DDoS、Web攻击激增 重复攻击成为常态

日期: 2016-03-01 来源:TechTarget中国

全球内容交付、应用优化及云安全服务领域首屈一指的供应商Akamai宣布发布《2015年第四季度互联网发展状况安全报告》。本季度报告深入分析和洞悉了整个Akamai智能平台(Akamai Intelligent Platform™)检测到的恶意活动,并详细介绍了全球云安全威胁态势。

Akamai安全事业部高级副总裁兼总经理Stuart Scholly表示:“DDoS和Web应用程序攻击的威胁不会消失。每个季度,这些对Akamai客户的攻击数量都在持续激增。本季度与第三季度相比,Web应用程序攻击的数量上升了28%,而DDoS攻击上升了40%。恶意攻击者不会让步。他们反复攻击相同的目标,寻找防御系统可能发生故障的时机。”

DDoS攻击活动一览

在2015年第四季度,Akamai在整个路由解决方案中共抵御了超过3600次DDoS攻击,是一年前攻击数量的两倍多。这些攻击的绝大部分来自于基于stresser/booter的僵尸网络。这些雇佣式DDoS攻击主要依赖于反射技术来推动其流量,且无法生成大型攻击。因此,与一年前相比,我们观察到的大型攻击数量有所减少。此外,stresser/booter站点在其使用方面通常具有时间限制,从而使得平均攻击持续时间减少到15个小时以内。

反射式DDoS攻击,2014年第四季度—2015年第四季度

DDoS、Web攻击激增 重复攻击成为常态

如左轴所示,SSDP、NTP、DNS和CHARGEN一直是最常见的反射攻击向量;如右轴所示,自2014年第四季度以来,反射攻击的使用大幅增加。

基础架构层(第3 & 4层)攻击在多个季度均居于主导地位,并占2015年第四季度检测到的攻击总量的97%。在2015年第四季度,21%的DDoS攻击包含UDP Fragments攻击。这其中有一些是反射攻击的放大因素所造成的直接效果,主要是由CHARGEN、DNS和SNMP协议的滥用所导致的,所有这些均可能存在很大的有效负载。

与2015年第三季度相比,NTP和DNS攻击数量大幅增加。由于恶意攻击者试图滥用具有内置安全性的域(DNSSEC),且这些域通常提供更大的响应数据,DNS反射式攻击因此增加了92%。尽管NTP反射资源随着时间的推移已经耗尽,但与上一季度相比,四季度的NTP更流行,增幅近57%。

2015年第四季度的另一个趋势是多向量攻击的增加。在2014年第二季度,仅42%的DDoS攻击是多向量的;但在2015年第四季度,56%的DDoS攻击是多向量。在第四季度检测到的大多数的多向量攻击仅使用了两个向量(占所有攻击的35%),而3%的攻击使用了五到八个向量。

第四季度最大的攻击峰值达到了309千兆每秒(Gbps)和2.02亿个数据包每秒(Mpps)。这种攻击的目标是软件和技术行业的客户,使用了来源于XOR和BillGates僵尸网络的SYN、UDP和NTP攻击的非常见组合。这种攻击属于持续攻击活动的一部分,受害者在八天时间内遭受了19次攻击,并从一月初开始不断遭到其他攻击。

第四季度超过一半的攻击(54%)以游戏公司为目标,23%的攻击以软件和技术行业为目标。

DDoS指标

与2014年第四季度相比

  • DDoS攻击总数增加148.85%
  • 基础架构层(第3 & 4层)攻击增加168.82%
  • 平均攻击持续时间延长49.03%:由14.95小时增加至29.33小时
  • 超过100 Gbps的攻击减少44.44%:由9次降低至5次

与2015年第三季度相比

  • DDoS攻击总数增加39.89%
  • 基础架构层(第3 & 4层)攻击增加42.38%
  • 平均攻击持续时间延长20.74%:由14.95小时增加至18.86小时
  • 超过100 Gbps的攻击减少37.5%:由8次降低至5次

Web应用攻击活动

虽然Web应用攻击数量与上一季度相比增加了28%,但通过HTTP与HTTPS发送的Web应用攻击的百分比却在两个季度保持相对一致:第四季度通过HTTP发送的Web应用攻击为89%,第三季度通过HTTP发送的为88%。

本季度最常检测到的攻击向量是LFI(41%)、SQLi(28%)和PHPi(22%),其次是XSS(5%)和Shellshock(2%)。其余的2%由RFI、MFU、CMDi和JAVAi攻击构成。除了PHPi以外,通过HTTP与HTTPS发送的攻击向量的相对分布很相似;PHPi仅占通过HTTPS发送的攻击的1%。

第四季度Web应用攻击有59%以零售商为目标,而第三季度此比例为55%。媒体与娱乐、酒店与旅游行业是第二最常被攻击的目标,各占攻击的10%。这表示与第三季度相比有所变化,在第三季度金融服务行业是第二最常被攻击的行业(占攻击的15%),而2015年第四季度金融服务行业仅占攻击的7%。

美国是Web应用攻击的主要来源(56%)和最常被攻击的目标(77%),该趋势自2015年第三季度起便在开始延续。巴西是第二大攻击源(6%)以及第二大最常被攻击的国家(7%),这似乎与一个大型的云基础设施即服务(IaaS)提供商在此处开设了新的数据中心相关。自从开设数据中心以来,Akamai便发现来自巴西的恶意流量开始大幅增长,特别是来自前面提及的数据中心。大部分此类攻击针对的是零售行业中的巴西客户。

在2015年第四季度报告中,我们通过ASN确定了10大Web应用攻击流量来源,并分析了相关的攻击类型、有效负载和频率。第3.6节描述了10个更有趣的攻击以及其有效负载。

Web应用攻击指标

与2015年第三季度相比

  • Web应用攻击总数增加28.10%
  • 通过HTTP发送的Web应用攻击增加28.65%
  • 通过HTTPS发送的Web应用攻击增加24.05%
  • SQLi攻击增加12.19%

扫描与探测活动

恶意攻击者在发动攻击前依靠扫描设备和探测手段对攻击目标进行侦察。我们在分析中使用了来自Akamai智能平台防御带的防火墙数据,发现用于侦察的最常见端口是Telnet(24%)、NetBIOS(5%)、MS-DS(7%)、SSH(6%)以及SIP(4%)。通过ASN我们确定了前三大扫描活动的来源都位于亚洲,我们同时还发现了滥用反射器的主动扫描活动,其中包括NTP、SNMP和SSDP。

通过查看按ASN确定的最常见反射来源,我们发现滥用程度最严重的网络反射器位于中国和其他亚洲国家/地区。大部分的SSDP攻击往往是来自家庭连接,而NTP、CHARGEN和QOTD通常来自运行这些服务的云托管提供商。SSDP和NTP反射器是最常被滥用的反射器,各占41%;其次是CHARGEN(6%)和RPC(5%);再次是SENTINEL和QOTD,各占4%。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐