報告摘要

近日，信息安全公司Verisign發布了2017年第一季度的分布式拒絕攻擊（DDos）趨勢報告。此份報告介紹了該公司在2017年1月1日—2017年3月31日這一階段觀察到的DDoS攻擊頻率，大小和類型的變化。

　　【總體趨勢預覽】

DDoS攻擊保持不可預測和持久性

Verisign發現，雖然今年第一季度的DDoS攻擊次數比上個季度下降了23%。但是，每次攻擊的平均峰值規模卻增加了近26%。此外，攻擊者還對目標進行了持續和反復的攻擊。事實上，Verisign發現，在本季度中，幾乎50%經歷過DDoS攻擊的客戶都遭遇過多次有針對性的攻擊。

Verisign還觀察到，在2017年第一季度中DDoS攻擊仍然是不可預測且持續的，且在速度及復雜性等方面差別很大。為了對抗這些攻擊，不斷監測攻擊的變化趨勢顯得越來越重要，以便可以及時優化緩解策略。

【圖1：攻擊規模及2015年Q2—2017年Q1的攻擊峰值】

　　【圖2：2015年Q2—2017年Q1的平均攻擊峰值規模】

觀察上圖我們發現，從2016年第一季度以來每季度的平均攻擊峰值都超過了10Gbps。

多向量DDoS攻擊成常態

該報告還顯示，在第一季度中，57%的DDoS攻擊使用了多個攻擊向量，范圍從兩個到五個以上不等。其中，43%的攻擊者只使用一個攻擊載體；25%的攻擊者使用兩個；17%的攻擊者使用了三個；8%的攻擊者使用了四個；6%的攻擊者使用了五個及以上攻擊向量。這意味著，攻擊本質上變得更為復雜了，他們試圖使用幾種不同的攻擊類型來占用網站資源。

　　【圖3: 2017年第一季度DDoS攻擊使用的攻擊向量分布】

DDoS攻擊類型

UDP洪水攻擊在2017年第一季度中繼續保持領先，占本季度總攻擊的46%。最常見的UDP洪水攻擊是域名系統（DNS）反射攻擊，其次是網絡時間協議（NTP）和簡單服務發現協議（SSDP）反射攻擊。

雖然基于UDP的攻擊類型繼續占據主導地位，但是基于TCP的攻擊數量卻呈增加趨勢，占據總攻擊的33%。TCP攻擊主要由TCP SYN和不同數據包大小的TCP RST組成。

　　【圖4: DDoS攻擊類型分布】

最大容量的攻擊和最高強度的洪水

Verisign的報告還談到公司在第一季度發現的最大規模DDoS攻擊。這是一個峰值達到120Gbps的多向量攻擊，吞吐量約為90 Mpps，其目標受到60 Gbps攻擊的時間超過15個小時。

此外，攻擊者非常堅持試圖通過在超過兩個星期的時間內，每天發送攻擊流量來破壞受害者的網絡。攻擊主要由TCP SYN和不同數據包大小的TCP RST組成，并采用與未來IoT僵尸網絡相關的攻擊。該次攻擊還包括UDP洪水和IP片段，增加了攻擊的數量。

不同行業的DDoS攻擊現狀和平均攻擊規模

報告指出，遭遇DDoS攻擊最頻繁的是IT/云/SaaS行業，占據所有惡意活動的58%，平均攻擊規模為22.5Gbps；金融部門排在第二，占據28%（比上一季度增加了7%），平均攻擊規模為1.7Gbps。具體分布如下所示：

【圖5:不同行業攻擊現狀】

　　【圖6:2016年Q2—2017年Q1不同行業DDoS峰值攻擊規模】

大規模的DDoS攻擊越來越司空見慣，雖然如今網絡技術發展迅速，但是面對日益復雜多變的DDoS攻擊，企業往往還是不堪一擊，目前針對金融行業的DDoS攻擊正呈不斷上升趨勢，相關行業還需提早做好準備，迎接更為嚴峻的挑戰。