近日,騰訊安全云鼎實(shí)驗(yàn)室發(fā)布“2018上半年互聯(lián)網(wǎng)DDoS攻擊趨勢分析”,從2018年上半年DDoS攻擊情況的全局統(tǒng)計(jì)、DDoS黑色產(chǎn)業(yè)鏈條的人員分工與自動化操作演進(jìn)兩個(gè)方面闡述。
2018年以來,以IoT設(shè)備為反射點(diǎn)的SSDP反射放大尚未平息,Memcached DDoS又異軍突起,以最高可達(dá)5萬的反射放大倍數(shù)、峰值可達(dá)1.7Tbps的攻擊流量成為安全界關(guān)注的新焦點(diǎn)。
一.整體分析
1. DDoS流量峰值情況
根據(jù)2013-2018DDoS攻擊流量峰值統(tǒng)計(jì)表明,DDoS攻擊流量峰值不斷被超越。今年3月份針對某游戲攻擊的Memcached DDoS,其峰值1.7 Tbps 達(dá)到了一個(gè)新的高度。目前,Memcached DDoS 已成為反射放大的一股主要力量。
2. DDoS攻擊行業(yè)情況
騰訊安全云鼎實(shí)驗(yàn)室列出了受DDoS攻擊的14種主要行業(yè)。游戲行業(yè)因日流水量最大、變現(xiàn)快,成為DDoS攻擊的首選目標(biāo)和遭受攻擊最多的行業(yè)。
隨著許多行業(yè)的互聯(lián)網(wǎng)化,DDoS的攻擊面不斷增多。根據(jù)分析,游戲占DDoS攻擊的37%,其次是門戶網(wǎng)站/社區(qū)和IT服務(wù)/軟件。
在游戲行業(yè),手機(jī)游戲已超過了 PC 客戶端游戲成為了 DDoS 攻擊的主要目標(biāo)。H5 游戲的崛起,也成為了 DDoS 的關(guān)注點(diǎn),占整體攻擊的1.4%。
3. DDoS攻擊類型
在攻擊類型中,反射放大占比最多,約為55.8%。 Memcached 作為今年三月以來的新興反射放大力量,迅速被 DDoS 黑產(chǎn)界利用,其在整體的占比中也相當(dāng)大。反射放大占比如此之多的一個(gè)原因是 DDoS 黑產(chǎn)的自動平臺化,即無需人工干預(yù),完全自動流程可完成攻擊的所有操作。
SYN Flood 排名第二,一直是 DDoS 的主要攻擊手法。隨著 DDoS 黑產(chǎn)的平臺化,SYN Flood 的載體也發(fā)生了改變,由海量的肉雞漸漸轉(zhuǎn)移到了發(fā)包機(jī)上(以偽造源 IP 的 SYN Flood 為主)。
4. DDoS 所對應(yīng)的C2地域分布
通過監(jiān)控發(fā)現(xiàn),在國內(nèi)的C2漸漸有外遷的現(xiàn)象。還有一些持有高性能肉雞的黑客,看到了虛擬貨幣的逐利遠(yuǎn)遠(yuǎn)大于 DDoS攻擊,將一部分高性能肉雞轉(zhuǎn)去挖礦。鑒于以上原因針對用于 DDoS 的 C2 監(jiān)控難度越來越大。
5. 被攻擊IP的地域情況
DDoS 攻擊目標(biāo)按地域分布統(tǒng)計(jì)中,國外受攻擊最多的國家是美國,其次是韓國、歐洲國家為主,DDoS 攻擊的主要目標(biāo)還是聚集在互聯(lián)網(wǎng)發(fā)達(dá)的國家中。
二.DDoS 黑色產(chǎn)業(yè)鏈條演進(jìn)
騰訊安全云鼎實(shí)驗(yàn)室分析了傳統(tǒng)的DDoS攻擊和目前的DDoS攻擊特點(diǎn)。
1. 傳統(tǒng)DDoS攻擊
早期的 DDoS 一般是黑客一個(gè)人的游戲,從工具開發(fā)、bot 傳播、接單、攻擊等都獨(dú)自完成。隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的飛速發(fā)展,網(wǎng)絡(luò)攻擊獲利越來越多,催生了DDoS 攻擊的大量需求,例如競品的攻擊、DDoS 勒索等。高額的利益便會催生對應(yīng)工作的精細(xì)化分工,DDoS 的黑產(chǎn)也不例外。我們針對傳統(tǒng) DDoS 攻擊的專業(yè)化人員分工進(jìn)行分析:
發(fā)單人:也可以稱為金主,是 DDoS 攻擊后的直接獲利者,提出攻擊需求。
擔(dān)保商:也可以稱為中間人,是 DDoS 黑產(chǎn)中較出名的人物,在各個(gè)不同分工人員間做“信任”擔(dān)保,與交易環(huán)節(jié)的資金中轉(zhuǎn)工作。擔(dān)保商也會自己架設(shè)接發(fā)單平臺或即時(shí)通訊工具群等形式來擴(kuò)大自己的知名度,帶來更多的 DDoS 攻擊業(yè)務(wù)。
接單人:也可以稱為攻擊手,通過操作 C2 服務(wù)器或發(fā)包機(jī)直接發(fā)起 DDoS 攻擊。
流量商:通過擔(dān)保商或直接將國外購買的流量服務(wù)器售賣給攻擊手。
肉雞商:手頭上擁有大量的肉雞資源,通過擔(dān)保商或直接將肉雞售賣/出租給攻擊手。
黑客軟件作者:開發(fā) botnet 程序,反射放大程序等各種 DDoS 工具。
這樣的多種分工,使 DDoS 在技術(shù)難度上被拆解,技術(shù)門檻降低,部署更容易。同時(shí)給互聯(lián)網(wǎng)安全人員的分析與溯源帶來更大的困難。在分析中我們發(fā)現(xiàn),有一些人員也可能同時(shí)擔(dān)當(dāng)多個(gè)角色。
2. 目前 DDoS 攻擊
鑒于傳統(tǒng) DDoS 攻擊的不足,促使了 DDoS 多個(gè)環(huán)節(jié)的自動化發(fā)展,頁端 DDoS 攻擊平臺便是發(fā)展的結(jié)果之一。其高度集成管理,在成單率、響應(yīng)時(shí)長、攻擊效果等方面都得到了可行的解決。在人員分工上,有了新的發(fā)展:
擔(dān)保商淡出 DDoS 黑產(chǎn)圈,發(fā)單人可直接在頁端 DDoS 攻擊平臺下單、支付費(fèi)用,且可以根據(jù)自己的攻擊目標(biāo)的情況選擇攻擊方式與流量大小,保障了百分之百的成單率。
攻擊手已被自動化的攻擊平臺取代,不需要手動操作攻擊。從發(fā)起攻擊命令到真正開始攻擊,一般延時(shí)在10s 左右,再也不用等幾小時(shí)或幾天了。
發(fā)包機(jī)提供人替代了流量商角色,且完成發(fā)包機(jī)的程序部署、測試,最終給出發(fā)包機(jī)的攻擊類型、穩(wěn)定流量、峰值流量等各種定量且穩(wěn)定的攻擊能力。穩(wěn)定的攻擊流量保障了最終的攻擊效果。
站長成為了頁端 DDoS 攻擊平臺的核心人員,進(jìn)行平臺的綜合管理、部署、運(yùn)維工作。例如:DDoS 攻擊套餐管理、注冊用戶(金主)管理、攻擊效果與流量穩(wěn)定保障、后續(xù)的升級等。
三.總結(jié)與趨勢展望
綜上所述,上半年的 DDoS 攻擊無論從流量的角度還是從次數(shù)的角度來看,都上升了一個(gè)新的高度。
DDoS 黑色產(chǎn)業(yè)鏈的人員與技術(shù)的演進(jìn)降低了整體 DDoS 入門的門檻,在溯源監(jiān)控中發(fā)現(xiàn),有的 DDoS 黑產(chǎn)團(tuán)伙平均年齡 20 歲左右,甚至有未滿 16 周歲的學(xué)生也是其中的一員。
在 DDoS 的整體防御上,建議用戶采用具備大帶寬儲備和 BGP 資源的云服務(wù)商防御方案。如騰訊云大禹擁有30線 BGP IP 接入資源,豐富的場景化防護(hù)方案。
隨著智能 AI 設(shè)備與物聯(lián)網(wǎng)的飛速發(fā)展, DDoS 的新宿主平臺不斷出現(xiàn),DDoS 攻防戰(zhàn)會越來越激烈。可以預(yù)期,2018年下半年 DDoS 會呈現(xiàn)出多樣化的發(fā)展:
1. 類似于 Memcached DDoS 的新反射放大方式會不斷的被曝光與利用
2. 智能設(shè)備的發(fā)展會催生出新平臺下的 botnet 產(chǎn)生,且這些平臺基本防護(hù)措施薄弱,更成了DDoS 的溫床
3. 隨著打擊 DDoS 力度的不斷加大, P2P 式僵尸網(wǎng)絡(luò)或半去中心化變種方式有望重回風(fēng)口,讓 DDoS 難于監(jiān)控與溯源分析
4. 基于暗網(wǎng)的 DDoS 平臺將逐漸替代目前流行的頁端 DDoS 攻擊平臺,使其平臺的存活時(shí)間更長。
注:本文主要內(nèi)容為騰訊安全云鼎實(shí)驗(yàn)室發(fā)布的“2018上半年互聯(lián)網(wǎng)DDoS攻擊趨勢分析”,有刪減。
-
互聯(lián)網(wǎng)
+關(guān)注
關(guān)注
54文章
11037瀏覽量
102443 -
DDoS
+關(guān)注
關(guān)注
3文章
166瀏覽量
23017
發(fā)布評論請先 登錄
相關(guān)推薦
評論