綠盟科技發(fā)布的《2015 H1 DDoS威脅報(bào)告》中提到近期的DDoS攻擊呈現(xiàn)兩極分化的局面，大流量攻擊不斷增長(zhǎng)，按照此趨勢(shì)足以對(duì)互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)造成威脅(>100G的攻擊有33起)，并開(kāi)始走向云端攻擊的形式;與此同時(shí)，小流量攻擊并沒(méi)有消失(1分鐘以下占42.74%)，而是轉(zhuǎn)變?yōu)槊}沖攻擊及慢速攻擊，主要針對(duì)各行業(yè)中的業(yè)務(wù)設(shè)計(jì)不合理的環(huán)節(jié)，這些攻擊很容易導(dǎo)致用戶的業(yè)務(wù)緩慢甚至無(wú)法進(jìn)行。而且，報(bào)告發(fā)現(xiàn)有越來(lái)越多的攻擊者混合使用多種形式，讓用戶防不勝防，這些混合化攻擊中，以大流量混合攻擊為主(72%)。

大流量攻擊呈現(xiàn)增長(zhǎng)趨勢(shì)，過(guò)百G的攻擊越來(lái)越多

近年，美國(guó)聯(lián)邦通信委員會(huì)(FCC)CC對(duì)寬帶重新定義，下行速度從 4Mbps 調(diào)整至 25Mbps，上行速度從 1Mbps 調(diào)整至3Mbps。全球的互聯(lián)網(wǎng)用戶2008-2012共4年的年平均增長(zhǎng)率高達(dá)12%，2013互聯(lián)網(wǎng)用戶數(shù)比例已經(jīng)超過(guò)人口的37.96%，預(yù)期在2015年用戶數(shù)量可以超過(guò)30億。

十二五以來(lái)，國(guó)內(nèi)隨著“寬帶中國(guó)”戰(zhàn)略實(shí)施方案的推進(jìn)，城市和農(nóng)村家庭寬帶接入能力逐步達(dá)到20兆比特每秒(Mbps)和4Mbps，部分發(fā)達(dá)城市達(dá)到100Mbps，寬帶首次成為國(guó)家戰(zhàn)略性公共基礎(chǔ)設(shè)施。根據(jù)CNNIC的統(tǒng)計(jì)，中國(guó)國(guó)際出口帶寬呈現(xiàn)非常快速的增長(zhǎng)趨勢(shì)。與此同時(shí)，中國(guó)的網(wǎng)民規(guī)模也在大幅度提升，5年來(lái)平均增長(zhǎng)幅度達(dá)到7.2%，2014年接近6.5億。

寬帶標(biāo)準(zhǔn)被調(diào)高以及聯(lián)網(wǎng)用戶的(設(shè)備)增多，在方便用戶使用的同時(shí)，也為大流量DDoS攻擊的出現(xiàn)創(chuàng)造了條件，加之設(shè)備廠商和消費(fèi)者在安全意識(shí)方面需要提升，這方面的因素也助長(zhǎng)了DDoS放大式攻擊的發(fā)生，這些方面都直接導(dǎo)致了DDoS風(fēng)險(xiǎn)的增高。

報(bào)告數(shù)據(jù)顯示，在2015年大流量DDoS攻擊仍舊在持續(xù)增加。2015年上半年，至少出現(xiàn)33起流量超過(guò)100G的攻擊，集中在6個(gè)相對(duì)獨(dú)立的IP上。從全國(guó)范圍分布上看，排名前五的城市包括上海、成都、東莞、濟(jì)南、天津。

　　100G以上被攻擊區(qū)域分布

另外，從多年來(lái)為運(yùn)營(yíng)商服務(wù)的數(shù)據(jù)來(lái)看，也可以看到在2015年上半年的DDoS攻擊中，百G以上的攻擊頻次明顯增大。以某運(yùn)營(yíng)商為例，2015年受100G以上流量攻擊的IP數(shù)增長(zhǎng)到1675個(gè)，攻擊的次數(shù)增長(zhǎng)到3729次，照此計(jì)算100G以上的攻擊總量已經(jīng)超過(guò)300T，這已經(jīng)威脅到互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)的正常運(yùn)作。這個(gè)趨勢(shì)相比2014年有所增長(zhǎng)，單IP受到100G以上流量攻擊的次數(shù)也明顯上升。而100G以下的攻擊總量要遠(yuǎn)遠(yuǎn)超過(guò)這個(gè)數(shù)量。

　　100G以上攻擊流量歷年增長(zhǎng)趨勢(shì)

大流量攻擊走向云端，可能出現(xiàn)的云端攻擊形式

在DDoS大流量攻擊興起的同時(shí)，為了抵御風(fēng)險(xiǎn)免受其害，許多用戶將其業(yè)務(wù)向云端遷移，云計(jì)算技術(shù)的諸多優(yōu)點(diǎn)使得云服務(wù)得以廣泛應(yīng)用。中國(guó)信息通信研究院的報(bào)告顯示，我國(guó)公共云服務(wù)市場(chǎng)規(guī)模大概在72億元左右，比去年增長(zhǎng)47.5%。中國(guó)私有云市場(chǎng)規(guī)模也在不斷擴(kuò)張，2014年國(guó)內(nèi)私有云市場(chǎng)規(guī)模大概在246億人民幣左右，增長(zhǎng)速度將近30%。

云服務(wù)的增多在為用戶帶來(lái)了便利的同時(shí)，也在安全方面也帶來(lái)了兩個(gè)方面的變化，1客戶端輕量化。客戶端原本的計(jì)算任務(wù)，大幅度向云端轉(zhuǎn)移，云端的流量會(huì)越來(lái)越大，這將會(huì)被大流量DDoS攻擊所利用;2環(huán)境復(fù)雜化。隨著業(yè)務(wù)環(huán)境虛擬化，從業(yè)務(wù)更加靈活多變到運(yùn)維管理，其中不斷產(chǎn)生新的不確定性，都可能為新的 DDoS攻擊形式創(chuàng)造機(jī)會(huì)。報(bào)告中分析了這些可能的攻擊形式。

　　云攻擊模式及路徑

大流量攻擊在游戲行業(yè)中加劇，尤以UDP攻擊常見(jiàn)

大流量攻擊在影響著各個(gè)行業(yè)，在近幾年的分析中，綠盟科技的技術(shù)專(zhuān)家觀測(cè)到游戲行業(yè)遭受大流量攻擊的情況在逐年增加。在2014年的報(bào)告中，這種現(xiàn)象稱(chēng)之為“行業(yè)潮流性” ，即攻擊者不僅會(huì)預(yù)估收益選擇攻擊目標(biāo)，更能夠根據(jù)行業(yè)業(yè)務(wù)特性演變攻擊形式。

　　大流量攻擊中頻繁出現(xiàn)UDP

2015年上半年的數(shù)據(jù)顯示，游戲行業(yè)仍然是DDoS攻擊的重點(diǎn)對(duì)象之一。游戲行業(yè)用戶基數(shù)大、用戶類(lèi)型多、在線維護(hù)難度大的特點(diǎn)，也使得游戲行業(yè)成為極易受到攻擊的目標(biāo)行業(yè)。由于很多游戲基于私有協(xié)議開(kāi)發(fā)，傳統(tǒng)DDoS防御手段在沒(méi)有貼合業(yè)務(wù)特性的情況下，防御DDoS攻擊常常面臨較大困難。

以某大型互聯(lián)網(wǎng)企業(yè)為例，在其多項(xiàng)業(yè)務(wù)中，在線游戲仍然是DDoS主要的攻擊對(duì)象(74.7%)，DNS服務(wù)及Web服務(wù)分別為15.1%及9.7%。通過(guò)對(duì)各項(xiàng)服務(wù)的展開(kāi)分析可以看到，除了游戲業(yè)務(wù)以外，Web服務(wù)及其他服務(wù)中大流量攻擊的比例也不在少數(shù)。

小流量快攻擊變身脈沖式攻擊，實(shí)戰(zhàn)國(guó)內(nèi)外實(shí)際案例

雖然大流量攻擊乃至云端攻擊會(huì)越來(lái)越多的出現(xiàn)，但這并不意味著小流量攻擊就消失了。相反，在一些行業(yè)中，小流量攻擊有著特殊的目的，與大流量(百G以上)及超大流量(500G或 更高)相比，1這些攻擊因?yàn)槠淞髁啃。粫?huì)引起業(yè)界的關(guān)注，2這些小流量隱藏在大流量其中，難以辨識(shí);3有些攻擊時(shí)長(zhǎng)小到防護(hù)設(shè)備難以捕獲，很難完整呈現(xiàn)其攻擊過(guò)程，這些特點(diǎn)決定了小流量攻擊不僅不會(huì)被攻擊者拋棄。2015年上半年，0-30分鐘時(shí)長(zhǎng)的攻擊環(huán)比上漲4.52%，1分鐘以下的攻擊占總量的42.74%。

　　短時(shí)攻擊占據(jù)大比例

將這些短時(shí)攻擊組合起來(lái)看，往往每輪次總的攻擊時(shí)間也很短。數(shù)據(jù)統(tǒng)計(jì)顯示，5分鐘以下的攻擊已經(jīng)有46%的比例，接近總量的半數(shù)。綠盟科技的技術(shù)專(zhuān)家將這種短時(shí)長(zhǎng)“閃電戰(zhàn)”的攻擊形式，歸類(lèi)為DDoS脈沖攻擊(Hit-and-run DDoS )。

小流量慢攻擊專(zhuān)盯業(yè)務(wù)邏輯問(wèn)題，呈現(xiàn)攻擊原理及防御

在眾多小流量攻擊案例中，針對(duì)業(yè)務(wù)邏輯設(shè)計(jì)問(wèn)題的慢速攻擊也具有代表性。不同于游戲領(lǐng)域的小而快，這種攻擊類(lèi)型的小流量慢速攻擊由于間隔時(shí)間較長(zhǎng)，從協(xié)議、流量、邏輯上來(lái)看也沒(méi)有明顯異常，但是卻針對(duì)協(xié)議的弱點(diǎn)或者應(yīng)用邏輯上的弱點(diǎn)，故意延長(zhǎng)通信的時(shí)間、占用連接的資源、增加服務(wù)器的處理過(guò)程，進(jìn)行資源消耗，使目標(biāo)的CPU資源、內(nèi)存資源、連接池等耗盡，最終產(chǎn)生拒絕服務(wù)，服務(wù)器無(wú)法再接受來(lái)自用戶的訪問(wèn)請(qǐng)求。

DDoS攻擊手段日益高級(jí)，智能路由器溫床未見(jiàn)好轉(zhuǎn)

DDoS攻擊者為了達(dá)到目的，會(huì)結(jié)合多個(gè)方面的因素實(shí)施不同形式的攻擊，攻擊手段不斷翻新，變得越來(lái)越高級(jí)，甚至呈現(xiàn)出“APT”的特色。

攻擊業(yè)務(wù)多樣化。DDoS多年難以治理，有一方面原因就是因?yàn)闃I(yè)務(wù)形態(tài)的多樣性。隨著業(yè)務(wù)形態(tài)的不斷發(fā)展及演變，結(jié)構(gòu)及業(yè)務(wù)流程越來(lái)越復(fù)雜，攻擊者無(wú)時(shí)無(wú)刻不在反復(fù)跟蹤分析這些業(yè)務(wù)特點(diǎn)及可能存在的問(wèn)題，而攻擊形式也隨之而變。

攻擊流量多樣化。在2015年上半年數(shù)據(jù)顯示，在DDoS攻擊中，攻擊者往往混合使用多種攻擊手段和多種類(lèi)型的攻擊源。UDP混合流量占主要比重，達(dá)到72%。這些流量組合正如前面的分析所展示的那樣，并非無(wú)的放矢，而是跟隨業(yè)務(wù)的特性發(fā)生的變化。

　　UDP混合流量占據(jù)大比例

攻擊設(shè)備多樣化。如今，用戶連接互聯(lián)網(wǎng)的設(shè)備越來(lái)越多樣化，在終端方面，已經(jīng)不再局限于PC，更多的設(shè)備也包括平板電腦、手機(jī)、電視等智能終端;同時(shí)，反射放大式攻擊，讓業(yè)界清晰的認(rèn)識(shí)到，DDoS可利用的設(shè)備也不再局限于終端，更多的設(shè)備也包括路由器、打印機(jī)、攝像頭、掃描儀等智能設(shè)備。

在2014年的報(bào)告中，統(tǒng)計(jì)了全球的這些可能被利用的智能設(shè)備超過(guò)80萬(wàn)，在6月份的數(shù)據(jù)中，報(bào)告統(tǒng)計(jì)了全球SSDP協(xié)議設(shè)備的分布狀況，顯然一情況在2015年并未得到大的改觀，這也是基于SSDP協(xié)議的放大攻擊仍舊肆虐的原因。

　　全球SSDP分布情況

在此呼吁這些設(shè)備的廠商盡快發(fā)布相關(guān)補(bǔ)丁或者升級(jí)相關(guān)固件，最終用戶也需要隨時(shí)關(guān)注升級(jí)信息，盡快升級(jí)及采用對(duì)應(yīng)的防護(hù)措施，不要被利用，成為“攻擊者”!同時(shí)，在智能設(shè)備增加、混合流量攻擊模式下，傳統(tǒng)的業(yè)務(wù)場(chǎng)景和思路可能需要考慮新的模式和新的應(yīng)用場(chǎng)景。