伴隨全球范圍內(nèi)的網(wǎng)絡(luò)安全狀況的不斷惡化,近期的分布式拒絕服務(wù)(DDoS)和Web應(yīng)用程序攻擊愈演愈烈,根據(jù)剛剛發(fā)布的《2015年第四季度互聯(lián)網(wǎng)發(fā)展狀況安全報告》顯示,在2015年第四季度里,上述兩種攻擊的數(shù)量都在快速增長,與去年第三季度相比,Web應(yīng)用程序攻擊的數(shù)量上升了28%,而DDoS攻擊上升了40%。不僅如此,惡意攻擊者還會針對同一目標展開重復(fù)攻擊,以期找到防御系統(tǒng)可能發(fā)生故障的時機。
DDoS攻擊總量持續(xù)增長
據(jù)統(tǒng)計發(fā)現(xiàn),與2014年第四季度相比,DDoS攻擊總量增加148.85%,與2015年第三季度相比,DDoS攻擊總量也有39.89%的增長。而且自2014年第四季度以來,反射攻擊的使用大幅增加。其中,SSDP、NTP、DNS和CHARGEN一直是最常見的反射攻擊向量。同時,經(jīng)CDN智能平臺抵御的DDoS攻擊超過3600次,是一年前攻擊數(shù)量的兩倍多。
SSDP、NTP、DNS和CHARGEN是最常見的反射攻擊向量(圖片來自stateoftheinternet.com)
經(jīng)分析,上述攻擊的絕大部分來自于基于stresser/booter的僵尸網(wǎng)絡(luò)。鑒于這些雇傭式DDoS攻擊主要依賴于反射技術(shù)來推動其流量,且無法生成大型攻擊。因此,與一年前相比,檢測到的大型攻擊數(shù)量有所減少。此外,stresser/booter站點在其使用方面通常具有時間限制,從而使得平均攻擊持續(xù)時間減少到15個小時以內(nèi)。
在2015年第四季度,DDoS攻擊的最大峰值達到了309Gbps,以及最高202億個數(shù)據(jù)包每秒(Mpps)。據(jù)悉,受此攻擊的主要目標是軟件和技術(shù)行業(yè)的客戶,攻擊者則使用了來源于XOR和BillGates僵尸網(wǎng)絡(luò)的SYN、UDP和NTP攻擊的常見組合。利用該組合攻擊者往往發(fā)動持續(xù)性攻擊,有受害企業(yè)表示曾在8天時間里遭受19次攻擊,而且從一月初開始就不斷遭到其他攻擊。
同時根據(jù)分析發(fā)現(xiàn),基礎(chǔ)架構(gòu)層(第3 & 4層)攻擊在多個季度均居于主導(dǎo)地位,并占2015年第四季度檢測到的攻擊總量的97%。在2015年第四季度,21%的DDoS攻擊包含UDP Fragments攻擊。這其中有一些是反射攻擊的放大因素所造成的直接效果,主要是由CHARGEN、DNS和SNMP協(xié)議的濫用所導(dǎo)致的,所有這些均可能存在很大的有效負載。
而與2015年第三季度相比,NTP和DNS攻擊數(shù)量大幅增加。由于惡意攻擊者試圖濫用具有內(nèi)置安全性的域(DNSSEC),且這些域通常提供更大的響應(yīng)數(shù)據(jù),DNS反射式攻擊因此增加了92%。盡管NTP反射資源隨著時間的推移已經(jīng)耗盡,但與上一季度相比,四季度的NTP更流行,增幅近57%。
在2015年第四季度的另一個趨勢是多向量攻擊的增加。在2014年第二季度,僅42%的DDoS攻擊是多向量的;但在2015年第四季度,56%的DDoS攻擊是多向量。在第四季度檢測到的大多數(shù)的多向量攻擊僅使用了2個向量(占所有攻擊的35%),而3%的攻擊會用5到8個向量。
雖然Web應(yīng)用攻擊數(shù)量與與2015年第三季度相比增加了28%,但通過HTTP與HTTPS發(fā)送的Web應(yīng)用攻擊的百分比卻在兩個季度保持相對一致:第四季度通過HTTP發(fā)送的Web應(yīng)用攻擊為89%,第三季度通過HTTP發(fā)送的為88%。
在Web應(yīng)用攻擊方面,2015Q4最常檢測到的攻擊向量有LFI、SQLi和PHPi
其中,2015年第四季度最常檢測到的攻擊向量有LFI、SQLi和PHPi,其次是XSS和Shellshock。其余的2%由RFI、MFU、CMDi和JAVAi攻擊構(gòu)成。除了PHPi以外,通過HTTP與HTTPS發(fā)送的攻擊向量的相對分布很相似;PHPi僅占通過HTTPS發(fā)送的攻擊的1%。
第四季度Web應(yīng)用攻擊有59%以零售商為目標,而第三季度此比例為55%。媒體與娛樂、酒店與旅游行業(yè)是第二最常被攻擊的目標,各占攻擊的10%。這表示與第三季度相比有所變化,在第三季度金融服務(wù)行業(yè)是第二最常被攻擊的行業(yè)(占攻擊的15%),而2015年第四季度金融服務(wù)行業(yè)僅占攻擊的7%。
據(jù)了解,美國是Web應(yīng)用攻擊的主要來源(56%)和最常被攻擊的目標(77%),該趨勢自2015年第三季度起便在開始延續(xù)。巴西是第二大攻擊源(6%)以及第二大最常被攻擊的國家(7%),這似乎與一個大型的云基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商在此處開設(shè)了新的數(shù)據(jù)中心相關(guān)。自從開設(shè)數(shù)據(jù)中心以來,Akamai便發(fā)現(xiàn)來自巴西的惡意流量開始大幅增長,特別是來自前面提及的數(shù)據(jù)中心。大部分此類攻擊針對的是零售行業(yè)中的巴西客戶。
綜上,隨著DDoS攻擊和Web應(yīng)用攻擊日益增長的嚴峻挑戰(zhàn),對于上述攻擊的安全防護一直以來都是業(yè)內(nèi)的關(guān)注焦點,而在近期召開的RSA2016大會上,也有關(guān)于新時期下甚至未來SDN趨勢下如何構(gòu)建抵御DDoS攻擊的相關(guān)講演,有興趣的企業(yè)用戶可以進入RSA2016專題了解更多詳細內(nèi)容。
京公網(wǎng)安備 11010502049343號