盤他！近兩年 IP團伙攻擊行為大盤點

盤他! IP團伙攻擊行為

2019開年不久

好多人就和一個新詞較上了勁

怎麼個“盤”呢?

瞅順眼了，盤一盤是道吾不孤、孺子可教;

瞅不順眼了，盤一盤則是修理修理，看你再戧毛戧刺?

那麼有這樣一群殭屍，他們常年勾結“作案”，堅持網路攻擊活動，要不要盤呢?

基於近兩年對多個IP團伙行為的研究跟蹤及資料積累，綠盟科技近期推出了《IP團伙行為分析》報告。希望透過本報告，更準確描述攻擊者的行為方式，有效防禦這些團伙未來可能發起的攻擊，防患於未然。

一、盤盤“攻擊方法”有哪些?

1. 攻擊型別

NTP反射攻擊由於出色的放大效能，在大流量攻擊中最常使用。SYN Flood攻擊方法較為簡單，使用較為廣泛。這兩種攻擊再加上UDP Flood和SSDP反射攻擊構成了最主要的攻擊型別。

圖1攻擊型別與攻擊總流量

2.單一攻擊與混合攻擊

在混合攻擊中，UDP flood是常用的一種攻擊方式。下圖展示了某一團夥採用的攻擊方法，該團伙大多僅採用一種攻擊方法(92.8%)，在混合攻擊中，75%的採取了兩種攻擊方法，4%的採取了四種方法。

圖2混合攻擊中各種攻擊方法的組合(某一攻擊團伙)

圖3 混合攻擊中各種攻擊方法的組合(某一攻擊團伙)

3.反射攻擊流量與事件

反射攻擊，特別是大流量攻擊，是各團夥最青睞的攻擊方法。從觸發較大流量的能力來看，NTP反射攻擊是一種更為強大的DDoS攻擊。從攻擊事件數量角度看，DNS反射攻擊佔比較大，佔全部反射型攻擊的57%。

圖4 反射攻擊流量與次數(某一攻擊團伙)

二、流量峰值：IP團伙攻擊的最大“潛力”

1.流量峰值的整體分佈

根據統計大多數IP團伙的流量峰值都超過了2 Tbps，流量峰值(Tbps)是衡量某一團夥的攻擊能力和惡意程度的關鍵引數，反映了攻擊團伙對目標的最大攻擊能力。

圖5 IP團伙的流量峰值分佈(按IP團伙統計)

2.單個團伙的攻擊流量峰值

各團夥通常並未完全發揮其潛力，瞭解它們的能力極限對於規劃防禦非常重要。透過對某個團伙兩個季度流量峰值的對比，我們發現該團伙最大攻擊流量峰值比日常攻擊流量高出很多倍，當其潛力完全釋放出來時，破壞力是驚人的。

圖6 單一攻擊的流量峰值趨勢(某一攻擊團伙)

3.十大攻擊團伙

綠盟科技統計了2018年1至9月期間的攻擊流量，總結了排名前十的IP團伙的流量峰值起伏變化，最大流量峰值和平均流量峰值表示IP團伙的攻擊能力和攻擊時長，反映了這些團伙的攻擊活躍程度。

圖7 十大攻擊團伙的流量峰值

三、哪裡的攻擊者和受害者最多?

為展示中國以外的攻擊活動，我們使用在國外部署的檢測器收集到的資料，對其地理位置進行了研究。其中，歐洲擁有最多的攻擊源，受害也最嚴重。雖然我們無法據此判斷出幕後攻擊者的地理位置，但可明確DDoS活動的熱點地區。

圖8 攻擊源國家分佈

圖9 攻擊目標國家分佈

四、三張圖教你識別不同的“IP團伙模型”

1.最大的攻擊團伙

下圖展示了我們發現的最大攻擊團伙的整體情況。從圖中可以看出，該團伙的攻擊目標和攻擊次數均不多，但是其攻擊峰值卻很高。

圖10 IP團伙概要模型(最大團夥)

2.最活躍的攻擊團伙

下圖展示了攻擊數量最大且波及最多受害者的攻擊團伙。事實上，該團伙規模不大，但卻能產生很大的攻擊流量和流量峰值。可見，該團伙攻擊性很強。

圖11 IP團伙概要模型(最活躍的攻擊團伙)

3.流量最大的攻擊團伙

下圖展示了攻擊流量最大且流量峰值最高的攻擊團伙。不過，該攻擊團伙的規模相對較小，攻擊目標和攻擊次數也較少，可以推斷該團伙的成員可能具備較大的頻寬管道。

圖12 IP團伙概要模型(流量最大的團伙)