綠盟科技：2014年DDoS威脅報(bào)告

網(wǎng)絡(luò)安全威脅正在變得日益復(fù)雜，各類攻擊目標(biāo)、手段及來源始終在不斷的發(fā)生著變化，隨之企業(yè)及各類組織需要不斷關(guān)注這些發(fā)展態(tài)勢，以便能夠理解與預(yù)測未來可能遭遇的惡意攻擊，進(jìn)而應(yīng)對(duì)復(fù)雜變化所帶來的挑戰(zhàn)。

DDoS（分布式拒絕服務(wù)）作為網(wǎng)絡(luò)安全威脅中的典型攻擊手段，從誕生的那天起就從未停止，本報(bào)告是2014年全年度DDoS報(bào)告。2014年，DDoS攻擊方式中出現(xiàn)了新的DDoS反射式放大攻擊形式，該攻擊基于SSDP協(xié)議利用一些智能設(shè)備進(jìn)行反射式攻擊，攻擊帶寬放大倍數(shù)最高可達(dá)75倍。在國內(nèi)，在線游戲已進(jìn)入DDoS攻擊目標(biāo)的前3。在2014年DDoS攻擊事件中，某次攻擊事件流量超過100Gbps。

關(guān)鍵發(fā)現(xiàn)

1. 智能設(shè)備發(fā)起DDoS攻擊數(shù)量明顯增多

2. 廣東依然是最嚴(yán)重的受害區(qū)域

3. 18點(diǎn)-23點(diǎn)是DDoS開始攻擊的主要時(shí)間段

4. UDP FLOOD成為最主要的DDoS攻擊方式

5. 在線游戲已進(jìn)入DDoS攻擊目標(biāo)前3

6. 93% DDoS攻擊發(fā)生在半小時(shí)內(nèi)

預(yù)測2015

1. DDoS攻擊峰值流量將再創(chuàng)新高

2. 反射式DDoS攻擊技術(shù)會(huì)繼續(xù)演進(jìn)

3. DNS服務(wù)將迎來更多的DDoS攻擊

4. 針對(duì)行業(yè)的DDoS攻擊將持續(xù)存在

觀點(diǎn)1：智能設(shè)備發(fā)起DDoS攻擊數(shù)量明顯增多

近年來已監(jiān)測到多起由智能設(shè)備發(fā)起的DDoS攻擊，并且次數(shù)在逐漸增多。 由于一些智能設(shè)備（例如網(wǎng)絡(luò)攝像機(jī)）具有以下特點(diǎn)：相對(duì)比較高的帶寬、升級(jí)周期比較長，甚至可能自部署后從未升級(jí)、通常是7*24小時(shí)在線

如果這些設(shè)備存在弱口令或者漏洞，則容易被攻擊者利用，進(jìn)而成為DDoS攻擊源。綠盟科技近期對(duì)世界范圍內(nèi)的智能設(shè)備進(jìn)行了監(jiān)控, 已發(fā)現(xiàn)約80萬該類設(shè)備可能被利用進(jìn)行DDoS攻擊，下圖顯示了其分布情況。

事件1：2014年國內(nèi)規(guī)模最大的DDoS攻擊--1/3攻擊源是智能設(shè)備

自2014年12月10日起，全球范圍內(nèi)DNS流量出現(xiàn)異常，針對(duì)該事件綠盟科技安全團(tuán)隊(duì)做出了快速的分析處理，此次DNS攻擊事件波及全國大多數(shù)省份，從10日凌晨至14日，攻擊在全國范圍內(nèi)依然時(shí)常發(fā)生。初步統(tǒng)計(jì)，此次攻擊事件在全國范圍內(nèi)的攻擊流量至少有100G以上，單節(jié)點(diǎn)高峰流量達(dá)到70Gbps，其持續(xù)事件之長，攻擊流量之大，屬近年之最。經(jīng)過樣本分析發(fā)現(xiàn)，攻擊者通過不斷查詢a***k.org、n***c.com等三個(gè)域名的隨機(jī)二級(jí)域名的方法進(jìn)行DNS Flood攻擊。

這次DDoS攻擊的基本方法是利用僵尸網(wǎng)絡(luò)查詢游戲網(wǎng)站的隨機(jī)二級(jí)域名，企圖攻擊該游戲網(wǎng)站的權(quán)威域名服務(wù)器（即DNS Slow Drip DDoS攻擊）。由于國內(nèi)的寬帶用戶通常將其電腦的DNS選項(xiàng)設(shè)置為各省的遞歸服務(wù)器，在大量肉雞發(fā)起攻擊（請(qǐng)求）后，導(dǎo)致遞歸服務(wù)器需要向外遞歸查詢游戲網(wǎng)站的隨機(jī)二級(jí)域名，從而極大地消耗了這些服務(wù)器的系統(tǒng)資源，造成運(yùn)營商核心解析業(yè)務(wù)受到嚴(yán)重影響。這次DDoS攻擊有如下3點(diǎn)值得關(guān)注的地方：攻擊源中有1/3左右是智能設(shè)備、國內(nèi)DNS遞歸服務(wù)器是因牽連而受到嚴(yán)重影響、被攻擊域名均屬于在線游戲網(wǎng)站

此外，以2014年12月為例回顧針對(duì)DNS服務(wù)的DDoS攻擊事件（DNS FLOOD），這些攻擊能夠頻頻得手充分說明，從攻擊者角度看攻擊DNS服務(wù)是實(shí)現(xiàn)攻擊目的既有力又有效的手段，這種選擇也間接體現(xiàn)了目前DNS的安全防護(hù)狀況，畢竟DDoS攻擊目的就是企圖造成資源耗盡，因此需要找出攻擊受害者的"軟肋"。

觀點(diǎn)2：沿海省市是受攻擊的集中地區(qū), 廣東依然是最嚴(yán)重的受害區(qū)域

2014下半年廣東依然是最嚴(yán)重的受害區(qū)域。與2014上半年相比，廣東占攻擊的比例雖然下降, 但是其下半年遭受攻擊次數(shù)是上半年的1倍多，這充分反映了當(dāng)前DDoS攻擊活動(dòng)的活躍程度。與2013下半年相比，變化最明顯的是天津市，受害者數(shù)量不斷上升，2013年還在10名之外，到2014下半年已超過福建省位列第4。在前10名受害區(qū)域中, 除內(nèi)陸省份陜西與四川外，其它受害區(qū)域均屬沿海省市。

觀點(diǎn)3：18點(diǎn)-23點(diǎn)是DDoS開始攻擊的主要時(shí)間段

下圖表現(xiàn)了2014年DDoS攻擊目標(biāo)每半年的DDoS攻擊開始時(shí)間。從中可以看出，在2014下半年18點(diǎn)-23點(diǎn)（北京時(shí)間，GMT+8）是DDoS開始攻擊的主要時(shí)間段（47.5%），其次是12點(diǎn)-17點(diǎn)的時(shí)間段（26.2%）。攻擊者主要選擇18點(diǎn)-23點(diǎn)開始進(jìn)行攻擊，這是因?yàn)檫@段時(shí)間網(wǎng)絡(luò)流量比較大，使得攻擊效果會(huì)"事半功倍"。

觀點(diǎn)4：UDP FLOOD成為最主要的DDoS攻擊方式

監(jiān)測數(shù)據(jù)顯示，2014下半年UDP FLOOD超越DNS FLOOD成為當(dāng)前最主要的DDoS攻擊方式，占總數(shù)的51.9%。DDoS攻擊方式的變化反映了在網(wǎng)絡(luò)攻防對(duì)抗中，不斷動(dòng)態(tài)演進(jìn)的攻防技術(shù)發(fā)展，例如：攻擊者對(duì)數(shù)據(jù)包到目標(biāo)站點(diǎn)經(jīng)過的各節(jié)點(diǎn)進(jìn)行試探，在發(fā)現(xiàn)網(wǎng)絡(luò)鏈路上的薄弱環(huán)節(jié)后再發(fā)動(dòng)攻擊。UDP FLOOD上升為重要DDoS攻擊方式的原因之一，與近年來攻擊者持續(xù)使用反射式DDoS攻擊有密切關(guān)系。

事件2：SSDP反射式DDoS攻擊實(shí)例分析

在2014年下半年SSDP反射式DDoS攻擊次數(shù)顯著上升，這種攻擊的基本過程如下圖所示。首先攻擊者將偽造IP地址的M-SEARCH UDP數(shù)據(jù)包發(fā)送給眾多UPnP設(shè)備；然后這些UPnP設(shè)備向受害者IP"返回"響應(yīng)數(shù)據(jù)包；最后當(dāng)受害者無法處理由于這些UPnP設(shè)備產(chǎn)生的反射攻擊流量時(shí)，導(dǎo)致被攻擊目標(biāo)陷入拒絕服務(wù)狀態(tài)。根據(jù)已監(jiān)測到的SSDP反射式DDoS攻擊數(shù)據(jù)，其攻擊帶寬放大倍數(shù)（BAF, 即UDP Payload比值）在30左右。

可以看到，攻擊者向UPnP設(shè)備發(fā)送M-SEARCH請(qǐng)求，并將ST（Search Target）設(shè)置為ssdp:all （即搜索所有設(shè)備和服務(wù)）。如果考慮到全球可被利用的UPnP設(shè)備數(shù)量，則很容易看出這種反射式DDoS攻擊會(huì)給互聯(lián)網(wǎng)帶來非常巨大的影響。綠盟科技近期對(duì)世界范圍內(nèi)的SSDP服務(wù)進(jìn)行監(jiān)控時(shí)，發(fā)現(xiàn)700多萬臺(tái)SSDP設(shè)備（Controlled Device）能夠被利用進(jìn)行SSDP反射式DDoS攻擊。

根據(jù)統(tǒng)計(jì)結(jié)果，SSDP協(xié)議的平均帶寬放大倍數(shù)（BAF）是37，最常見的放大倍數(shù)是24和32；SSDP協(xié)議的平均包放大倍數(shù)（PAF）是8.7。對(duì)SSDP設(shè)備放大倍數(shù)按升序排序，則前10% SSDP設(shè)備的平均帶寬放大倍數(shù)是14，而后10% SSDP設(shè)備的平均帶寬放大倍數(shù)是75。

這些SSDP設(shè)備的放大倍數(shù)分布狀況如下：

基于SSDP協(xié)議的反射攻擊在很長時(shí)間內(nèi)將難以修復(fù)。由于影響的設(shè)備范圍廣，手段多樣以及攻擊效果明顯，可以預(yù)見的是越來越多的攻擊者會(huì)利用/改進(jìn)這種攻擊的手段和方式。從應(yīng)對(duì)反射攻擊的思路上看，這種類型攻擊需要終端用戶、運(yùn)營商、安全廠商協(xié)力配合，從各個(gè)層面阻擊才能最大程度的保證用戶業(yè)務(wù)的可靠性。

觀點(diǎn)5：在線游戲已進(jìn)入DDoS攻擊目標(biāo)前3

綠盟科技收集了2013至2014年全球發(fā)生的重大DDoS攻擊事件。在這些攻擊事件中，2014下半年政府網(wǎng)站依然是DDoS攻擊最主要的目標(biāo)，占總數(shù)近一半，其次則是針對(duì)商業(yè)公司的攻擊。與2014上半年相比，運(yùn)營商受到的攻擊比例有所下降，而在線游戲和金融行業(yè)則有所上升。與2013下半年相比，最明顯的區(qū)別是針對(duì)在線游戲的DDoS顯著增加，游戲行業(yè)一直是DDoS攻擊的主要目標(biāo)之一，這是因?yàn)樵诰€游戲?qū)τ谟螒蚍?wù)器的服務(wù)質(zhì)量要求很高，在DDoS攻擊影響游戲正常運(yùn)行時(shí)，玩家常會(huì)責(zé)怪游戲服務(wù)器"太慢、易掉線"，如果頻繁出現(xiàn)這些狀況，玩家極有可能選擇離開，從而直接導(dǎo)致該款游戲在線盈利能力下降。攻擊者之所以喜歡將在線游戲作為攻擊目標(biāo), 這可能與攻擊者通過勒索而牟取非法利益存在著聯(lián)系，也有可能存在非正當(dāng)商業(yè)競爭等原因。

觀點(diǎn)6：93% DDoS攻擊發(fā)生在半小時(shí)內(nèi)

從2013年以來的數(shù)據(jù)顯示，DDoS攻擊時(shí)間的分布一直比較穩(wěn)定，30分鐘內(nèi)完成的攻擊始終占90%左右。目前DDoS攻擊的重要特征是：持續(xù)時(shí)間短、但攻擊流量大。攻擊者采用這種攻擊策略的目的至少有：

1. 閃電戰(zhàn)：試圖在檢測發(fā)現(xiàn)攻擊至啟動(dòng)清洗服務(wù)的時(shí)間間隔內(nèi)進(jìn)行攻擊, 以更有效率地對(duì)目標(biāo)實(shí)施DDoS攻擊；

2. 干擾戰(zhàn)：對(duì)攻擊目標(biāo)進(jìn)行DDoS攻擊，只是吸引攻擊目標(biāo)IT工作人員的注意力，掩護(hù)攻擊者采取其它攻擊方式；

3. 游擊戰(zhàn)：通過長期DDoS攻擊網(wǎng)站，意圖惡意阻礙網(wǎng)站的正常訪問, 常常是"打一槍就走"。

由此可見，對(duì)于DDoS的緩解而言，從檢測發(fā)現(xiàn)攻擊到啟動(dòng)清洗的響應(yīng)速度會(huì)成為評(píng)判緩解效果的關(guān)鍵因素之一。此外，長期連續(xù)的DDoS攻擊雖然少見但依然存在，2014下半年，綠盟科技云安全運(yùn)營中心監(jiān)測到持續(xù)最久DDoS攻擊長達(dá)70個(gè)小時(shí)。

預(yù)測2015

現(xiàn)狀值得我們?nèi)シ治?，是因?yàn)樗俏磥淼南日?。如?015年不會(huì)出現(xiàn)顛覆性的技術(shù)變革，或是重大的政治宗教沖突。那么，我們可以對(duì)DDoS的數(shù)量、方法和對(duì)象提出一些預(yù)測。其中反射式DDoS攻擊尤其值得重視，所以本節(jié)從技術(shù)和威脅角度給出了更詳細(xì)的分析。

DDoS攻擊峰值流量將再創(chuàng)新高

DDoS攻擊峰值流量逐年上升,這一方面是由于攻擊技術(shù)的不斷發(fā)展, 另一方面也是由于網(wǎng)絡(luò)帶寬等可利用資源顯著上升。 因此預(yù)期2015年DDoS攻擊峰值流量較2014年將有明顯增長, 甚至可能會(huì)進(jìn)入1Tbps時(shí)代。

反射式DDoS 攻擊技術(shù)會(huì)繼續(xù)演進(jìn)

從防護(hù)角度看反射式DDoS攻擊易于檢測與緩解，這是因?yàn)楣魯?shù)據(jù)包的源端口相對(duì)固定；然而從攻擊角度看，這種DDoS攻擊方式具有隱匿攻擊者真實(shí)身份、攻擊者無需組建僵尸網(wǎng)絡(luò)、對(duì)攻擊者的網(wǎng)絡(luò)帶寬要求小等優(yōu)勢。在2014年下半年，基于SSDP協(xié)議DDoS反射式攻擊次數(shù)顯著上升。預(yù)計(jì)這種高效、低成本的DDoS攻擊技術(shù)還將為攻擊者提供更多的攻擊選項(xiàng)。

DNS服務(wù)將迎來更多的DDoS攻擊

2014下半年多次重大DDoS攻擊中都使用了DNS FLOOD，這主要是因?yàn)镈NS協(xié)議設(shè)計(jì)存在安全缺陷、許多DNS服務(wù)器運(yùn)維存在安全隱患等導(dǎo)致，從而使得DNS服務(wù)器自然而然地成為攻擊者瞄準(zhǔn)的重要攻擊對(duì)象。

針對(duì)行業(yè)的DDoS攻擊將持續(xù)存在

近年來針對(duì)金融、能源等行業(yè)的DDoS攻擊時(shí)有發(fā)生，一些行業(yè)甚至長期面臨DDoS攻擊的困擾。雖然目前各種緩解DDoS的技術(shù)不斷發(fā)展，但是從攻擊者角度看DDoS攻擊簡單易行，只要其行之有效則會(huì)持續(xù)存在。

結(jié)束語

拒絕服務(wù)攻擊存在的根源是Internet架構(gòu)自身缺陷，正如RFC 4732所說，"由于最初Internet架構(gòu)未考慮拒絕服務(wù)攻擊, 從而導(dǎo)致幾乎所有Internet服務(wù)均易遭受拒絕服務(wù)攻擊"?？v觀近5年DDoS攻防雙方的對(duì)抗交鋒，攻擊方技術(shù)不斷演進(jìn)，將"以大欺小"（流量型攻擊）與"以小搏大"（資源耗盡型）兩種攻擊方式組合起來，利用逐漸提高的網(wǎng)絡(luò)帶寬增強(qiáng)攻擊力等；而防守方則通過流量清洗設(shè)備等多種手段予以應(yīng)對(duì)。

從綠盟科技長期跟蹤與分析的DDoS數(shù)據(jù)可以看出，攻擊者行為是在不斷變化，網(wǎng)絡(luò)環(huán)境的演進(jìn)使得攻防的戰(zhàn)場更為復(fù)雜。相信報(bào)告中所述觀點(diǎn)，對(duì)于預(yù)測未來的攻擊形態(tài)，以及進(jìn)一步完善企業(yè)及組織的解決方案是有價(jià)值的。

"能因敵變化而取勝，謂之神"，面對(duì)DDoS攻擊目前所呈現(xiàn)的不斷演變與浪潮沖擊，您做好準(zhǔn)備了嗎？

來源：投稿，作者：趙剛，綠盟科技威脅響應(yīng)中心研究員，主要研究領(lǐng)域?yàn)閼B(tài)勢感知和信息安全事件分析。馬樂樂，綠盟科技北京研發(fā)中心研發(fā)工程師，主要進(jìn)行DDoS攻防相關(guān)的研究。