綠盟科技發(fā)布了2015 H1 DDoS威脅報(bào)告。報(bào)告發(fā)現(xiàn)近期的DDoS攻擊呈現(xiàn)兩極分化的局面:大流量攻擊不斷增長,按照此趨勢足以對(duì)互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)造成威脅(>100G的攻擊有33起),并開始走向云端攻擊的形式;與此同時(shí),小流量攻擊并沒有消失(1分鐘以下占42.74%),而是轉(zhuǎn)變?yōu)槊}沖攻擊及慢速攻擊,主要針對(duì)各行業(yè)中的業(yè)務(wù)設(shè)計(jì)不合理的環(huán)節(jié),這些攻擊很容易導(dǎo)致用戶的業(yè)務(wù)緩慢甚至無法進(jìn)行。
而且,報(bào)告發(fā)現(xiàn)有越來越多的攻擊者混合使用多種形式,讓用戶防不勝防,這些混合化攻擊中,以大流量混合攻擊為主(72%)。
大流量攻擊呈現(xiàn)增長趨勢,過百G的攻擊越來越多
近年,美國聯(lián)邦通信委員會(huì)(FCC)CC對(duì)寬帶重新定義,下行速度從 4Mbps 調(diào)整至 25Mbps,上行速度從 1Mbps 調(diào)整至3Mbps。全球的互聯(lián)網(wǎng)用戶2008-2012共4年的年平均增長率高達(dá)12%,2013互聯(lián)網(wǎng)用戶數(shù)比例已經(jīng)超過人口的37.96%,預(yù)期在2015年用戶數(shù)量可以超過30億。
十二五以來,國內(nèi)隨著“寬帶中國”戰(zhàn)略實(shí)施方案的推進(jìn),城市和農(nóng)村家庭寬帶接入能力逐步達(dá)到20兆比特每秒(Mbps)和4Mbps,部分發(fā)達(dá)城市達(dá)到100Mbps,寬帶首次成為國家戰(zhàn)略性公共基礎(chǔ)設(shè)施。根據(jù)CNNIC的統(tǒng)計(jì),中國國際出口帶寬呈現(xiàn)非常快速的增長趨勢。與此同時(shí),中國的網(wǎng)民規(guī)模也在大幅度提升,5年來平均增長幅度達(dá)到7.2%,2014年接近6.5億。
寬帶標(biāo)準(zhǔn)被調(diào)高以及聯(lián)網(wǎng)用戶的(設(shè)備)增多,在方便用戶使用的同時(shí),也為大流量DDoS攻擊的出現(xiàn)創(chuàng)造了條件,加之設(shè)備廠商和消費(fèi)者在安全意識(shí)方面需要提升,這方面的因素也助長了DDoS放大式攻擊的發(fā)生,這些方面都直接導(dǎo)致了DDoS風(fēng)險(xiǎn)的增高。
報(bào)告數(shù)據(jù)顯示,在2015年大流量DDoS攻擊仍舊在持續(xù)增加。2015年上半年,至少出現(xiàn)33起流量超過100G的攻擊,集中在6個(gè)相對(duì)獨(dú)立的IP上。從全國范圍分布上看,排名前五的城市包括上海、成都、東莞、濟(jì)南、天津。
另外,從多年來為運(yùn)營商服務(wù)的數(shù)據(jù)來看,也可以看到在2015年上半年的DDoS攻擊中,百G以上的攻擊頻次明顯增大。以某運(yùn)營商為例,2015年受100G以上流量攻擊的IP數(shù)增長到1675個(gè),攻擊的次數(shù)增長到3729次,照此計(jì)算100G以上的攻擊總量已經(jīng)超過300T,這已經(jīng)威脅到互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)的正常運(yùn)作。這個(gè)趨勢相比2014年有所增長,單IP受到100G以上流量攻擊的次數(shù)也明顯上升。而100G以下的攻擊總量要遠(yuǎn)遠(yuǎn)超過這個(gè)數(shù)量。
大流量攻擊走向云端,可能出現(xiàn)的云端攻擊形式
在DDoS大流量攻擊興起的同時(shí),為了抵御風(fēng)險(xiǎn)免受其害,許多用戶將其業(yè)務(wù)向云端遷移,云計(jì)算技術(shù)的諸多優(yōu)點(diǎn)使得云服務(wù)得以廣泛應(yīng)用。中國信息通信研究院的報(bào)告顯示,我國公共云服務(wù)市場規(guī)模大概在72億元左右,比去年增長47.5%。中國私有云市場規(guī)模也在不斷擴(kuò)張,2014年國內(nèi)私有云市場規(guī)模大概在246億人民幣左右,增長速度將近30%。
云服務(wù)的增多在為用戶帶來了便利的同時(shí),也在安全方面也帶來了兩個(gè)方面的變化:
客戶端輕量化。客戶端原本的計(jì)算任務(wù),大幅度向云端轉(zhuǎn)移,云端的流量會(huì)越來越大,這將會(huì)被大流量DDoS攻擊所利用;環(huán)境復(fù)雜化。隨著業(yè)務(wù)環(huán)境虛擬化,從業(yè)務(wù)更加靈活多變到運(yùn)維管理,其中不斷產(chǎn)生新的不確定性,都可能為新的 DDoS攻擊形式創(chuàng)造機(jī)會(huì)。報(bào)告中分析了這些可能的攻擊形式,并在報(bào)告的PDF版本中給出了計(jì)算器,便于大家粗略估算DDoS可能帶來的損失。
大流量攻擊在游戲行業(yè)中加劇,尤以UDP攻擊常見
大流量攻擊在影響著各個(gè)行業(yè),在近幾年的分析中,綠盟科技的技術(shù)專家觀測到游戲行業(yè)遭受大流量攻擊的情況在逐年增加。在2014年的報(bào)告中,這種現(xiàn)象稱之為“行業(yè)潮流性” ,即攻擊者不僅會(huì)預(yù)估收益選擇攻擊目標(biāo),更能夠根據(jù)行業(yè)業(yè)務(wù)特性演變攻擊形式。
2015年上半年的數(shù)據(jù)顯示,游戲行業(yè)仍然是DDoS攻擊的重點(diǎn)對(duì)象之一。游戲行業(yè)用戶基數(shù)大、用戶類型多、在線維護(hù)難度大的特點(diǎn),也使得游戲行業(yè)成為極易受到攻擊的目標(biāo)行業(yè)。由于很多游戲基于私有協(xié)議開發(fā),傳統(tǒng)DDoS防御手段在沒有貼合業(yè)務(wù)特性的情況下,防御DDoS攻擊常常面臨較大困難。
以某大型互聯(lián)網(wǎng)企業(yè)為例,在其多項(xiàng)業(yè)務(wù)中,在線游戲仍然是DDoS主要的攻擊對(duì)象(74.7%),DNS服務(wù)及Web服務(wù)分別為15.1%及9.7%。通過對(duì)各項(xiàng)服務(wù)的展開分析可以看到,除了游戲業(yè)務(wù)以外,Web服務(wù)及其他服務(wù)中大流量攻擊的比例也不在少數(shù)。
小流量快攻擊變身脈沖式攻擊,實(shí)戰(zhàn)國內(nèi)外實(shí)際案例
雖然大流量攻擊乃至云端攻擊會(huì)越來越多的出現(xiàn),但這并不意味著小流量攻擊就消失了。相反,在一些行業(yè)中,小流量攻擊有著特殊的目的,與大流量(百G以上)及超大流量(500G或 更高)相比,1這些攻擊因?yàn)槠淞髁啃。粫?huì)引起業(yè)界的關(guān)注,2這些小流量隱藏在大流量其中,難以辨識(shí);3有些攻擊時(shí)長小到防護(hù)設(shè)備難以捕獲,很難完整呈現(xiàn)其攻擊過程,這些特點(diǎn)決定了小流量攻擊不僅不會(huì)被攻擊者拋棄。2015年上半年,0-30分鐘時(shí)長的攻擊環(huán)比上漲4.52%,1分鐘以下的攻擊占總量的42.74%。
將這些短時(shí)攻擊組合起來看,往往每輪次總的攻擊時(shí)間也很短。數(shù)據(jù)統(tǒng)計(jì)顯示,5分鐘以下的攻擊已經(jīng)有46%的比例,接近總量的半數(shù)。綠盟科技的技術(shù)專家將這種短時(shí)長“閃電戰(zhàn)”的攻擊形式,歸類為DDoS脈沖攻擊(Hit-and-run DDoS )。
小流量慢攻擊專盯業(yè)務(wù)邏輯問題,呈現(xiàn)攻擊原理及防御
在眾多小流量攻擊案例中,針對(duì)業(yè)務(wù)邏輯設(shè)計(jì)問題的慢速攻擊也具有代表性。不同于游戲領(lǐng)域的小而快,這種攻擊類型的小流量慢速攻擊由于間隔時(shí)間較長,從協(xié)議、流量、邏輯上來看也沒有明顯異常,但是卻針對(duì)協(xié)議的弱點(diǎn)或者應(yīng)用邏輯上的弱點(diǎn),故意延長通信的時(shí)間、占用連接的資源、增加服務(wù)器的處理過程,進(jìn)行資源消耗,使目標(biāo)的CPU資源、內(nèi)存資源、連接池等耗盡,最終產(chǎn)生拒絕服務(wù),服務(wù)器無法再接受來自用戶的訪問請(qǐng)求。
DDoS攻擊手段日益高級(jí),智能路由器溫床未見好轉(zhuǎn)
DDoS攻擊者為了達(dá)到目的,會(huì)結(jié)合多個(gè)方面的因素實(shí)施不同形式的攻擊,攻擊手段不斷翻新,變得越來越高級(jí),甚至呈現(xiàn)出“APT”的特色。
攻擊業(yè)務(wù)多樣化。 DDoS多年難以治理,有一方面原因就是因?yàn)闃I(yè)務(wù)形態(tài)的多樣性。隨著業(yè)務(wù)形態(tài)的不斷發(fā)展及演變,結(jié)構(gòu)及業(yè)務(wù)流程越來越復(fù)雜,攻擊者無時(shí)無刻不在反復(fù)跟蹤分析這些業(yè)務(wù)特點(diǎn)及可能存在的問題,而攻擊形式也隨之而變。
攻擊流量多樣化。 在2015年上半年數(shù)據(jù)顯示,在DDoS攻擊中,攻擊者往往混合使用多種攻擊手段和多種類型的攻擊源。UDP混合流量占主要比重,達(dá)到72%。這些流量組合正如前面的分析所展示的那樣,并非無的放矢,而是跟隨業(yè)務(wù)的特性發(fā)生的變化。
攻擊設(shè)備多樣化。 如今,用戶連接互聯(lián)網(wǎng)的設(shè)備越來越多樣化,在終端方面,已經(jīng)不再局限于PC,更多的設(shè)備也包括平板電腦、手機(jī)、電視等智能終端;同時(shí),反射放大式攻擊,讓業(yè)界清晰的認(rèn)識(shí)到,DDoS可利用的設(shè)備也不再局限于終端,更多的設(shè)備也包括路由器、打印機(jī)、攝像頭、掃描儀等智能設(shè)備。
在2014年的報(bào)告中,統(tǒng)計(jì)了全球的這些可能被利用的智能設(shè)備超過80萬,在6月份的數(shù)據(jù)中,報(bào)告統(tǒng)計(jì)了全球SSDP協(xié)議設(shè)備的分布狀況,顯然一情況在2015年并未得到大的改觀,這也是基于SSDP協(xié)議的放大攻擊仍舊肆虐的原因。
在此呼吁這些設(shè)備的廠商盡快發(fā)布相關(guān)補(bǔ)丁或者升級(jí)相關(guān)固件,最終用戶也需要隨時(shí)關(guān)注升級(jí)信息,盡快升級(jí)及采用對(duì)應(yīng)的防護(hù)措施,不要被利用,成為“攻擊者”!同時(shí),在智能設(shè)備增加、混合流量攻擊模式下,傳統(tǒng)的業(yè)務(wù)場景和思路可能需要考慮新的模式和新的應(yīng)用場景。
京公網(wǎng)安備 11010502049343號(hào)