2015年3月1日至5月7日，Incapsula公司對1572個網絡層和2714個應用層攻擊進行了數據分析并總結出了這份報告。

DDoS攻擊的流量通常參差不齊，所以我們要研究DDoS攻擊案例，就要從單一攻擊的構成開始。該報告中的攻擊統一理解成是對同一目標IP地址/域名發動的持續性DDoS攻擊。

說明

該報告從兩種不同的DDoS攻擊類型進行分析：網絡層攻擊和應用層攻擊(參考OSI模型)

OSI是Open System Interconnection的縮寫，意為開放式系統互聯。國際標準化組織(ISO)制定了OSI模型。這個模型把網絡通信的工作分為7層，分別是物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。

網絡層面的攻擊主要針對的是網絡層和傳輸層，即OSI模型的第三、第四層。像這種大流量的攻擊完全有能力利用現有的帶寬資源使目標網站的網絡飽和。網絡層的攻擊是以Gbps計量的。

應用層攻擊針對的是OSI模型的第七層——應用層。和網絡層面不同的是，應用層的攻擊可以通過發送大量的請求占用CPU資源。最終使服務器掛掉。應用層攻擊是以RPS(每秒發送的請求數)計量的。通常所說的僵尸網絡就屬于這一層攻擊，通過發送大量請求致使服務器掛掉。

網絡層攻擊

概述

在2015年第二季度中，DDoS攻擊還在持續增長，流量峰值甚至超過253Gbps。從2014年到2015年第二季度的統計中，網絡層攻擊的最長時間超過64天，并且有20.4%的攻擊時長超過了5天。

從攻擊向量類型來說，危害程度最大的是SYN flood，其次是UDP flood。UDP flood比較常見，在對Incapsula網絡進行檢測階段，有55%的攻擊類型都是UDP flood，可能是由于SSDP攻擊數量上升的緣故吧。

圖1

攻擊持續時間

如下圖中顯示的那樣，在報告期間大部分的網絡層DDoS攻擊都有所緩和，比如攻擊時間變短等。有將近71%的DDoS攻擊時間在3小時以內，20.4%的攻擊時間超過了5天。

　　圖2

在上面圖表中很難分析出平均的攻擊時間，然而卻能看出來2種常見的DDoS攻擊類型：

1.短期單一向量攻擊：通常持續在30分鐘以內，其目的可能是探測目標的防御策略，或者是實施“打了就跑”的策略。這種類型的攻擊只有沒有經驗的攻擊者或者DDoS租用服務平臺才會發動。

2.長期多向量攻擊：網絡犯罪者首先會在目標防護措施上找到一個突破口，然后結合使用多種攻擊向量給予目標重重的一擊。只有熟練的網絡黑客才會采用這種類型。

　　圖3

攻擊向量

UDP flood和SYN flood是目前為止最常見的DDoS攻擊類型，有超過56%的攻擊都屬于這兩種類型，其中有8%的DDoS攻擊屬于SSDP類型。

　　圖4

　　圖5

多向量攻擊

通常，我們一看到多向量攻擊就會自然的想到非常老練的攻擊者，似乎已經默認了多向量攻擊是老練攻擊者的標志。然而比較有趣的是，在網絡層攻擊中只有56%的攻擊是屬于多向量攻擊。

　　圖6

從圖中可以看出，15年多向量攻擊數量有所下降，但是這種下降趨勢也暗示了僵尸網絡服務的上升。

　　圖7

租用僵尸網絡

僵尸網絡租賃服務給不懂技術的小白們提供一種發動DDoS攻擊的可能性，只要你愿意支付服務費，僵尸網絡租賃服務平臺就能幫你做到。

僵尸網絡租賃平臺還有一種訂閱服務，購買者可以訂購僵尸網絡的攻擊時限，比如每個月累計攻擊時間不超過60分鐘。這樣一來不懂DDoS的人也可以通過這種簡單的方式發動DDoS攻擊。通過統計僵尸網絡租用平臺上訂購情況，發現1小時/月的平均價格是38美元，其中最低甚至只有19.99美元。

　　圖8

應用層攻擊

概要

在2015年第二季度中，設備感染的主要惡意程序有：MrBlack、Nitol、PCRat、Cyclone，其中有15%的攻擊來自于中國。應用層攻擊中，最大的請求量每秒高達179747次，最長的攻擊時間段為8天，平均值為2天半。一旦某個網站被攻擊者盯上，那之后平均每隔10天就會被攻擊一次。

　　圖9

攻擊持續期間和頻率

大部分的應用層攻擊(98%)的攻擊時間在24小時以內，其中52%的攻擊時長不超過1小時。

　　圖10

和網絡層攻擊不同的是，應用層攻擊事件通?？梢跃_的針對某個目標進行攻擊。也就是說可以同時對同一個目標發動大量的請求。

在這72天的數據搜集中，有將近50%的網站受到不止一次的應用層攻擊，超過17%的網站受到5次以上的攻擊，10%的網站受到10次以上的攻擊。

　　圖11

僵尸網絡攻擊活動及其地理位置

在網絡層攻擊中，IP地址欺騙是最常見的攻擊方式，它可以幫助網絡犯罪者們掩蓋真實的IP地址和地理位置。然而，應用層攻擊并不會采用IP地址欺騙(需要完成一個完整的TCP三次握手)的手段，而是使用真實的IP地址。

對應用層攻擊的源頭進行追蹤發現，有將近15%的DDoS攻擊流量來源于中國，其次是越南、美國、巴西、泰國。而泰國還被認為是MrBlack惡意程序家園，因為大部分感染MrBlack的路由器均位于泰國。

　　圖12

在下圖中還可以看出，MrBlack是DDoS攻擊中最常用的一種惡意程序，其次是Nitol、PCRat、Cyclone、DirtJumper。

　　圖13

　　圖14

然而MrBlack感染的設備數量卻非常的少，只有不到5%的IP地址被檢測感染了該種惡意程序。因為其感染的路由器比較多，所以它能產生更高的攻擊量。

DDoS僵尸網絡的攻擊能力和“身份”

在互聯網安全中，DDoS僵尸進化史已成為了一個非常熱門的話題，也標志著是僵尸網絡持有者(網絡犯罪者)與安全廠商之間的一種激烈競爭。在2015年第二季度的數據統計中，發現本季度的原始僵尸網絡數量和上一季度的數量基本相同。

　　圖15

對HTTP頭部的分析發現，本季度的DDoS類型和上一季度相比有著很大的變化，而且現在的僵尸網絡在逐漸的放棄使用搜索引擎載體。2014年的攻擊流量中，有高達57.7%的流量來自于“百度、谷歌”，而2015年卻只有0.91%。

　　圖16

這一轉變可能是廣泛采用了基于IP的緩解技術的結果。還有一個比較有趣的轉變是，在統計的數據中只有43%的攻擊采用了排名前10的用戶代理，也從側面說明了DDoS僵尸網絡的用戶代理也越來越多樣化。上一季度中有90%的攻擊用了排名前10的用戶代理。

　　圖17

結論

DDoS僵尸網絡租用服務給小白們提供了一種發動攻擊的可能性，從而也導致了大量短時間攻擊的出現——發動一次DDoS攻擊可能只需38美元，而給企業帶來的損失巨大，每小時企業損失甚至可達40000美元。當然金錢的損失還不是最嚴重的，最嚴重的是企業服務受到影響、失去顧客的信任等。