盤他!近兩年 IP團伙攻擊行為大盤點

安全頻道發表於2019-01-25

盤他! IP團伙攻擊行為

2019開年不久

好多人就和一個新詞較上了勁

怎麼個“盤”呢?

瞅順眼了,盤一盤是道吾不孤、孺子可教;

瞅不順眼了,盤一盤則是修理修理,看你再戧毛戧刺?

那麼有這樣一群殭屍,他們常年勾結“作案”,堅持網路攻擊活動,要不要盤呢?

盤他!近兩年 IP團伙攻擊行為大盤點

基於近兩年對多個IP團伙行為的研究跟蹤及資料積累,綠盟科技近期推出了《IP團伙行為分析》報告。希望透過本報告,更準確描述攻擊者的行為方式,有效防禦這些團伙未來可能發起的攻擊,防患於未然。

一、盤盤“攻擊方法”有哪些?

1. 攻擊型別

NTP反射攻擊由於出色的放大效能,在大流量攻擊中最常使用。SYN Flood攻擊方法較為簡單,使用較為廣泛。這兩種攻擊再加上UDP Flood和SSDP反射攻擊構成了最主要的攻擊型別。

盤他!近兩年 IP團伙攻擊行為大盤點

圖1攻擊型別與攻擊總流量

2.單一攻擊與混合攻擊

在混合攻擊中,UDP flood是常用的一種攻擊方式。下圖展示了某一團夥採用的攻擊方法,該團伙大多僅採用一種攻擊方法(92.8%),在混合攻擊中,75%的採取了兩種攻擊方法,4%的採取了四種方法。

盤他!近兩年 IP團伙攻擊行為大盤點

圖2混合攻擊中各種攻擊方法的組合(某一攻擊團伙)

盤他!近兩年 IP團伙攻擊行為大盤點

圖3 混合攻擊中各種攻擊方法的組合(某一攻擊團伙)

3.反射攻擊流量與事件

反射攻擊,特別是大流量攻擊,是各團夥最青睞的攻擊方法。從觸發較大流量的能力來看,NTP反射攻擊是一種更為強大的DDoS攻擊。從攻擊事件數量角度看,DNS反射攻擊佔比較大,佔全部反射型攻擊的57%。

盤他!近兩年 IP團伙攻擊行為大盤點

圖4 反射攻擊流量與次數(某一攻擊團伙)

二、流量峰值:IP團伙攻擊的最大“潛力”

1.流量峰值的整體分佈

根據統計大多數IP團伙的流量峰值都超過了2 Tbps,流量峰值(Tbps)是衡量某一團夥的攻擊能力和惡意程度的關鍵引數,反映了攻擊團伙對目標的最大攻擊能力。

盤他!近兩年 IP團伙攻擊行為大盤點

圖5 IP團伙的流量峰值分佈(按IP團伙統計)

2.單個團伙的攻擊流量峰值

各團夥通常並未完全發揮其潛力,瞭解它們的能力極限對於規劃防禦非常重要。透過對某個團伙兩個季度流量峰值的對比,我們發現該團伙最大攻擊流量峰值比日常攻擊流量高出很多倍,當其潛力完全釋放出來時,破壞力是驚人的。

盤他!近兩年 IP團伙攻擊行為大盤點

圖6 單一攻擊的流量峰值趨勢(某一攻擊團伙)

3.十大攻擊團伙

綠盟科技統計了2018年1至9月期間的攻擊流量,總結了排名前十的IP團伙的流量峰值起伏變化,最大流量峰值和平均流量峰值表示IP團伙的攻擊能力和攻擊時長,反映了這些團伙的攻擊活躍程度。

盤他!近兩年 IP團伙攻擊行為大盤點

圖7 十大攻擊團伙的流量峰值

三、哪裡的攻擊者和受害者最多?

為展示中國以外的攻擊活動,我們使用在國外部署的檢測器收集到的資料,對其地理位置進行了研究。其中,歐洲擁有最多的攻擊源,受害也最嚴重。雖然我們無法據此判斷出幕後攻擊者的地理位置,但可明確DDoS活動的熱點地區。

盤他!近兩年 IP團伙攻擊行為大盤點

圖8 攻擊源國家分佈

盤他!近兩年 IP團伙攻擊行為大盤點

圖9 攻擊目標國家分佈

四、三張圖教你識別不同的“IP團伙模型”

1.最大的攻擊團伙

下圖展示了我們發現的最大攻擊團伙的整體情況。從圖中可以看出,該團伙的攻擊目標和攻擊次數均不多,但是其攻擊峰值卻很高。

盤他!近兩年 IP團伙攻擊行為大盤點

圖10 IP團伙概要模型(最大團夥)

2.最活躍的攻擊團伙

下圖展示了攻擊數量最大且波及最多受害者的攻擊團伙。事實上,該團伙規模不大,但卻能產生很大的攻擊流量和流量峰值。可見,該團伙攻擊性很強。

盤他!近兩年 IP團伙攻擊行為大盤點

圖11 IP團伙概要模型(最活躍的攻擊團伙)

3.流量最大的攻擊團伙

下圖展示了攻擊流量最大且流量峰值最高的攻擊團伙。不過,該攻擊團伙的規模相對較小,攻擊目標和攻擊次數也較少,可以推斷該團伙的成員可能具備較大的頻寬管道。

盤他!近兩年 IP團伙攻擊行為大盤點

圖12 IP團伙概要模型(流量最大的團伙)

原文作者:綠盟科技;連結:http://blog.itpub.net/31545812/viewspace-2564773/,如需轉載,請註明出處,否則將追究法律責任。

相關文章