綠盟科技釋出《2014 H1 DDoS威脅報告》。本報告為2014年半年報,用於快速跟蹤及反饋DDoS威脅的發展態勢。如果您需要了解全年報告《2014 DDoS威脅報告》的情況,請檢視報告《DDoS威脅報告》章節。

1406083032864.jpg

 

關鍵發現

本次報告包括以下關鍵觀點:

政府網站依然是最主要的攻擊物件,攻擊者選擇目標具有“潮流性”
廣州、上海和浙江是最集中的受害區域,受攻擊的地區有越來越集中的趨勢
四成的受害者遭受2次或以上DDoS攻擊,40位中會有1位遭受10次以上
DNS FLOOD依然是最主要的DDoS攻擊方式,HTTP FLOOD持續減少
30分鐘內的DDoS攻擊始終佔總數的90%左右
大流量高速的攻擊正越來越多

觀點1:政府網站依然是最主要的攻擊物件,攻擊者選擇目標具有“潮流性”

綠盟科技收集了2013至2014年全球發生的重大DDoS攻擊事件。在這些攻擊事件中,[ 2014上半年政府網站依然是DDoS攻擊最主要的目標,佔總數的三分之一,其次則是針對商業公司的攻擊。與2013下半年相比,政府網站和線上遊戲受到的攻擊比例有所下降,而運營商和商業公司則有所上升。與2013上半年相比,最明顯的區別是針對銀行的DDoS急劇減少。這體現了攻擊者除了具有“逐利性”以外,對目標選擇其實同其他商品一樣具有的“潮流性”。

1406083282258.png

觀點2:廣州、上海和浙江是最集中的受害區域,受攻擊的地區有越來越集中的趨勢

2013至2014年DDoS攻擊目標在中國國內的地理分佈變化明顯。從下圖可以看出,2014上半年廣州、上海和浙江是最集中的受害區域。受害區域有越來越集中的趨勢,2013前三位的地區共佔攻擊的65%左右,而在2014上半年則上升到82%。其中變化最明顯的事北京市,受害者數量逐年減少,2013上半年位列第三,到2014就已經跌出了前十。

1406083350978.png

觀點3:四成的受害者遭受2次或以上DDoS攻擊,每40位中會有一位遭受10次以上

下圖表現了2013至2014年DDoS攻擊目標每半年受到的DDoS攻擊次數。從中可以看出,2014上半年中四成的受害者(42.9%)遭受過2次或以上的DDoS攻擊,而每40個受害者中會有一位遭受10次以上的攻擊,半年內單一目標最多遭受過68次攻擊。整體現象與2013下半年基本一致。而與2013上半年相比,情況已經有所改善,當時有超過三分之二的受害者遭受過2次或以上DDoS攻擊。

1406083430698.png

觀點4:DNS FLOOD依然是最主要的DDoS攻擊方式,HTTP FLOOD持續減少

2014上半年綠盟科技的監測資料顯示,DNS FLOOD依然是最主要的DDoS攻擊方式,佔總數的42%,其次是TCP FLOOD,UDP FLOOD和HTTP FLOOD。與2013下半年相比,DNS FLOOD和HTTP FLOOD的數量有所減少,而TCP FLOOD則大幅上升。與2013上半年相比,DNS FLOOD的上升和HTTP FLOOD的下降最為顯著。

1406083494360.png

觀點5:30分鐘內的DDoS攻擊始終佔總數的90%左右

2013年以來的資料顯示,DDoS攻擊時間的分佈一直比較穩定,30分鐘內完成的攻擊始終佔90%左右。由此可見,對於DDoS的緩解而言,從檢測發現攻擊到啟動清洗的響應速度會成為評判緩解效果的關鍵因素之一。此外,長期連續的DDoS攻擊雖然少見但依然存在,2014上半年綠盟科技監測到持續最久DDoS長達228個小時。

1406083559691.png

觀點6:大流量、高速率的攻擊正越來越多

2013年,大部分DDoS的實際流量並不大,500M以下的攻擊佔90%以上。然而,2014上半年的資料顯示,DDoS的攻擊流量開始整體上升,500M以上的攻擊已佔總數的三分之一,4G以上則超過了5%。綠盟科技在此期間內監測到的攻擊流量最高達到45G。

1406083618857.png

與流量提升同步,DDoS攻擊的包速率也在全面加快。0.2Mpps以上的已經超過一半,而在2013下半年這個數字還僅為16%。  超過3.2Mpps的攻擊也超過了2%,最快速率達到了23Mpps,高速攻擊的時代正在來到。

1406083670692.png

結束語

回顧4年來DDoS的跟蹤資料以及更早期的研究成果,我們會發現其發展並不平穩。從一些角度看,攻擊者在行為在不斷變化,例如受害行業和攻擊方法;而從另一些角度,似乎存在比較明顯的趨勢,例如受害者的地域分佈和攻擊的流量時長。

引發這些現象的原因包括了技術自身的發展,網路環境的演進,以及利益格局的變化。技術發展為攻擊者提供了越來越多的工具選擇,但這並不是關鍵的因素。網路環境的演進使得攻防的戰場更為複雜,可用的戰術多樣化的同時,也有一些高效原則開始被普遍接受。

最後,也是最重要的,大部分DDoS攻擊者依然以獲利為目的,網路中自身利益格局的變化,對攻擊行為的影響是最大的。事實表明,這個觀點正是得益於綠盟科技長期跟蹤及分析DDoS資料。相信這些觀點對於大家預測未來的攻擊形態,以及進一步完善企業及組織的解決方案,是有價值的。

“知己知彼,百戰不殆”,面對陰影中凶狠而狡猾的敵人,您做好準備了嗎?

 

DDoS威脅報告

1406083883136.jpg

網路安全威脅正在變得日益複雜,各類攻擊目標、手段及來源始終在不斷的發生著變化,隨之企業及各類組織需要不斷關注這些發展態勢,以便能夠理解與預測未來可能遭遇的惡意攻擊,進而應對複雜變化所帶來的挑戰。

DDoS(分散式拒絕服務)作為網路安全威脅中的典型攻擊手段,從誕生的那天起就從未停止,綠盟科技威脅響應中心對此予以重點及持續關注,同時定期釋出《DDoS威脅報告》,幫助大家:

l   持續瞭解及掌握DDoS威脅發展態勢

l   在遭遇到攻擊後,可以快速理解及檢測可能的傷害程度

l   不斷強化網路安全意識,完善解決方案

但隨著DDoS攻擊的日益加劇,年度報告已無法快速呈現其發展態勢,故綠盟科技從2012年起,增發DDoS威脅報告半年報。本次報告即為2014年上半年DDoS威脅報告,在年底前後綠盟科技威脅響應中心將會發布《2014 DDoS威脅報告》的年度安全報告。

報告下載:新增199IT官方微信【i199it】,回覆關鍵詞【2014年上半年安全報告】即可。