击流量却增加了1.5倍。日渐缩短的单次攻击?#32972;?#20063;让攻击者能够接收到更多的攻击任务,这也是僵尸网络即服务(Botnet-as-a-Service)和DDoS即服务(DDoS-as-a-Service)的重要特点之一。

        image.png

        攻击时间占比(数据来源:电信云堤)

        2018年,DDoS攻击的平均峰值达到了42.8Gbps,和2017年相比,增加了2倍有余。尤其是在2018年下半年,平均峰值达到67Gbps。业务高峰时段(10点-22点)为攻击者发起DDoS攻击的高峰期,占全天攻击的70%。

        image.png

        攻击平均峰值和最高峰值(数据来源:电信云堤)

        image.png

        一天24小时DDoS攻击占比(数据来源:电信云堤)

        DDoS攻击占据物联网设备异常行为“半壁江山”

        image.png

        异常物联网设备异常行为占比

        (数据来源:绿盟科技全球DDoS态势感知系统(ATM)、绿盟科技威胁情报中心)

        DDoS攻击、僵尸网络通信和扫描探测三类异常行为占总量90%左右,这三类异常行为正是物联网僵尸网络的主要功能。当物联网设备被感染后,往往会通过扫描探测和漏洞利用来扩大攻击资源规模,来提升后续恶意活动(DDoS和挖矿)的有效性。

        云服务/IDC需特别留意,游戏、电商行业仍是攻击的重头戏

        image.png

        攻击行业分布

        (数据来源:绿盟科技全球DDoS态势感知系统(ATM)、绿盟科技威胁情报中心)

        云服务/IDC为各行各?#22564;?#20379;网络基础设施,受到DDoS攻击的比例是最高的。排名随后的是游戏和电商。这几类网站遭受攻击的主要动机往往为同行间的恶意竞争,企图通过降?#25237;?#25163;的服务质量来争抢用户资源。

        DDoS防护与治理

        1.网络架构技术升级;

        2.暴露服务管理;

        3.僵尸网络治理;

        4.流量可视化。

        总结

        获利是攻击者永恒的诉求,DDoS始终是攻击者手中的利剑之一。DDoS攻击有着见效快和获利便捷等优势,将会长期受到攻击者的青睐。产业和技术的变革,意味着DDoS攻击会以更多的形态出现在攻防的?#21280;?#19978;。DDoS的防护,同样也不能因循守旧,要充分利用大数据和人工智能技术,提供更有效的预警和检测方案,以及充分利用威胁情报体系,在监管机构和安全厂商之间共享威胁信息,协同防御,合作共赢。

        *本文作者:NSFOCUS,转载请注明来自FreeBuf.COM

        发表评论

        已有 3 条评论

        取消
        Loading...
      1. 3月

        四月去挖洞,五月出国游
        已结束
      2. 填写个人信息

        姓名
        电话
        邮箱
        公司
        行业
        职位
        css.php 永利彩票是骗局吗