2017年DDoS與Web應用攻擊態勢之我見

2018-11-09 02:02:22

網絡安全和信息化 2018年5期

日前，綠盟科技聯合中國電信云堤發布了《2017年DDoS與Web應用攻擊態勢報告》（以下簡稱“報告”）。《報告》從規模、頻度、攻擊源、類型、地域、行業等多維度，多視角全面總結和呈現2017年全年攻擊態勢的變化情況，特別對2017年熱門的物聯網僵尸網絡進行了深度分析并總結了其發展趨勢。最后，結合當前DDoS和Web應用攻擊的威脅形式，給出了安全防護的解決方案。

以下是對《報告》部分重點內容的解讀。

2017年DDoS攻擊態勢盤點

1.2017年DDoS攻擊規模不斷增大，攻擊峰值不斷突破新高。

一方面，DDoS攻擊服務化、產業化；另外一方面，由于物聯網的加入，可利用的攻擊源種類越來越多，針對物聯網的Botnet也在不斷升級換代。這些都使得DDoS攻擊成本越來越低，攻擊規模不斷增大。從發展趨勢看，企業面臨的DDoS攻擊威脅將會逐年在擴大。

2017年攻擊總流量64萬 TBytes，比 2016年增長79.4%。

圖1

2.DDoS攻擊活動受政策監管和利益驅動的影響明顯

2017年6月1日，《中華人民共和國網絡安全法》正式實施，而 DDoS攻擊總流量從6月份開始明顯呈下降趨勢。通過攻擊溯源分析，發現下半年基于Windows和Linux/Unix的主機類型的攻擊源明顯減少，而常用于小規模攻擊的物聯網設備攻擊源顯著增多，前者明顯計算性能更高。面對國家政策的威懾和監管的強力整治，黑產將掌握的“高性能”Botnet資源從犯罪成本較高的DDoS攻擊活動轉而投向了犯罪成本相對較低但收益更高的挖礦活動中，反映了黑產對攻擊資源的投入受政策監管和利益驅動的影響明顯。

圖2

3.Linux/Unix類主機和服務器構成穩固的DDoS攻擊源（55%），IoT類設備占 12%。

圖3

物聯網（IoT）攻擊源中，以家用路由器或調制解調器類設備占比最高（69.7%）。

圖4

雖然IoT較多被用于小型DDoS攻擊，但IoT安全問題突出（漏洞多、修復難度大），種類多數量巨大，且針對其的惡意程序不斷在升級換代，我們并不能輕易對來自IoT Botnet的威脅放松警惕。

4.Memcached新型反射攻擊1.35Tbps攻擊峰值引發各方關注

雖然反射攻擊頻發，但從攻擊總流量、攻擊規模及可用的反射器數量來看，以NTP Reflection Flood為代表的傳統類型反射攻擊活動在放緩。就在人們即將放松對反射攻擊的警惕時，2018年年初一種新型的反射攻擊——Memcached反射放大攻擊以1.35Tbps引發各方關注。據綠盟科技威脅情報中心的統計數據顯示，全球范圍內存在被利用風險的Memcached服務器達104,506臺。

《報告》呼吁，各地區、各行業客戶保持高度警惕，謹防Memcached反射攻擊對服務器造成直接沖擊或利用Memcached反射攻擊作為障眼法混合其他攻擊造成信息安全危害。關于Memcached DRDoS的具體的防護和加固建議請詳見《深度剖析Memcached 超大型DRDoS攻擊》。

物聯網僵尸網絡發展趨勢

來自物聯網僵尸網絡的威脅將繼續擴大。

2017年全球暴露的物聯網設備約6200萬，其中路由器設備最多，總數約4900萬臺，國內暴露的路由器設備約1092萬臺。如果假設這部分暴露的設備被感染的概率僅為1%，那么僅國內被感染的路由器設備就能輕松打出T級別的DDoS攻擊。按照當前物聯網設備令人堪憂的安全狀況和修復情況看，暴露在網絡中的這些設備被感染的概率要遠高于1%，這些資源一旦掌握在不法分子手中，威脅將不可估量。