8月網安報告| 8月份DDoS攻擊17萬次、UDP Flood攻擊佔絕對優勢、43%的企業把全部業務放在雲上……
一、安全行業情況通報
1.光通天下監測情況通報
根據光通天下監測資料顯示,8月份,網路中累計1,204個IP發生了195,082次DDoS異常/攻擊事件,其中包括174,748次攻擊事件,共清洗掉2565532GB的攻擊流量。同比7月份,受攻擊的IP數、攻擊事件和清洗流量均大幅增加。在經歷了幾個月的緩和期後,DDoS攻擊勢頭漸有迅猛之象。
據統計,8月份流量均值的最大值是45118Mbps,攻擊均值的最大值是44407Mbps。攻擊最活躍的時間段為8月29日凌晨到8月30日凌晨,該時間段共產生20156次攻擊。受攻擊次數最多的防護物件遭受攻擊22,824次、受攻擊時長604小時02分03秒。
圖1 “受攻擊的IP數”時間走向
在攻擊型別的分佈上,本月較活躍的攻擊型別是Location Attack;Filter Attack;FIN/RST Flood;佔網絡攻擊總次數的65.4%。而較大流量的型別則以SYN Flood、TCP Malformed和djr_183_131_206_228為主。
圖2 攻擊型別分佈
圖3 攻擊流量分佈
2.DDoS攻擊資訊分析
▲控制端資源分析
根據CNCERT抽樣監測資料,近期利用肉雞發起DDoS攻擊的控制端有316個,其中,28個控制端位於我國境內,288個控制端位於境外。
位於境外的控制端按國家或地區分佈,美國佔的比例最大,佔39.9%,其次是希臘和法國, 位於境內的控制端按省份統計,浙江省佔的比例最大,佔35.7%,其次是北京市、江蘇省和貴州省;按運營商統計,電信佔的比例最大,佔78.6%,聯通佔3.6%,如圖4所示。
圖4 本月發起DDoS攻擊的境內控制端數量按省份和運營商分佈
▲肉雞資源分析
根據CNCERT抽樣監測資料,近期共有189,082個肉雞地址參與真實地址攻擊(包含真實地址攻擊與其它攻擊的混合攻擊)。
這些肉雞資源按省份統計,山東省佔的比例最大,為15.4%,其次是江蘇省、浙江省和河南省;按運營商統計,電信佔的比例最大,為52.4%,聯通佔32.7%,移動佔12.3%,如圖5所示。
圖5 本月肉雞地址數量按省份和運營商分佈
▲反射攻擊資源分析
根據CNCERT抽樣監測資料,近期利用反射伺服器發起的三類重點反射攻擊共涉及3,358,693臺反射伺服器,其中境內反射伺服器3,126,873臺,境外反射伺服器231,820臺。反射攻擊所利用Memcached反射伺服器發起反射攻擊的反射伺服器有108,124臺,佔比3.2%;利用NTP反射發起反射攻擊的反射伺服器有530,943臺,佔比15.8%;利用SSDP反射發起反射攻擊的反射伺服器有2,719,626臺,佔比81.0%。
通過跨域偽造流量發起攻擊的流量來源於85個路由器。根據參與攻擊事件的數量統計,歸屬於四川省電信的路由器(202.X.X.67)參與的攻擊事件數量最多,其次是歸屬於江蘇省電信(222.x.x.128)的路由器。 跨域偽造流量涉及路由器按省份分佈統計,河南省佔的比例最大,佔37.6%,其次是安徽省和河北省;按路由器所屬運營商統計,聯通佔的比例最大,佔76.5%,電信佔比17.6%,移動佔比5.9%,如圖6所示。
圖6 跨域偽造流量來源路由器數量按省份和運營商分佈
通過本地偽造流量發起攻擊的流量來源於807個路由器。根據參與攻擊事件的數量統計,歸屬於山西省電信的路由器(219.X.X.2、219.X.X.10)參與的攻擊事件數量最多,其次是歸屬於北京市電信的路由器(220.X.X.253、220.X.X.243)。本月本地偽造流量涉及路由器按省份分佈,江蘇省佔的比例最大,佔10.7%,其次是山東省、河南省和湖南省;按路由器所屬運營商統計,電信佔的比例最大,佔39.8%,移動佔比38.7%,聯通佔比21.3%,如圖7所示。
圖7 本地偽造流量來源路由器數量按省份和運營商分佈
3、2018年上半年DDoS威脅態勢
▲DDoS新穎的攻擊技術
FreeBuf 、騰訊雲、騰訊安全雲鼎實驗室、大禹聯合出具的《DDoS威脅與黑灰產業調查報告》中稱,2018年上半年的 DDoS 攻擊流量型別統計結果顯示,UDP Flood 無論從攻擊流量還是從攻擊次數來看,都佔有絕對的優勢。UDP Flood 的主要流量來源於UDP反射放大攻擊,這些反射放大攻擊使用了一些基於UDP 協議不需要驗證的伺服器,且接收資料遠大於傳送資料,攻擊者通過偽造源IP為受攻擊者的IP,利用網際網路中分佈眾多的伺服器頻寬資源發起攻擊。
圖8 2018上半年攻擊流量佔比統計(出自《DDoS威脅與黑灰產業調查報告》)
圖9 2018上半年攻擊次數佔比統計(出自《DDoS威脅與黑灰產業調查報告》)
常見的反射放大攻擊利用的協議有 SSDP、NTP、DNS、CHARGEN 等,但在與黑客鬥智鬥勇的過程中,新的方法總是層出不窮,上半年就新出現了利用 Mem-cached 協議、IPMI 協議的新型反射攻擊,同時還有混合在眾多攻擊中的 TCP 反射攻擊。
▲DDoS 攻擊發生時間段
DDoS 攻擊時段多為業務高峰期或線上人數最多時段,以達到最大的破壞效果。國內抽樣 DDoS 資料可知,DDoS的高峰期以上午10點到晚上23點為主,其中18點左右有一個低谷,但相比上午10點前仍高出很多。
圖10 DDos 攻擊發生時間段統計(出自《DDoS威脅與黑灰產業調查報告》)
▲DDoS 攻擊持續時間
隨著DDoS的自動平臺化,攻擊時長越來越短,主要是歸結於較好的平臺有穩定的流量輸出,使整體攻擊時間控制在5分鐘以內,期中38.7%集中在1分鐘以內。相對而言,超過60分的攻擊一般流量不大,且主要為 HTTP Flood、SYN Flood 小包 等消耗資源類攻擊。
圖11 DDoS 攻擊持續時間佔比統計(出自《DDoS威脅與黑灰產業調查報告》)
▲攻擊型別各流量區間分佈
按攻擊次數統計,主要的攻擊流量區間在5G以內,其佔比超過一半以上。但在流量區間佔比分佈基礎上進行攻擊型別的對應分類,則比較難以區分,存在很多交叉現象。
例如 IoT 肉雞以 UDP Flood 或 SYN Flood 大包等攻擊型別也可以打出百G流量,而目前百G流量主要還是以反射放大的形式打出流量,另在10G到100G之間,攻擊型別交叉也很明顯。值得一提的是現在越來越多的DDoS攻擊,會進行組合攻擊,使防禦難上加難,達到最大攻擊效果。
圖12 攻擊型別各流量區間分佈統計(出自《DDoS威脅與黑灰產業調查報告》)
▲全球DDoS 攻擊目標國家佔比
國外被 DDoS 攻擊的國家涵蓋很廣,基本網際網路覆蓋到的地方,都有DDoS的身影。那些網際網路大國更是首當其衝,例如美國、韓國以及西歐諸國。DDoS 的目的無非獲利,所以競品攻擊與 DDoS 勒索佔主要地位,國外這些發達的網際網路國家在獲利上更加便捷,所以受到的攻擊佔比也更大。
圖13 全球DDoS 攻擊目標國家佔比(出自《DDoS威脅與黑灰產業調查報告》)
▲中國DDoS 攻擊目標各省份佔比
國內被攻擊的區域與國外情況類似,也多發於網際網路建設較好的地區,如江浙、北 京、香港。與歷年攻擊目標省份佔比進行對比,各省佔比均無甚變化,因為網際網路的基礎設施要花費大量時間進行建設,週期較長,且網際網路程度越高的城市,網路的升級換代越快,對應的各種業務網際網路化轉化也越便捷,因此DDoS可能會攻擊的業務線也越多。
圖14 中國DDoS 攻擊目標各省份佔比(出自《DDoS威脅與黑灰產業調查報告》)
▲攻擊目標行業分佈
攻擊目標的行業眾多,可以說只要網際網路化的行業,都有被涉及到,其中以遊戲行 業為最。在遊戲之外,新興的音、視訊有上升的趨勢,和當今流行的直播、短視訊 等有關。另外在醫療、製造業、物聯網等行業中 DDoS 也嶄露頭角,可見利益總是 最好的攻擊導向。
圖15 DDos 攻擊目標行業分佈佔比統計(出自《DDoS威脅與黑灰產業調查報告》)
▲殭屍網路C2伺服器全球分佈
提起殭屍網路,那麼大家最關心的無外乎便是C2資訊或反射放大的發包機位置資訊等。C2 伺服器在全球分佈,主要以中國、韓國、美國、歐洲國家為主,隨著中 國打擊DDoS力度越來越大,C2 有外遷到第三方世界的小國家,這些國家網路監控寬鬆,能躲過監查,且針對流量上可以有偽造源IP的各種攻擊輸出,這也是發包機為什麼大多在國外的原因。
圖16 殭屍網路C2伺服器全球分佈統計(出自《DDoS威脅與黑灰產業調查報告》)
▲殭屍網路C2伺服器國內分佈
殭屍網路的 C2 在國內情況,與前文分析的類似,主要集中在網際網路建設較好的省份,香港作為一個網路管理相對寬鬆的區域,存在好多的業務線網際網路化,所以佔比排名第二。國內的殭屍網路打擊力度越來越大,導致 DDoS 的好多 C2 遷移到國外。
圖17 殭屍網路C2伺服器國內分佈(出自《DDoS威脅與黑灰產業調查報告》)
二、 安全行業態勢分析
1.中國雲信任分析
IEEE中國和阿里雲研究中心聯合出具的《中國雲信任報告》中指出雲已經被中國絕大部分的企業接納,並將雲技術應用在自己的業務當中。在已上雲的企業中,43%的企業把全部業務放在雲上,70%的企業把一半以上業務放在雲上。
圖18 企業“上雲”的接受程度分佈(出自《中國雲信任分析》)
資料顯示,60%的企業用雲支撐主營業務網站,過半數企業用雲支撐核心業務系統。這表示雲已經成為了企業的主流IT技術之一,從最開始的個人Blog,到今天支撐ERP、CRM、程式碼庫和資料庫等核心系統,背後反映了雲端計算在技術和市場教育上的日漸成熟。
圖19 上雲企業業務型別分佈(出自《中國雲信任分析》)
IEEE中國和阿里雲研究中心所調研的企業中有74%的企業認雲值得信任,其中52%選擇比較信任,22%的企業選擇非常信任,而所調研的企業中發現,政府行業對雲的信任度最高。企業對雲技術的直觀感受,反映了雲端計算技術在國內場的普及,和企業對雲端計算安全穩定性上的認知提升。
圖20 企業對雲技術的信任程度分佈(出自《中國雲信任分析》)
調研發現,對20%中國企業來說,安全性仍是上雲的一大顧慮。而影響中國企業上雲的主要顧慮為擔心安全性問題、缺少上雲的知識和技能、上雲成本超過預算、缺少專業解決方案等問題。因而,在安全性和使用者教育培訓上領先的雲端計算服務提供商,更容易推動企業上雲。
此外,26%和23%的企業認為,雲服務提供商未來需要在使用者資料安全保護,和災備隔離措施上加強,才能提高企業對雲端計算的信任感。
圖21 企業對雲安全的需求分佈(出自《中國雲信任分析》)
2.東南亞IDC產業發展分析
2017年在各國多項資訊化和網際網路產業的帶動下,東南亞IDC市場保持穩定增長,達到19.6億美元,增速為15.3%。新加坡是東南亞地區最主要的IDC市場,其次是馬來西亞和泰國。
從全球角度去看,東南亞也可以看作中國雲服務商出海試水的一個節點。在保證現有客戶順利出海東南亞的同時,力圖爭取到更多新客戶也是雲服務商都持有的心態。
圖22 2017年東南亞區域IDC市場分佈情況(來源:科智諮詢)
科智諮詢(中國IDC圈研究中心)最新出爐《東南亞IDC產業發展研究報告》顯示,新加坡地區的IDC市場的成熟度領先於其他東南亞國家,但是在政策激勵、網際網路產業快速發展的帶領下,其他國家的資料中心市場正在快速發展。印度尼西亞、泰國等市場的資料中心建設規模已得到快速提升,吸引國內外大型網際網路企業陸續佈局。
圖23 東南亞IDC市場增速變化情況(來源:科智諮詢)
報告指出,整體上,東南亞地區 IDC 市場較為分散,TOP10 服務商累計市場份額不足 50%,市場佔有率較高的服務商主要為國際IDC服務商和各國的基礎電信運營商。
Equinix 等國際服務商主要在新加坡市場佔據較高的市場份額,並未在其他國家形成較明顯的市場優勢;VADS等基礎電信運營商主要通過在本國經營獲取市場規模;NTT憑藉在 東南亞地區較明顯的網路資源和服務能力優勢,在新加坡、馬來西亞、泰國和印度尼西亞 IDC市場均獲得了較為顯著的市場份額;其他在多國 IDC 市場參與經營的服務商則仍處於初級發展階段。
圖24 2017年東南亞主要IDC服務商市場份額(來源:科智諮詢)