在網路安全事件頻發,破壞威力越來越大的當下,如何及早洞察DDoS趨勢,瞭解其攻擊手法並做出有效應對,成為人們的焦點。綠盟科技攜手中國電信·雲堤聯合釋出《2019年DDoS攻擊態勢報告》,針對當前高發的DDoS攻擊態勢進行了總結和盤點。
2019 vs 2018
1. 攻擊次數增加了30.2%,攻擊總流量下降了26.4%。
2. 1-5Gbps小規模攻擊顯著增加,300Gbps 以上的大規模攻擊小幅增加。
3. 平均峰值小幅增長,達 42.9Gbps,中大規模攻擊的技術成熟度在逐年提高。
4. UDP Flood、SYN Flood 和 ACK Flood 依然是 DDoS 的主要攻擊手法,混合攻擊在超大規模攻擊中發揮重要作用。
5. 物聯網裝置的 DDoS 攻擊參與度逐年提升。
6. IoT 家族的漏洞利用載荷組成與 2018 年類似,主要攻擊物聯網智慧裝置,同時攻擊手段增多,在攻擊鏈上的角色出現了分工態勢。
重要觀點
1. 成熟:攻擊者的技術成熟度在穩步提升,攻擊者在 DDoS 外存在更多獲利選擇。
2. 混合:12.5% 的 DDoS 攻擊事件使用了多種攻擊手法,在 300Gbps 以上的超大規模攻擊中逾 3成攻擊都採用了混合攻擊模式,對清洗裝置效能和清洗線路的穩定,以及防護運營提出了更大的挑戰。
3. 慣犯:2019 年全年 DDoS 慣犯(攻擊次數大於 20 次)達 130 萬,其中 7% 的慣犯發起了 78%的攻擊事件,慣犯行為值得持續關注。
4. 團伙:全年發現DDoS團伙60個,攻擊資源數量大於1000的團伙達15個,最大攻擊團伙包含8.8萬攻擊源,月均活躍 3.5 萬攻擊源,團伙行為和攻擊團伙的治理值得持續關注。
5. 物聯網:物聯網裝置參與 DDoS 攻擊的情況值得持續關注,參與 DDoS 攻擊的物聯網裝置逐年增加,DDoS 團伙中單一團夥最高物聯網裝置佔比達 31%。
6. 惡意家族:IoT 平臺家族攻擊佔比進一步擴大,Gafgyt 和 Mirai 貢獻了大部分攻擊行為,但整體上,在 DDoS 特徵、攻擊目標和 C&C 分佈等方面沒有明顯變化。
7. 地域:國內,香港取代浙江成為受 DDoS 攻擊最多的省份,其它依次是浙江、廣東、北京、江蘇。
2019 年,DDoS 這種古老的攻擊方式依然煥發著強大的生命力。簡單、直接和有效是它攻擊特性最好的註解。DDoS 防護不再依賴裝置和檢測演算法的堆積,更需要安全生態合作和防護協同。一個更好的 DDoS 防護業態需要依賴眾多環節,包括漏洞挖掘與披露,網路測量與感知,威脅狩獵與情報共享,防護資源排程和應急響應。
從本報告也能看出,黑灰產的 DDoS 攻擊能力在逐年加強,大規模攻擊的組織能力也在不斷提升,安全廠商和運營商需要更好地協同,完善“盾”的能力,同時也要加強“看見” 的能力,對漏洞的威脅面要有更好地預判,對攻擊團伙的監控要有更深入而持續的跟蹤。DDoS 攻擊的演進是全球網路安全態勢的縮影,黑灰產的趨利性是其不變的行為核心,在做好技戰術層面上的防護和跟蹤之外,更要做好獲利渠道和攻擊動機的監控。
知己知彼,方能百戰不殆。