青松劃重點

△本季度DDoS攻擊活動比較平靜，攻擊量級、持續時間沒有太多增長。但攻擊總數仍然居高不下。政治和經濟仍然是攻擊活動的主因，本季度新發現之一是教育部門（包括政府機關、學校、相關企業機構等）受到的DDoS攻擊很可能和學生有關。

△本季度全球發起攻擊次數排名前三名分別為：中國、美國和澳大利亞。而攻擊目標分佈的全球總排名前三位是：中國、澳大利亞和美國。僵屍網路的地理分佈前三名分別是：美國、俄羅斯和希臘。

△攻擊型別中SYN Flood仍然佔了大頭，其次是UDP Flood。僵屍網路中，Linux系統佔據絕對的主導地位。

△在中國市場上，本季度利用肉雞發起DDoS攻擊的控制端中，境外控制端接近一半位於美國；境內控制端最多位於江蘇省，其次是浙江省、河南省和廣東省，按歸屬運營商統計，電信佔的比例最大。2018年以來監測到的持續活躍的肉雞資源中，位於江蘇省、山東省、廣東省佔的比例最大。

新聞概述

就DDoS攻擊而言，2018年第三季度相對平靜。用“相對”這個詞是因為本季度沒有出現影響特別大的、持續時間很長、量級比較大的DDoS攻擊。但隨著網路罪犯的能力逐年增長，攻擊總數依然沒有任何下降的跡象。

7月初對暴雪娛樂的攻擊成為今年夏天的頭條新聞。攻擊之下，Battle.net伺服器被關閉，玩家將近三天不能登入、正常遊戲。一個名為PoodleCorp的組織聲稱對此事負責。該組織在Twitter上聲稱，如果他們的資訊被轉發2000次+，他們將放棄這次攻擊。在他們的條件得到滿足後不久，暴雪報告說“他們已經解決了玩家早期遇到的技術問題”。

7月底，另一家遊戲發行商Ubisoft遭到一系列攻擊，導致玩家在登入賬號和使用多人模式時發生錯誤。據該公司發言人表示，使用者資料沒有被洩露。關於這次攻擊，目前沒有任何目的聲明發出。攻擊者可能已經有了財務上的收益或者只是為了抗議一些遊戲的新版本更新。

還有一項攻擊值得被關注，那就是連續幾天困擾著英語區最大的三家撲克網站的攻擊: America’s Card… Room, PokerStars and Partypoker。受害的運營者被迫取消了一些賽事，引發了玩家的不滿，因而損失了大筆資金。

和往常一樣，幾乎可以肯定的是，DDoS攻擊也是由政治緊張引起的。8月底，瑞典社會民主黨(Swedish Social Democratic Party)網站遭到長達6分鐘的破壞，就是這種攻擊的一個鮮明例子。

DDoS攻擊者的工具集沒有太多更新：儘管一些新技術和一些新漏洞已經出現在專家面前。在7月20日，他們發現了針對D-Link路由器的大規模“招募活動”（使用了3000多個ip和一個命令伺服器）。這種活動在公司環境中並不是很成功；然而，它是否能夠建立一個新的使用者路由器僵屍網路，沒人能夠斷論。

說到最新出現的木馬，有關新設計的木馬Death的報道在7月底開始流傳，該病毒通過感染監控攝像頭，以構建僵屍網路。這款惡意軟體是臭名昭著的黑客Elit1Lands的傑作，它利用了AVTech漏洞（2016年10月披露）。安全研究員瞭解到目前為止該僵屍網路還沒有被用於大規模DDoS攻擊；然而，Elit1Land對此抱有很高的期望，尤其是在Death同樣適用於垃圾郵件和間諜活動的情況下。

此外，在8月底和9月初，安全專家首次看到了Mirai和Gafgyt僵屍網路的新版本，它們利用了SonicWall和Apache Struts中的漏洞。與此同時，原版本Mirai的三位作者最終得到了法庭的判決。

季度趨勢

與去年第三季度相比，DDoS攻擊的數量在9月份時略有增加，而在夏季和全年中，DDoS攻擊的數量明顯下降。

DDoS在9月份激增是一件相當普遍的事情:年復一年，主要目標是教育系統，攻擊指向學校、大學和考試中心的網路資源。9月12日，英國著名學府愛丁堡大學遭到襲擊，襲擊持續了近24小時，成為今年的頭條新聞。

這類攻擊常常被歸咎於政治因素，但據非官方調查，攻擊者可能另有其人。我們發現攻擊大多發生在學期期間，並在假期期間平息。英國非盈利組織Jisc得到了幾乎相同的結果：通過收集對大學攻擊的統計資料，它發現學生度假時受到的攻擊更少。每天課外時間也是如此:學校在上午9點到下午4點期間經歷的DDoS干擾比較多。

當然，這可能表明行凶者只是將他們的行動與大學的日常脈搏同步起來……但解釋越簡單，這種可能性就越大：這些攻擊很可能也是由年輕人策劃的，他們可能有充足的理由去反擊他們的老師、同學或學校。

從表面上看，這些週期性的爆發將在未來再次發生——要麼直到所有的教育機構都採取強壯的防禦措施來保護自己，要麼直到所有的學生和老師都對DDoS攻擊及其後果有了全新的認識。然而，應該指出的是，雖然大多數攻擊都是由學生組織的，但這並不意味著沒有任何“嚴重”的攻擊。

例如，今年9月，針對美國供應商Infinite Campus的DDoS攻擊行動聲勢浩大，持續時間之長甚至引起了美國國土安全部的注意。Infinite Campus為該地區的許多學校提供家長門戶服務，這次攻擊背後的組織者就比較耐人尋味了。

無論如何，儘管9月份經濟好轉背後的原因很可能與新學年的到來有關，但要解釋經濟下滑的原因要難得多。我們的專家認為，大多數僵屍網路所有者已經重新配置了他們的能力，以實現一種更有利可圖、相對安全的收入來源：加密貨幣挖掘。

DDoS攻擊最近變得便宜多了，但只針對客戶而言。至於組織者，他們的成本仍然很高。至少，在發動一場攻擊之前，他們必須購買頻寬資源（有時甚至配備資料中心），使用自己的木馬或修改現有的木馬(例如曾經流行的Mirai)來組裝一個僵屍網路、尋找客戶、發動攻擊等。更不要說這些事情是非法的。執法部門的行動無孔不入——Webstresser.org網站被關閉後，緊接著一連串的逮捕行動就是一個很好的例子。

另一方面，如今加密貨幣的挖掘幾乎是合法的：唯一非法的是使用別人的硬體。在某些安排到位的情況下，挖礦行當對所用硬體的來源不太關注，並且算力被盜對硬體所有者來說不太明顯，因此加密貨幣的非法開採者與網路警察打交道的機會不大。網路犯罪分子還可以重新使用他們已有的用於採礦的硬體，從而完全逃避執法部門的注意。例如，最近有關於MikroTik路由器的新僵屍網路的報道，該僵屍網路最初是作為一種加密貨幣挖掘工具而建立的。也有間接證據表明，許多臭名昭著的僵屍網路的所有者現在將它們重新配置為採礦工具。因此，業內比較成功的僵屍網路yoyo的DDoS活動頻率下降了，同時期卻沒有關於它被拆除的資訊。

邏輯中有這樣一個公式：相關性並不意味著因果關係。換句話說，如果兩個變數以相似的方式變化，這種變化不一定有任何共同之處。因此，儘管將加密貨幣挖掘的增長與今年DDoS攻擊的疲軟聯絡起來似乎是合理的，但這並不是最終的真相。這可能只是一個可行的假設。

季度總結

與以往一樣，中國在襲擊次數最多的國家中排名第一(78%)，美國奪回了第二的位置(12.57%)，澳大利亞位居第三(2.27%)，比以往任何時候都要高。韓國首次退出了前10名的榜單，儘管進入門檻降低了很多。

攻擊目標的分佈也出現了類似的趨勢：韓國已跌至評級名單的最底端；澳大利亞已攀升至第三位。

在數量上，使用僵屍網路的DDoS攻擊在8月份達到高峰；七月初是世界上最安靜的一天。

持續襲擊的次數減少了；然而，持續時間在4小時以下的短股上漲17.5百分比(達到86.94%)。攻擊目標的數量增加了63%。

與上一季度相比，Linux僵屍網路的份額僅略有增長。在這種情況下，DDoS攻擊的型別分佈沒有太大變化：SYN flood仍然排在第一位(83.2%)。

在上個季度，擁有最多命令伺服器的國家名單發生了很大變化。像希臘和加拿大這樣以前沒有在前10位的國家，現在名列前茅。

攻擊地理

中國仍然佔據著榜首，其份額從59.03%飆升至77.67%。美國重新奪回了第二名的位置，儘管它的提升只是微不足道的0.11%（現在佔比是12.57%）。

首先，自監測開始以來，韓國首次跌出前10名：其市場份額從上季度的3.21%下滑至0.30%，從第4位下滑至第11位。與此同時，澳大利亞從第六位上升到第三位:現在它佔了DDoS攻擊總數的2.27%。這表明，過去幾個季度出現的歐洲大陸的增長趨勢仍然存在。香港從第二名跌至第四名：其市場份額從17.13%跌至1.72%。

除韓國外，馬來西亞也排在前十：新加坡(0.44%)和俄羅斯(0.37%)分別排在第七位和第十位。

同時，前10名以外的所有國家的總比例也從3.56%降至2.83%

2018年Q2和Q3的DDoS攻擊 

類似的情況也發生在各國的攻擊目標評級上：中國的份額增長了18百分比，達到70.58%。目標數量的前5個位置與攻擊次數的前5個位置基本相同，但前10個位置略有不同：儘管韓國的份額從4.76降至0.39%，但韓國仍然存在於前十名。此外，馬來西亞和越南的排名也有所下降，取而代之的是俄羅斯(0.46%，排名第八)和德國(0.38%，排名第十)。

2018年Q2和Q3按國家劃分的唯一DDoS目標

DDoS攻擊次數動態

第三季的開始和結尾攻擊並不多，但是8月和9月初的時候出現了一個鋸齒狀的圖表，上面有很多高峰和低谷。最大的高峰期出現在8月7日和20日，這與大學收集申請者論文和公佈錄取分數的日期有間接聯絡。7月2日是最安靜的一天。這一季的結尾，雖然不是很忙，但攻擊的次數仍然比開始時多。

2018年Q3 DDoS攻擊次數動態

本季度的日分佈相當均勻。週六是一週中最“危險”的一天(15.58%)，從週二(13.70%)開始。週二的襲擊次數排在倒數第二，而週三是本週最安靜的一天(12.23%)。

DDoS攻擊時間 2018年第二季度和第三季度

DDoS攻擊的持續時間和型別

第三季中持續時間最長的一次攻擊持續了239個小時——僅僅不到10天。提醒一下，上個季度最長的一次持續了近11天(258小時)。

大規模的、曠日持久的攻擊大大減少了。這不僅適用於第一名——持續時間超過140小時，也適用於所有其他5小時以下的專案。最顯著的下降發生在5到9小時的持續時間：這些攻擊從14.01%下降到5.49%。

然而，4小時以下的短時間攻擊幾乎增加了17.5個百分比，達到86.94%。與此同時，目標數量較上季度增長63%。

DDoS攻擊持續時間（小時）2018 Q2和Q3

攻擊型別分佈與上一季度基本相同。SYN Flood保持了它的第一位置；它的份額甚至增長到83.2%(從第二季度的80.2%和第一季度的57.3%)。UDP Flood位居第二；該指數也小幅上漲，為11.9%(上季度為10.6%)。其他型別的攻擊減少了幾個百分點，但在相對發生率方面沒有發生變化：HTTP仍然是第三，TCP和ICMP分別是第四和第五。

DDoS攻擊型別，2018 Q2和Q3

Windows和Linux的僵屍網路和上一個季度的比例是一樣的，Windows僵屍網路已經上升了1.4個百分比，這與攻擊型別的變化動態有很大的聯絡。

Windows vs. Linux僵屍網路，2018年Q3

僵屍網路地理分佈

在僵屍網路命令伺服器數量最多的10個地區中，出現了一些變動。美國仍然是第一，儘管其份額從上季度的44.75%下降到37.31%。俄羅斯攀升至第二位，其市場份額從2.76%增至8.96%，增長了兩倍。希臘排名第三：它在指揮伺服器中所佔比例為8.21%，比上一季度的0.55%有所上升，而且遠遠超出前10名。

中國的佔比為5.22%，僅排在第五位，落後於佔比6.72%的加拿大（比中國第二季度的佔比高出幾倍）。

與此同時，排名前十之外的國家的總份額有了大幅增長：幾乎上升了5個百分點。目前，這一比例為16.42%。

僵屍網路命令伺服器按國家分類，2018Q3

結論

過去三個月沒有發生重大襲擊事件。與夏季經濟放緩形成鮮明對比的是，9月份對學校的攻擊激增尤為明顯。

另一個顯著的發展是不斷減少的長期攻擊與越來越多的單個目標攻擊的不斷增長: 僵屍網路所有者可能正在用小型攻擊取代大規模攻擊。在過去幾個季度中，我們已經看到了這種正規化轉變的前奏。

第二季度裡，C&C僵屍網路的數量排名前十被重新洗牌了。可能是由於攻擊者試圖擴張到新區域或試圖整理其資源的地域冗餘。原因可能是經濟上（電價、商業穩健性）和法律上的反網路犯罪行動。

過去兩個季度的統計資料使我們相信，DDoS社群中可能正在進行某些轉型程序。這可能導致，這個領域內的網路犯罪活動在不久後將被重新配置。

*參考來源：Kaspersky Lab以及國家網際網路應急中心CNCERT，青松小編 shell 編譯，轉載請註明來自Qssec.COM。