科技

8月網安報告｜ 8月份DDoS攻擊17萬次、UDP Flood攻擊佔絕對優勢、43%的企業把全部業務放在雲上……

DDOS UDP · 發表 2018-09-11 17:36:34

摘要：一、安全行業情況通報 1.光通天下監測情況通報根據光通天下監測資料顯示，8月份，網路中累計1,204個IP發生了195,082次DDoS異常/攻擊事件，其中包括174,748次攻擊事件，共清洗掉2565532GB的攻擊流量。同比7月份，受攻擊的IP數、攻擊事件和清洗流量均大幅...

一、安全行業情況通報

1.光通天下監測情況通報

根據光通天下監測資料顯示，8月份，網路中累計1,204個IP發生了195,082次DDoS異常/攻擊事件，其中包括174,748次攻擊事件，共清洗掉2565532GB的攻擊流量。同比7月份，受攻擊的IP數、攻擊事件和清洗流量均大幅增加。在經歷了幾個月的緩和期後，DDoS攻擊勢頭漸有迅猛之象。

據統計，8月份流量均值的最大值是45118Mbps，攻擊均值的最大值是44407Mbps。攻擊最活躍的時間段為8月29日凌晨到8月30日凌晨，該時間段共產生20156次攻擊。受攻擊次數最多的防護物件遭受攻擊22,824次、受攻擊時長604小時02分03秒。

圖1 “受攻擊的IP數”時間走向

在攻擊型別的分佈上，本月較活躍的攻擊型別是Location Attack;Filter Attack;FIN/RST Flood;佔網絡攻擊總次數的65.4%。而較大流量的型別則以SYN Flood、TCP Malformed和djr_183_131_206_228為主。

圖2 攻擊型別分佈

圖3 攻擊流量分佈

2.DDoS攻擊資訊分析

▲控制端資源分析

根據CNCERT抽樣監測資料，近期利用肉雞發起DDoS攻擊的控制端有316個，其中，28個控制端位於我國境內，288個控制端位於境外。

位於境外的控制端按國家或地區分佈，美國佔的比例最大，佔39.9%，其次是希臘和法國，位於境內的控制端按省份統計，浙江省佔的比例最大，佔35.7%，其次是北京市、江蘇省和貴州省；按運營商統計，電信佔的比例最大，佔78.6%，聯通佔3.6%，如圖4所示。

圖4 本月發起DDoS攻擊的境內控制端數量按省份和運營商分佈

▲肉雞資源分析

根據CNCERT抽樣監測資料，近期共有189,082個肉雞地址參與真實地址攻擊（包含真實地址攻擊與其它攻擊的混合攻擊）。

這些肉雞資源按省份統計，山東省佔的比例最大，為15.4%，其次是江蘇省、浙江省和河南省；按運營商統計，電信佔的比例最大，為52.4%，聯通佔32.7%，移動佔12.3%，如圖5所示。

圖5 本月肉雞地址數量按省份和運營商分佈

▲反射攻擊資源分析

根據CNCERT抽樣監測資料，近期利用反射伺服器發起的三類重點反射攻擊共涉及3,358,693臺反射伺服器，其中境內反射伺服器3,126,873臺，境外反射伺服器231,820臺。反射攻擊所利用Memcached反射伺服器發起反射攻擊的反射伺服器有108,124臺，佔比3.2%；利用NTP反射發起反射攻擊的反射伺服器有530,943臺，佔比15.8%；利用SSDP反射發起反射攻擊的反射伺服器有2,719,626臺，佔比81.0%。

通過跨域偽造流量發起攻擊的流量來源於85個路由器。根據參與攻擊事件的數量統計，歸屬於四川省電信的路由器（202.X.X.67）參與的攻擊事件數量最多，其次是歸屬於江蘇省電信（222.x.x.128）的路由器。跨域偽造流量涉及路由器按省份分佈統計，河南省佔的比例最大，佔37.6%，其次是安徽省和河北省；按路由器所屬運營商統計，聯通佔的比例最大，佔76.5%，電信佔比17.6%，移動佔比5.9%，如圖6所示。

圖6 跨域偽造流量來源路由器數量按省份和運營商分佈

通過本地偽造流量發起攻擊的流量來源於807個路由器。根據參與攻擊事件的數量統計，歸屬於山西省電信的路由器（219.X.X.2、219.X.X.10）參與的攻擊事件數量最多，其次是歸屬於北京市電信的路由器（220.X.X.253、220.X.X.243）。本月本地偽造流量涉及路由器按省份分佈，江蘇省佔的比例最大，佔10.7%，其次是山東省、河南省和湖南省；按路由器所屬運營商統計，電信佔的比例最大，佔39.8%，移動佔比38.7%，聯通佔比21.3%，如圖7所示。

圖7 本地偽造流量來源路由器數量按省份和運營商分佈

3、2018年上半年DDoS威脅態勢

▲DDoS新穎的攻擊技術

FreeBuf 、騰訊雲、騰訊安全雲鼎實驗室、大禹聯合出具的《DDoS威脅與黑灰產業調查報告》中稱，2018年上半年的 DDoS 攻擊流量型別統計結果顯示，UDP Flood 無論從攻擊流量還是從攻擊次數來看，都佔有絕對的優勢。UDP Flood 的主要流量來源於UDP反射放大攻擊，這些反射放大攻擊使用了一些基於UDP 協議不需要驗證的伺服器，且接收資料遠大於傳送資料，攻擊者通過偽造源IP為受攻擊者的IP，利用網際網路中分佈眾多的伺服器頻寬資源發起攻擊。

圖8 2018上半年攻擊流量佔比統計（出自《DDoS威脅與黑灰產業調查報告》）

圖9 2018上半年攻擊次數佔比統計（出自《DDoS威脅與黑灰產業調查報告》）

常見的反射放大攻擊利用的協議有 SSDP、NTP、DNS、CHARGEN 等，但在與黑客鬥智鬥勇的過程中，新的方法總是層出不窮，上半年就新出現了利用 Mem-cached 協議、IPMI 協議的新型反射攻擊，同時還有混合在眾多攻擊中的 TCP 反射攻擊。

▲DDoS 攻擊發生時間段

DDoS 攻擊時段多為業務高峰期或線上人數最多時段，以達到最大的破壞效果。國內抽樣 DDoS 資料可知，DDoS的高峰期以上午10點到晚上23點為主，其中18點左右有一個低谷，但相比上午10點前仍高出很多。

圖10 DDos 攻擊發生時間段統計（出自《DDoS威脅與黑灰產業調查報告》）

▲DDoS 攻擊持續時間

隨著DDoS的自動平臺化，攻擊時長越來越短，主要是歸結於較好的平臺有穩定的流量輸出，使整體攻擊時間控制在5分鐘以內，期中38.7%集中在1分鐘以內。相對而言，超過60分的攻擊一般流量不大，且主要為 HTTP Flood、SYN Flood 小包等消耗資源類攻擊。

圖11 DDoS 攻擊持續時間佔比統計（出自《DDoS威脅與黑灰產業調查報告》）

▲攻擊型別各流量區間分佈

按攻擊次數統計，主要的攻擊流量區間在5G以內，其佔比超過一半以上。但在流量區間佔比分佈基礎上進行攻擊型別的對應分類，則比較難以區分，存在很多交叉現象。

例如 IoT 肉雞以 UDP Flood 或 SYN Flood 大包等攻擊型別也可以打出百G流量，而目前百G流量主要還是以反射放大的形式打出流量，另在10G到100G之間，攻擊型別交叉也很明顯。值得一提的是現在越來越多的DDoS攻擊，會進行組合攻擊，使防禦難上加難，達到最大攻擊效果。

圖12 攻擊型別各流量區間分佈統計（出自《DDoS威脅與黑灰產業調查報告》）

▲全球DDoS 攻擊目標國家佔比

國外被 DDoS 攻擊的國家涵蓋很廣，基本網際網路覆蓋到的地方，都有DDoS的身影。那些網際網路大國更是首當其衝，例如美國、韓國以及西歐諸國。DDoS 的目的無非獲利，所以競品攻擊與 DDoS 勒索佔主要地位，國外這些發達的網際網路國家在獲利上更加便捷，所以受到的攻擊佔比也更大。

圖13 全球DDoS 攻擊目標國家佔比（出自《DDoS威脅與黑灰產業調查報告》）

▲中國DDoS 攻擊目標各省份佔比

國內被攻擊的區域與國外情況類似，也多發於網際網路建設較好的地區，如江浙、北京、香港。與歷年攻擊目標省份佔比進行對比，各省佔比均無甚變化，因為網際網路的基礎設施要花費大量時間進行建設，週期較長，且網際網路程度越高的城市，網路的升級換代越快，對應的各種業務網際網路化轉化也越便捷，因此DDoS可能會攻擊的業務線也越多。

圖14 中國DDoS 攻擊目標各省份佔比（出自《DDoS威脅與黑灰產業調查報告》）

▲攻擊目標行業分佈

攻擊目標的行業眾多，可以說只要網際網路化的行業，都有被涉及到，其中以遊戲行業為最。在遊戲之外，新興的音、視訊有上升的趨勢，和當今流行的直播、短視訊等有關。另外在醫療、製造業、物聯網等行業中 DDoS 也嶄露頭角，可見利益總是最好的攻擊導向。

圖15 DDos 攻擊目標行業分佈佔比統計（出自《DDoS威脅與黑灰產業調查報告》）

▲殭屍網路C2伺服器全球分佈

提起殭屍網路，那麼大家最關心的無外乎便是C2資訊或反射放大的發包機位置資訊等。C2 伺服器在全球分佈，主要以中國、韓國、美國、歐洲國家為主，隨著中國打擊DDoS力度越來越大，C2 有外遷到第三方世界的小國家，這些國家網路監控寬鬆，能躲過監查，且針對流量上可以有偽造源IP的各種攻擊輸出，這也是發包機為什麼大多在國外的原因。

圖16 殭屍網路C2伺服器全球分佈統計（出自《DDoS威脅與黑灰產業調查報告》）

▲殭屍網路C2伺服器國內分佈

殭屍網路的 C2 在國內情況，與前文分析的類似，主要集中在網際網路建設較好的省份，香港作為一個網路管理相對寬鬆的區域，存在好多的業務線網際網路化，所以佔比排名第二。國內的殭屍網路打擊力度越來越大，導致 DDoS 的好多 C2 遷移到國外。

圖17 殭屍網路C2伺服器國內分佈（出自《DDoS威脅與黑灰產業調查報告》）

二、安全行業態勢分析

1.中國雲信任分析

IEEE中國和阿里雲研究中心聯合出具的《中國雲信任報告》中指出雲已經被中國絕大部分的企業接納，並將雲技術應用在自己的業務當中。在已上雲的企業中，43%的企業把全部業務放在雲上，70%的企業把一半以上業務放在雲上。

圖18 企業“上雲”的接受程度分佈（出自《中國雲信任分析》）

資料顯示，60%的企業用雲支撐主營業務網站，過半數企業用雲支撐核心業務系統。這表示雲已經成為了企業的主流IT技術之一，從最開始的個人Blog，到今天支撐ERP、CRM、程式碼庫和資料庫等核心系統，背後反映了雲端計算在技術和市場教育上的日漸成熟。

圖19 上雲企業業務型別分佈（出自《中國雲信任分析》）

IEEE中國和阿里雲研究中心所調研的企業中有74%的企業認雲值得信任，其中52%選擇比較信任，22%的企業選擇非常信任，而所調研的企業中發現，政府行業對雲的信任度最高。企業對雲技術的直觀感受，反映了雲端計算技術在國內場的普及，和企業對雲端計算安全穩定性上的認知提升。

圖20 企業對雲技術的信任程度分佈（出自《中國雲信任分析》）

調研發現，對20%中國企業來說，安全性仍是上雲的一大顧慮。而影響中國企業上雲的主要顧慮為擔心安全性問題、缺少上雲的知識和技能、上雲成本超過預算、缺少專業解決方案等問題。因而，在安全性和使用者教育培訓上領先的雲端計算服務提供商，更容易推動企業上雲。

此外，26%和23%的企業認為，雲服務提供商未來需要在使用者資料安全保護，和災備隔離措施上加強，才能提高企業對雲端計算的信任感。

圖21 企業對雲安全的需求分佈（出自《中國雲信任分析》）

2.東南亞IDC產業發展分析

2017年在各國多項資訊化和網際網路產業的帶動下，東南亞IDC市場保持穩定增長，達到19.6億美元，增速為15.3%。新加坡是東南亞地區最主要的IDC市場，其次是馬來西亞和泰國。

從全球角度去看，東南亞也可以看作中國雲服務商出海試水的一個節點。在保證現有客戶順利出海東南亞的同時，力圖爭取到更多新客戶也是雲服務商都持有的心態。

圖22 2017年東南亞區域IDC市場分佈情況（來源：科智諮詢）

科智諮詢（中國IDC圈研究中心）最新出爐《東南亞IDC產業發展研究報告》顯示，新加坡地區的IDC市場的成熟度領先於其他東南亞國家，但是在政策激勵、網際網路產業快速發展的帶領下，其他國家的資料中心市場正在快速發展。印度尼西亞、泰國等市場的資料中心建設規模已得到快速提升，吸引國內外大型網際網路企業陸續佈局。

圖23 東南亞IDC市場增速變化情況（來源：科智諮詢）

報告指出，整體上，東南亞地區 IDC 市場較為分散，TOP10 服務商累計市場份額不足 50%，市場佔有率較高的服務商主要為國際IDC服務商和各國的基礎電信運營商。

Equinix 等國際服務商主要在新加坡市場佔據較高的市場份額，並未在其他國家形成較明顯的市場優勢；VADS等基礎電信運營商主要通過在本國經營獲取市場規模；NTT憑藉在東南亞地區較明顯的網路資源和服務能力優勢，在新加坡、馬來西亞、泰國和印度尼西亞 IDC市場均獲得了較為顯著的市場份額；其他在多國 IDC 市場參與經營的服務商則仍處於初級發展階段。

圖24 2017年東南亞主要IDC服務商市場份額（來源：科智諮詢）

來源：安全牛網