卡巴斯基——2019年Q1 DDoS攻击动态

阅读量414182

|评论2

|

发布时间 : 2019-05-23 14:30:37

x
译文声明

本文是翻译文章,文章原作者 securelist,文章来源:securelist.com

原文地址:https://securelist.com/ddos-report-q1-2019/90792/

译文仅供参考,具体内容表达以及含义原文为准。

一、季度变化

  • 在攻击源方面,中国仍排在第一。尽管在2018Q4其份额大幅下跌,但在2019Q1又回到了正常水平。
  • 在攻击目标方面,前三名和攻击源的分布一模一样:中国(59.85%)、美国(21.28%)和中国香港(4.21%)。
  • 与前几个季度相比,攻击源/目标的地理分布Top10几乎没什么变化。
  • DDoS攻击数量的最高峰出现在3月后半月;最平静的时期则是1月。
  • 一周中最危险的一天是周六,周日最为安全。
  • 与上一季度相比,DDoS攻击的最长持续时间减少了一天多,尽管超过5个小时的攻击增长至21.34%2018Q416.66%)。
  • SYN泛洪增长至84%,导致UDPTCP泛洪的份额下跌。HTTPICMP分别增长至3.3%0.6%
  • Linux僵尸网络的份额略微下降,但仍占主导地位(95.71%)。
  • 大多数C&C服务器仍位于美国(34.10%),其次是荷兰(12.72%),然后是俄罗斯(10.40%)。值得注意的是韩国重返前十,尽管排在最后一名(2.31%)。

 

二、新闻概览

新僵尸网络

今年初DDoS攻击者的武器库中出现了各种新工具,例如2月初出现了由QbotMirai等公开恶意软件的组件构成的新僵尸网络Cayosin。该僵尸网络频繁更新漏洞利用库,并且不仅在暗网上打广告,还在YouTube上打广告,甚至在Instagram上出售(犯罪者显然正在最大化利用社交媒体的便利性)。在跟踪犯罪者的账户时,研究人员还发现了其它的恶意软件和僵尸网络,例如Yowai

3月中旬出现了另一个针对商业设备的Mirai变体。该恶意软件现在不仅可以攻击网络入口点、路由器和网络摄像头,还可以攻击无线演示系统和数字标牌系统。

攻击事件

尽管如此,高调的DDoS攻击事件并不多。在25日至31日期间,美国奥尔巴尼大学UAlbany)共受到17次攻击,导致服务器至少宕机5分钟。

2月初,菲律宾国家记者联盟的官网也遭到攻击。攻击流量的峰值达468GB/s,导致该网站在数个小时内无法访问。该攻击或与政治目的有关。

同样在3月中旬,FacebookInstagram用户发现自己无法登录账户,许多人认为该事件与DDoS有关,但Facebook官方并未承认。

警方行动

DDoS新闻的缺乏伴随着警方对犯罪组织的逮捕、指控等行动的增长。

1月初美国司法部查获了与去年12月的DDoS攻击有关的15个域名。根据DoJ的文件,这些域名被用于实施针对全球政府、ISP、大学、金融机构和游戏平台的攻击之中。

1月底,美国法院因对DDoS两家医疗机构而对马萨诸塞州黑客判处10监禁。还是在1月,一名黑客因破坏利比里亚和德国的移动网络而在英国被捕(在2015年他的犯罪生涯高峰期,该黑客使得整个利比里亚的网络离线)。

去年关闭DDoS服务网站Webstresser.org的冲击波还在延续。警方决定不仅追踪组织者,还追踪购买了DDoS服务的用户。1月底,欧洲刑警组织宣布在英国和荷兰逮捕250多名用户。还有消息称针对更多用户的调查正在进行中(20个国家的1.5Webstresser用户)。

三、季度趋势

上一季度卡巴斯基预测称全球的DDoS市场正在萎缩,并且对长期“智能”型攻击(HTTP泛洪)的需求将增长。

第一个预测显然已经失败:2019Q1的所有DDoS攻击指标都有所增长。总体攻击数量增长了84%,持续超过60分钟的DDoS攻击数量翻番。平均攻击时间延长了4.21倍,超长型攻击增长了487%

2018Q3Q4的报告中我们假设DDoS攻击的减少与挖矿的兴起有关,显然这一假设至少部分是错误的,我们被迫重新对这一情况进行评估。

一个可能性更大的解释是:2018年下半年我们观察到较少的僵尸网络被用于其它目的,而市场真空在扩大。最有可能的是,这一供应短缺与DDoS攻击的下滑、出售相关服务的网站被关闭以及主要成员被逮捕有关。显然现在市场真空已被填补:相关指标的爆炸式增长几乎可以肯定与新供应商及客户的出现有关。这使得即将到来的Q2的指标十分令人期待,指标会继续上涨,还是市场稳定在当前水平呢?

第二个预测要更为成功一些:长期、难以组织的攻击在数量和质量上都在增长。我们认为这种趋势在Q2不会持续下去。

四、统计分析

地理分布

攻击源

在攻击源方面,中国仍是第一,并且在经历了上一季度的下滑后回复至正常水平:从50.43%增长至67.89%。第二名是美国,其份额从24.90%下降至17.17%。然后是中国香港,从第七名冲到了第三,份额从1.84%增长至4.81%

有趣的是,除了中国外,其它地区的份额都在下降。2018Q4的第三名澳大利亚下滑至最后一名(从4.57%下降至0.56%,跌了4个百分点)。

英国的变化也很值得注意,它从第五名跌至第七名(从2.18%0.66%,跌了1.52个百分点)。加拿大和沙特阿拉伯分别下跌了约1个百分点,但这并没有阻止加拿大(0.86%)从第六攀升至第四,相反沙特阿拉伯(0.58%)则跌至榜单边缘。

同时巴西跌出了Top10,让位给新加坡,后者位列第五(0.82%,其份额也有下降,但非常轻微)。

曾经经常和美国争夺第二第三的韩国这一季度还是在Top10之外(0.30%)。虽然Top10看起来仍然有点奇怪,但过去三个季度并未重复出现意料之外的变化。

2018Q4-2019Q1DDoS攻击源分布

攻击目标

攻击目标的地理分布和攻击源保持一致:中国继续第一(从43.26%增长至59.85%),美国第二(从29.14%下降至21.28%),中国香港第三(从1.76%攀升至4.21%)。

沙特阿拉伯从第五下降至第六,略微下跌了1个百分点(从2.23%跌至1.08%)。加拿大的数字差不多(从2.21%跌至1.30%),但从第六增长至第四。英国跌幅较大(从2.73%跌至1.18%),从第四跌至第五。

与此同时澳大利亚和巴西跌出了前十(上一季度分别是第三和第八)。取代者是新加坡(从0.72%增长至0.94%,第八名)和波兰(从0.33%增长至0.90%,第九名)。同往常一样,第十名是德国(0.77%)。

2018Q4-2019Q1DDoS攻击目标分布

DDoS动态

2019Q1中,3月份的DDoS攻击活动最多,尤其是后半月。最高峰出现在316日(699个攻击)。117日也有一个高峰,我们记录到532个攻击。1月初较为平静,没有高峰和低谷,但最平静的一天是25日,只有51个攻击。

2019Q1DDoS攻击动态

至于一周分布,DDoS强度最高的一天是星期六(16.65%),其次是星期五(15.39%)。星期天相对较为平静(11.41%)。回想一下2018Q4,最激烈的一天是星期四(15.74%),而最平静的一天还是周日。(犯罪分子也需要休息,233

2018Q4-2019Q1DDoS攻击的星期分布

持续时间及类别

持续时间

2019Q1,超长型攻击的份额几乎翻番 0.11%增长至0.21%。然而,与2018Q4的近14天(329个小时)相比,本季度持续时间最长的攻击也只有12天(289个小时)。

最重要的是,持续时间>5个小时的攻击大幅增长:2018Q416.66%,现在已达21.34%。如下图所示,继续细分可以发现,除了持续时间在100-139个小时之间的DDoS攻击份额轻微下降之外(从0.14%降至0.11%),其它类别都有所增长。相对地,短持续时间的DDoS攻击份额下降了约5个百分点,至78.66%

2018Q4-2019Q1DDoS攻击的持续时间分布(单位:小时)

类别

一如既往,2019Q1SYN泛洪仍然占据最大的份额,其数字相比2018Q4甚至有所增长,达84.1%。当然,如此大的增长(从58.2%增长了超过20个百分点)会导致其它类别的份额下降。

例如,虽然还是第二,但UDP泛洪本季度的份额只有8.9%,从31.1%大幅下跌。之前排在第三的TCP泛洪从8.4%下跌至3.1%,只能排在第四。HTTP泛洪有所增长(增长了1.1个百分点,达3.3%),排在第三。ICMP还是最后一名,尽管它的份额从0.1%增长到0.6%

2019Q1DDoS攻击的类别分布

Linux僵尸网络的数量仍然碾压Windows,尽管在2019Q1这一差距略微缩小:Linux僵尸网络从97.11%下跌至95.71%,相对的Windows僵尸网络增长了1.5个百分点,达4.29%。这一变化的原因并不是Windows设备变得更加流行,而是僵尸网络Mirai及其变体DarkaiC&C服务器数量的下滑。这两个僵尸网络的攻击数量也相应地减少了3倍和7倍。

2018Q4-2019Q1Windows/Linux僵尸网络比例

僵尸网络

僵尸网络数量最多的国家仍然是美国(34.10%)。荷兰则从2018Q4的第三名上升至本季度的第二名(12.72%)。第三名是俄罗斯(10.40%),从第七名爬升至第三。中国从榜末爬升至第四(7.51%),错失了回到Top3的机会。

希腊和德国离开了Top10榜单,为越南(4.05%)和韩国让位(2.31%)。尽管韩国曾长期处于靠前的位置,现在也只能排在第十。

2019Q1,僵尸网络C&C服务器的地理分布

本文翻译自securelist.com 原文链接。如若转载请注明出处。
分享到:微信
+13赞
收藏
Conan Y
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66