網(wǎng)絡(luò)安適“新常態(tài)”呼吁多方協(xié)同作戰(zhàn)
從惡名昭著的“WannaCry”勒索病毒�����,到陰魂不散的“暗云Ⅲ”�����,再到席卷全球 140 個(gè)金融機(jī)構(gòu)的“匿名者(Anonymous)”。在網(wǎng)絡(luò)安適變亂頻發(fā)�����,網(wǎng)絡(luò)安適攻擊“常態(tài)化”的當(dāng)下�����,如何及早洞察網(wǎng)絡(luò)安適局勢(shì)、了解網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展以作出有效應(yīng)對(duì)成為了大眾關(guān)注的焦點(diǎn)。日前�����,綠盟科技發(fā)布了《 2017 上半年DDoS與Web應(yīng)用攻擊態(tài)勢(shì)陳訴》(下簡(jiǎn)稱(chēng)“該陳訴”)�����,針對(duì)當(dāng)前高發(fā)的DDos攻擊與Web應(yīng)用攻擊態(tài)勢(shì)進(jìn)行了總結(jié)和盤(pán)點(diǎn)�����,并提供了針對(duì)性的防護(hù)辦法與解決方案�����。
2017 年上半年DDos攻擊態(tài)勢(shì)盤(pán)點(diǎn):
1、攻擊總次數(shù)下降,單次攻擊峰值上升�����。
在綠盟科技上半年監(jiān)測(cè)到的 10 萬(wàn)余次DDoS攻擊中,DDoS攻擊總次數(shù)比 2016 下半年下降30%�����,這符合以往的“年初DDoS攻擊放緩�����,年中攻擊活躍”的趨勢(shì)�����。
上半年單次DDoS攻擊平均峰值為32Gbps�����,比擬 2016 年下半年升高47.5%�����。
2、長(zhǎng)時(shí)攻擊增多�����,頻率增大�����。
2017 上半年�����,長(zhǎng)時(shí)攻擊增多,短時(shí)攻擊略有下降,但仍然占主導(dǎo)地位�����。單次DDos攻擊平均攻擊時(shí)長(zhǎng)為 9 小時(shí)�����,�����,比擬 2016 年下半年呈回升趨勢(shì)�����,增長(zhǎng)28.6%�����。
有10.6%的目標(biāo)IP曾經(jīng)遭受過(guò)長(zhǎng)達(dá) 24 小時(shí)以上的攻擊,其中38.3%曾在 1 個(gè)季度內(nèi)遭受過(guò) 2 次或更多次DDoS攻擊�����,最高達(dá)到 20 次/季度�����。這與攻擊者的攻擊企圖密切相關(guān)�����,追求高利潤(rùn)的攻擊者比起那些為了好玩發(fā)起攻擊的攻擊者來(lái)說(shuō),他們更愿意投入資源發(fā)起更持久的DDoS攻擊�����,如果一直沒(méi)能達(dá)到攻擊的目的或預(yù)期的收益,就會(huì)再次發(fā)起攻擊�����,直至達(dá)成目標(biāo)�����。
3、超大流量攻擊數(shù)量顯著上升�����,SYN Flood大流量攻擊明顯增多�����。
2017 年上半年�����,300Gbps的超大流量DDoS攻擊呈增長(zhǎng)趨勢(shì),共發(fā)生 46 次�����, Q2 比Q1 增加了720%
特別值得注意的是�����,SYN Flood大流量攻擊明顯增多�����,其在大流量攻擊中占比明顯上升。尤其在大于300Gbps的超大流量攻擊中�����,SYN Flood占比高達(dá)91.3%�����,比擬去年增長(zhǎng)了52. 3 個(gè)百分點(diǎn)。
4�����、反射攻擊整體活動(dòng)放緩�����。
上半年�����,反射攻擊整體活動(dòng)放緩,Q2 總流量比Q1 下降80%,其中最明顯的是DNS反射攻擊�����,總流量下降301%�����。NTP Reflection Flood和SSDP Reflection Flood攻擊為主要攻擊類(lèi)型�����。
各類(lèi)反射攻擊流量的減少,最高攻擊峰值的降低�����,都跟各類(lèi)反射攻擊在全球范圍內(nèi)可用的反射器數(shù)量逐年減少有關(guān)�����。這主要有兩方面的原因�����,一是各運(yùn)營(yíng)商不停對(duì)反射攻擊進(jìn)行治理,如實(shí)施URPF(Unicast Reverse Path Forwarding)、BCP38 等策略;二是很多存在漏洞的辦事器都已經(jīng)被打了補(bǔ)丁或者升級(jí)到較新版本�����,再或者直接關(guān)閉了本不需要開(kāi)啟的辦事�����。
5�����、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)肆虐。
綠盟科技威脅情報(bào)中心(NTI)數(shù)據(jù)顯示�����, 2016 下半年開(kāi)始火遍全球的Mirai�����,其活動(dòng)仍在繼續(xù)�����。除了Mirai�����,其他基于物聯(lián)網(wǎng)的惡意程序也在加緊搶占物聯(lián)網(wǎng)資源�����。目前物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的種類(lèi)越發(fā)增多,用途也更為廣泛�����。例如Mirai僵尸網(wǎng)絡(luò)新變種就已經(jīng)拓展了本身的能力�����,加入了比特幣挖掘組件�����。
6、中國(guó)仍是首要攻擊源與攻擊目標(biāo)�����。
2017 上半年�����,中國(guó)依然是DDoS攻擊受控攻擊源最多的國(guó)家�����,發(fā)起攻擊次數(shù)占全部的46.6%�����,其次是美國(guó)和俄羅斯�����,別離占3.0%和2.0%�����。中國(guó)發(fā)起DDoS攻擊次數(shù)的Top5 省份別離為江蘇、云南�����、北京�����、廣東�����、福建,合計(jì)占比達(dá)50.3%�����。
2017 上半年�����,受攻擊最嚴(yán)重的國(guó)家也是中國(guó),攻擊次數(shù)占全部被攻擊國(guó)家的64.6%,其次是美國(guó)和加拿大�����,別離占18.1%�����、2.5%�����。受攻擊嚴(yán)重的Top5 省份別離為廣東、浙江、福建�����、江蘇�����、北京�����,合計(jì)占比達(dá)68%。
2017 年上半年Web應(yīng)用攻擊態(tài)勢(shì)盤(pán)點(diǎn):
1、攻擊覆蓋廣、頻率高�����。
2017 上半年�����,攻擊者對(duì)NSFOCUS所防御的Web站點(diǎn)發(fā)起了2, 465 萬(wàn)次Web應(yīng)用層攻擊。其中有82%的網(wǎng)站在 2017 上半年曾遭受Web應(yīng)用攻擊�����,單個(gè)站點(diǎn)日平均被攻擊次數(shù)為 21 次�����。
2�����、近二成攻擊源可提前識(shí)別�����。
