8月网安报告| 8月份DDoS攻击17万次、UDP Flood攻击占绝对优势、43%的企业把全部业务放在云上……
作者:星期二, 九月 11, 20180

一、安全行业情况通报

1.光通天下监测情况通报

根据光通天下监测数据显示,8月份,网络中累计1,204个IP发生了195,082次DDoS异常/攻击事件,其中包括174,748次攻击事件,共清洗掉2565532GB的攻击流量。同比7月份,受攻击的IP数、攻击事件和清洗流量均大幅增加。在经历了几个月的缓和期后,DDoS攻击势头渐有迅猛之象。
据统计,8月份流量均值的最大值是45118Mbps,攻击均值的最大值是44407Mbps。攻击最活跃的时间段为8月29日凌晨到8月30日凌晨,该时间段共产生20156次攻击。受攻击次数最多的防护对象遭受攻击22,824次、受攻击时长604小时02分03秒。


图1 “受攻击的IP数”时间走向

在攻击类型的分布上,本月较活跃的攻击类型是Location Attack;Filter Attack;FIN/RST Flood;占网络攻击总次数的65.4%。而较大流量的类型则以SYN Flood、TCP Malformed和djr_183_131_206_228为主。

图2 攻击类型分布

图3 攻击流量分布

2.DDoS攻击信息分析

▲控制端资源分析
根据CNCERT抽样监测数据,近期利用肉鸡发起DDoS攻击的控制端有316个,其中,28个控制端位于我国境内,288个控制端位于境外。
位于境外的控制端按国家或地区分布,美国占的比例最大,占39.9%,其次是希腊和法国, 位于境内的控制端按省份统计,浙江省占的比例最大,占35.7%,其次是北京市、江苏省和贵州省;按运营商统计,电信占的比例最大,占78.6%,联通占3.6%,如图4所示。

图4 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

▲肉鸡资源分析
根据CNCERT抽样监测数据,近期共有189,082个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。
这些肉鸡资源按省份统计,山东省占的比例最大,为15.4%,其次是江苏省、浙江省和河南省;按运营商统计,电信占的比例最大,为52.4%,联通占32.7%,移动占12.3%,如图5所示。


图5 本月肉鸡地址数量按省份和运营商分布

▲反射攻击资源分析
根据CNCERT抽样监测数据,近期利用反射服务器发起的三类重点反射攻击共涉及3,358,693台反射服务器,其中境内反射服务器3,126,873台,境外反射服务器231,820台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有108,124台,占比3.2%;利用NTP反射发起反射攻击的反射服务器有530,943台,占比15.8%;利用SSDP反射发起反射攻击的反射服务器有2,719,626台,占比81.0%。
通过跨域伪造流量发起攻击的流量来源于85个路由器。根据参与攻击事件的数量统计,归属于四川省电信的路由器(202.X.X.67)参与的攻击事件数量最多,其次是归属于江苏省电信(222.x.x.128)的路由器。 跨域伪造流量涉及路由器按省份分布统计,河南省占的比例最大,占37.6%,其次是安徽省和河北省;按路由器所属运营商统计,联通占的比例最大,占76.5%,电信占比17.6%,移动占比5.9%,如图6所示。

图6 跨域伪造流量来源路由器数量按省份和运营商分布

通过本地伪造流量发起攻击的流量来源于807个路由器。根据参与攻击事件的数量统计,归属于山西省电信的路由器(219.X.X.2、219.X.X.10)参与的攻击事件数量最多,其次是归属于北京市电信的路由器(220.X.X.253、220.X.X.243)。本月本地伪造流量涉及路由器按省份分布,江苏省占的比例最大,占10.7%,其次是山东省、河南省和湖南省;按路由器所属运营商统计,电信占的比例最大,占39.8%,移动占比38.7%,联通占比21.3%,如图7所示。

图7 本地伪造流量来源路由器数量按省份和运营商分布

3、2018年上半年DDoS威胁态势

▲DDoS新颖的攻击技术
FreeBuf 、腾讯云、腾讯安全云鼎实验室、大禹联合出具的《DDoS威胁与黑灰产业调查报告》中称,2018年上半年的 DDoS 攻击流量类型统计结果显示,UDP Flood 无论从攻击流量还是从攻击次数来看,都占有绝对的优势。UDP Flood 的主要流量来源于UDP反射放大攻击,这些反射放大攻击使用了一些基于UDP 协议不需要验证的服务器,且接收数据远大于发送数据,攻击者通过伪造源IP为受攻击者的IP,利用互联网中分布众多的服务器带宽资源发起攻击。

图8 2018上半年攻击流量占比统计(出自《DDoS威胁与黑灰产业调查报告》)

图9 2018上半年攻击次数占比统计(出自《DDoS威胁与黑灰产业调查报告》)

常见的反射放大攻击利用的协议有 SSDP、NTP、DNS、CHARGEN 等,但在与黑客斗智斗勇的过程中,新的方法总是层出不穷,上半年就新出现了利用 Mem-cached 协议、IPMI 协议的新型反射攻击,同时还有混合在众多攻击中的 TCP 反射攻击。
▲DDoS 攻击发生时间段
DDoS 攻击时段多为业务高峰期或在线人数最多时段,以达到最大的破坏效果。国内抽样 DDoS 数据可知,DDoS的高峰期以上午10点到晚上23点为主,其中18点左右有一个低谷,但相比上午10点前仍高出很多。

图10 DDos 攻击发生时间段统计(出自《DDoS威胁与黑灰产业调查报告》)

▲DDoS 攻击持续时间
随着DDoS的自动平台化,攻击时长越来越短,主要是归结于较好的平台有稳定的流量输出,使整体攻击时间控制在5分钟以内,期中38.7%集中在1分钟以内。相对而言,超过60分的攻击一般流量不大,且主要为 HTTP Flood、SYN Flood 小包 等消耗资源类攻击。

图11 DDoS 攻击持续时间占比统计(出自《DDoS威胁与黑灰产业调查报告》)

▲攻击类型各流量区间分布
按攻击次数统计,主要的攻击流量区间在5G以内,其占比超过一半以上。但在流量区间占比分布基础上进行攻击类型的对应分类,则比较难以区分,存在很多交叉现象。
例如 IoT 肉鸡以 UDP Flood 或 SYN Flood 大包等攻击类型也可以打出百G流量,而目前百G流量主要还是以反射放大的形式打出流量,另在10G到100G之间,攻击类型交叉也很明显。值得一提的是现在越来越多的DDoS攻击,会进行组合攻击,使防御难上加难,达到最大攻击效果。

图12 攻击类型各流量区间分布统计(出自《DDoS威胁与黑灰产业调查报告》)

▲全球DDoS 攻击目标国家占比
国外被 DDoS 攻击的国家涵盖很广,基本互联网覆盖到的地方,都有DDoS的身影。那些互联网大国更是首当其冲,例如美国、韩国以及西欧诸国。DDoS 的目的无非获利,所以竞品攻击与 DDoS 勒索占主要地位,国外这些发达的互联网国家在获利上更加便捷,所以受到的攻击占比也更大。

图13 全球DDoS 攻击目标国家占比(出自《DDoS威胁与黑灰产业调查报告》)

▲中国DDoS 攻击目标各省份占比
国内被攻击的区域与国外情况类似,也多发于互联网建设较好的地区,如江浙、北 京、香港。与历年攻击目标省份占比进行对比,各省占比均无甚变化,因为互联网的基础设施要花费大量时间进行建设,周期较长,且互联网程度越高的城市,网络的升级换代越快,对应的各种业务互联网化转化也越便捷,因此DDoS可能会攻击的业务线也越多。


图14 中国DDoS 攻击目标各省份占比(出自《DDoS威胁与黑灰产业调查报告》)

▲攻击目标行业分布
攻击目标的行业众多,可以说只要互联网化的行业,都有被涉及到,其中以游戏行 业为最。在游戏之外,新兴的音、视频有上升的趋势,和当今流行的直播、短视频 等有关。另外在医疗、制造业、物联网等行业中 DDoS 也崭露头角,可见利益总是 最好的攻击导向。

图15 DDos 攻击目标行业分布占比统计(出自《DDoS威胁与黑灰产业调查报告》)

▲僵尸网络C2服务器全球分布
提起僵尸网络,那么大家最关心的无外乎便是C2信息或反射放大的发包机位置信息等。C2 服务器在全球分布,主要以中国、韩国、美国、欧洲国家为主,随着中 国打击DDoS力度越来越大,C2 有外迁到第三方世界的小国家,这些国家网络监控宽松,能躲过监查,且针对流量上可以有伪造源IP的各种攻击输出,这也是发包机为什么大多在国外的原因。

图16 僵尸网络C2服务器全球分布统计(出自《DDoS威胁与黑灰产业调查报告》)

▲僵尸网络C2服务器国内分布
僵尸网络的 C2 在国内情况,与前文分析的类似,主要集中在互联网建设较好的省份,香港作为一个网络管理相对宽松的区域,存在好多的业务线互联网化,所以占比排名第二。国内的僵尸网络打击力度越来越大,导致 DDoS 的好多 C2 迁移到国外。

图17 僵尸网络C2服务器国内分布(出自《DDoS威胁与黑灰产业调查报告》)

二、 安全行业态势分析

1.中国云信任分析

IEEE中国和阿里云研究中心联合出具的《中国云信任报告》中指出云已经被中国绝大部分的企业接纳,并将云技术应用在自己的业务当中。在已上云的企业中,43%的企业把全部业务放在云上,70%的企业把一半以上业务放在云上。

图18 企业“上云”的接受程度分布(出自《中国云信任分析》)

数据显示,60%的企业用云支撑主营业务网站,过半数企业用云支撑核心业务系统。这表示云已经成为了企业的主流IT技术之一,从最开始的个人Blog,到今天支撑ERP、CRM、代码库和数据库等核心系统,背后反映了云计算在技术和市场教育上的日渐成熟。


图19 上云企业业务类型分布(出自《中国云信任分析》)

IEEE中国和阿里云研究中心所调研的企业中有74%的企业认云值得信任,其中52%选择比较信任,22%的企业选择非常信任,而所调研的企业中发现,政府行业对云的信任度最高。企业对云技术的直观感受,反映了云计算技术在国内场的普及,和企业对云计算安全稳定性上的认知提升。

图20 企业对云技术的信任程度分布(出自《中国云信任分析》)

调研发现,对20%中国企业来说,安全性仍是上云的一大顾虑。而影响中国企业上云的主要顾虑为担心安全性问题、缺少上云的知识和技能、上云成本超过预算、缺少专业解决方案等问题。因而,在安全性和用户教育培训上领先的云计算服务提供商,更容易推动企业上云。

此外,26%和23%的企业认为,云服务提供商未来需要在用户数据安全保护,和灾备隔离措施上加强,才能提高企业对云计算的信任感。

图21 企业对云安全的需求分布(出自《中国云信任分析》)

2.东南亚IDC产业发展分析

2017年在各国多项信息化和互联网产业的带动下,东南亚IDC市场保持稳定增长,达到19.6亿美元,增速为15.3%。新加坡是东南亚地区最主要的IDC市场,其次是马来西亚和泰国。
从全球角度去看,东南亚也可以看作中国云服务商出海试水的一个节点。在保证现有客户顺利出海东南亚的同时,力图争取到更多新客户也是云服务商都持有的心态。

图22 2017年东南亚区域IDC市场分布情况(来源:科智咨询)

科智咨询(中国IDC圈研究中心)最新出炉《东南亚IDC产业发展研究报告》显示,新加坡地区的IDC市场的成熟度领先于其他东南亚国家,但是在政策激励、互联网产业快速发展的带领下,其他国家的数据中心市场正在快速发展。印度尼西亚、泰国等市场的数据中心建设规模已得到快速提升,吸引国内外大型互联网企业陆续布局。

图23 东南亚IDC市场增速变化情况(来源:科智咨询)

报告指出,整体上,东南亚地区 IDC 市场较为分散,TOP10 服务商累计市场份额不足 50%,市场占有率较高的服务商主要为国际IDC服务商和各国的基础电信运营商。
Equinix 等国际服务商主要在新加坡市场占据较高的市场份额,并未在其他国家形成较明显的市场优势;VADS等基础电信运营商主要通过在本国经营获取市场规模;NTT凭借在 东南亚地区较明显的网络资源和服务能力优势,在新加坡、马来西亚、泰国和印度尼西亚 IDC市场均获得了较为显著的市场份额;其他在多国 IDC 市场参与经营的服务商则仍处于初级发展阶段。


图24 2017年东南亚主要IDC服务商市场份额(来源:科智咨询)

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章