第二季度DDos攻擊情況:中國首當其沖,攻擊電競、直播或成新趨勢
近日卡巴斯基分析了2018年第2季度的DDos攻擊情況,因報告詳實縝密,篇幅較長,為便于閱讀,本文整理出了部分內容。
(報告原址:https://securelist.com/ddos-report-in-q2-2018/86537/)
一、總述
在2018年第二季度,網絡犯罪分子延續了上述在UDP傳輸協議中尋找異國漏洞的趨勢。不久其他復雜的攻擊擴增方法會相繼出現。值得注意的另一項技術發現是使用UPnP協議創建僵尸網絡的潛力;但幸運的是它們在野外仍然非常罕見。
Windows僵尸網絡活動減少:特別是Yoyo活動經歷了多次下降,Nitol、Drive和技能也有所下降。與此同時,Xor對Linux的攻擊顯著增加,而另一個聲名狼藉的Linux僵尸網絡——Darka活動則略有減少。而最流行的攻擊類型是SYN泛濫。
二、2017 - 2018年DDoS攻擊力的變化
2018年上半年與2017年的下半年相比,平均和最大攻擊力顯著下降。這可以通過通常在年初觀察到的季節性減速來解釋。然而,2017年和2018年H1指標的比較表明,自去年以來,攻擊力有了可觀的上升。
增加攻擊力的一種方法是第三方放大。黑客繼續尋找通過廣泛流行的軟件中新的(或遺忘的舊)漏洞來放大DDoS攻擊的方法。這一次,KDP團隊檢測并擊退了數百Gbit / s容量的攻擊,該攻擊利用了CHARGEN協議中的一個漏洞——這是一種非常簡單的舊協議,在1983年以RFC 864的方式出現。
CHARGEN被用于測試和測量,可以監聽TCP和UDP套接字。在UDP模式下,CHARGEN服務器使用字符串長度為0到512個隨機ASCII字符的數據包響應任何請求。攻擊者使用此機制向易受攻擊的CHARGEN服務器發送請求,其中傳出地址由受害者的地址替換。US-CERT估計放大因子為358.8倍,但這個數字有些隨意,因為響應是隨機產生的。
盡管協議受到時代和內容范圍的限制,但可以在Internet上找到許多開放的CHARGEN服務器。它們主要是打印機和復制設備,在這些設備中,軟件默認啟用了網絡服務。
正如KDP和其他提供商(Radware,Nexusguard)報告中所提到,在UDP攻擊中使用CHARGEN可能表明,使用更方便的協議(例如,DNS或NTP)的攻擊效果正在減弱,因為打擊這種UDP泛濫的方案越來越完善。但因這種攻擊操作難度低,使得網絡犯罪分子不愿放棄它們; 相反,他們希望現代安全系統無法抵制過時的方法。雖然對非標準漏洞的搜索無疑會繼續下去,但由于易受攻擊的服務器缺乏補充資源(老式復印機連接到互聯網的頻率有多高?),CHARGEN型放大攻擊不太可能風靡世界。
如果網絡犯罪分子在方法上變得復雜,那么當談到目標時,他們就會開辟新天地。針對家庭用戶的DDoS攻擊很簡單但不盈利,而對公司的攻擊則有利可圖的,但卻很復雜。現在,DDoS規劃者已經找到了一種方法來充分利用網絡游戲行業和流媒體的兩個世界。以日益流行的電子競技比賽為例,在這種比賽中,勝利者會贏得成千上萬的美元,有時甚至是幾十萬美元。最大的比賽通常在特殊的場地舉行,有專門設置的屏幕和看臺,但參加資格賽的人通常都在家參與。在這種情況下,一個精心策劃的DDoS攻擊能輕易使戰隊在比賽初期就出局。比賽服務器也可能成為攻擊目標,而破壞的威脅可能會促使比賽組織方支付贖金。根據卡巴斯基實驗室客戶數據,DDoS攻擊電子競技游戲玩家和網站的目的是拒絕訪問,未來會趨于普遍。
同樣,網絡犯罪分子正試圖將視頻游戲流媒體渠道的市場貨幣化。流媒體專業人士展示了流行游戲的現場直播,觀眾捐贈了少量資金來支持他們。當然,觀眾越多,流媒體每次播放獲得的錢就越多; 頂級球員可以賺取數百或數千美元,這基本上是他們的工作。這一細分市場的競爭非常激烈,DDoS攻擊使其能夠干擾直播,導致用戶尋找替代方案。與電子競技運動員一樣,家庭寬帶幾乎無法抵御DDoS攻擊。他們基本上依賴于他們的互聯網提供商。目前唯一的解決方案可能是建立專門的平臺,提供更好的保護。
三、季度“業績”
DDoS攻擊的暴風雨期是本季度的開始,尤其是4月中旬。相比之下,5月下旬和6月初相當平靜。
中國保持了攻擊次數最高點(59.03%),其次是中國香港(17.13%)。中國的DDoS攻擊目標數量也居首位。
SYN攻擊的比例急劇上升至80.2%; 第二名是10.6%的UDP攻擊。
Linux僵尸網絡的攻擊份額顯著增加到所有單一家庭攻擊的94.47%。
詳情
中國的份額幾乎沒有變化(59.03%,第一季度為59.42%)。然而,自監管開始以來,中國香港首次躋身前三,從第四名上升至第二名:其份額增長了近五倍,從3.67%增至17.13%,擠掉了美國(12.46%)和韓國(3.21%)的份額,這兩個國家的股價分別下跌了約5%。此外,馬來西亞令人意外,它的排名迅速上升至第五位,目前占DDoS攻擊總數的1.30%。澳大利亞(1.17%)和越南(0.50%)也躋身前十,而日本、德國和俄羅斯則退出了榜單。英國(0.50%)和加拿大(0.69%)分別進入第八和第七。
DDos攻擊目標的領土分布大致與攻擊數量的分布一致:中國占比最大(52.36%),比上一季度增加了5個百分點。第二名是美國(17.5%),第三名是中國香港(12.88%),取代韓國(4.76%)。英國從第4位下降到第8位,現在只占目標的0.8%。
四、結論
自上一季度以來總攻擊持續時間變化不大,但中期攻擊的比例增加,而較短攻擊的占比減少。攻擊的強度也在不斷增加。網絡犯罪分子最賺錢的目標似乎是加密貨幣,但我們很快就會看為獲得小額贖金發起針對電子競技比賽和流媒體的DDOS攻擊愈發普遍。因此,市場需要的個人防御DDoS攻擊方案。
