2015年3月1日至5月7日，Incapsula公司對1572個網(wǎng)絡(luò)層和2714個應(yīng)用層攻擊進(jìn)行了數(shù)據(jù)分析并總結(jié)出了這份報告。

??

[[137718]]

DDoS攻擊的流量通常參差不齊，所以我們要研究DDoS攻擊案例，就要從單一攻擊的構(gòu)成開始。該報告中的攻擊統(tǒng)一理解成是對同一目標(biāo)IP地址/域名發(fā)動的持續(xù)性DDoS攻擊。

說明

該報告從兩種不同的DDoS攻擊類型進(jìn)行分析：網(wǎng)絡(luò)層攻擊和應(yīng)用層攻擊(參考OSI模型)

OSI是Open System Interconnection的縮寫，意為開放式系統(tǒng)互聯(lián)。國際標(biāo)準(zhǔn)化組織(ISO)制定了OSI模型。這個模型把網(wǎng)絡(luò)通信的工作分為7層，分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。

網(wǎng)絡(luò)層面的攻擊主要針對的是網(wǎng)絡(luò)層和傳輸層，即OSI模型的第三、第四層。像這種大流量的攻擊完全有能力利用現(xiàn)有的帶寬資源使目標(biāo)網(wǎng)站的網(wǎng)絡(luò)飽和。網(wǎng)絡(luò)層的攻擊是以Gbps計量的。

應(yīng)用層攻擊針對的是OSI模型的第七層——應(yīng)用層。和網(wǎng)絡(luò)層面不同的是，應(yīng)用層的攻擊可以通過發(fā)送大量的請求占用CPU資源。最終使服務(wù)器掛掉。應(yīng)用層攻擊是以RPS(每秒發(fā)送的請求數(shù))計量的。通常所說的僵尸網(wǎng)絡(luò)就屬于這一層攻擊，通過發(fā)送大量請求致使服務(wù)器掛掉。

網(wǎng)絡(luò)層攻擊

概述

在2015年第二季度中，DDoS攻擊還在持續(xù)增長，流量峰值甚至超過253Gbps。從2014年到2015年第二季度的統(tǒng)計中，網(wǎng)絡(luò)層攻擊的最長時間超過64天，并且有20.4%的攻擊時長超過了5天。

從攻擊向量類型來說，危害程度最大的是SYN flood，其次是UDP flood。UDP flood比較常見，在對Incapsula網(wǎng)絡(luò)進(jìn)行檢測階段，有55%的攻擊類型都是UDP flood，可能是由于SSDP攻擊數(shù)量上升的緣故吧。

??

圖1

攻擊持續(xù)時間

如下圖中顯示的那樣，在報告期間大部分的網(wǎng)絡(luò)層DDoS攻擊都有所緩和，比如攻擊時間變短等。有將近71%的DDoS攻擊時間在3小時以內(nèi)，20.4%的攻擊時間超過了5天。

??

圖2

在上面圖表中很難分析出平均的攻擊時間，然而卻能看出來2種常見的DDoS攻擊類型：

1.短期單一向量攻擊：通常持續(xù)在30分鐘以內(nèi)，其目的可能是探測目標(biāo)的防御策略，或者是實施“打了就跑”的策略。這種類型的攻擊只有沒有經(jīng)驗的攻擊者或者DDoS租用服務(wù)平臺才會發(fā)動。

2.長期多向量攻擊：網(wǎng)絡(luò)犯罪者首先會在目標(biāo)防護(hù)措施上找到一個突破口，然后結(jié)合使用多種攻擊向量給予目標(biāo)重重的一擊。只有熟練的網(wǎng)絡(luò)黑客才會采用這種類型。

??

圖3

攻擊向量

UDP flood和SYN flood是目前為止最常見的DDoS攻擊類型，有超過56%的攻擊都屬于這兩種類型，其中有8%的DDoS攻擊屬于SSDP類型。

??

圖4

??

圖5

多向量攻擊

通常，我們一看到多向量攻擊就會自然的想到非常老練的攻擊者，似乎已經(jīng)默認(rèn)了多向量攻擊是老練攻擊者的標(biāo)志。然而比較有趣的是，在網(wǎng)絡(luò)層攻擊中只有56%的攻擊是屬于多向量攻擊。

??

圖6

從圖中可以看出，15年多向量攻擊數(shù)量有所下降，但是這種下降趨勢也暗示了僵尸網(wǎng)絡(luò)服務(wù)的上升。

??

圖7

租用僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)租賃服務(wù)給不懂技術(shù)的小白們提供一種發(fā)動DDoS攻擊的可能性，只要你愿意支付服務(wù)費(fèi)，僵尸網(wǎng)絡(luò)租賃服務(wù)平臺就能幫你做到。

僵尸網(wǎng)絡(luò)租賃平臺還有一種訂閱服務(wù)，購買者可以訂購僵尸網(wǎng)絡(luò)的攻擊時限，比如每個月累計攻擊時間不超過60分鐘。這樣一來不懂DDoS的人也可以通過這種簡單的方式發(fā)動DDoS攻擊。通過統(tǒng)計僵尸網(wǎng)絡(luò)租用平臺上訂購情況，發(fā)現(xiàn)1小時/月的平均價格是38美元，其中最低甚至只有19.99美元。

??

圖8#p#

應(yīng)用層攻擊

概要

在2015年第二季度中，設(shè)備感染的主要惡意程序有：MrBlack、Nitol、PCRat、Cyclone，其中有15%的攻擊來自于中國。應(yīng)用層攻擊中，最大的請求量每秒高達(dá)179747次，最長的攻擊時間段為8天，平均值為2天半。一旦某個網(wǎng)站被攻擊者盯上，那之后平均每隔10天就會被攻擊一次。

??

圖9

攻擊持續(xù)期間和頻率

大部分的應(yīng)用層攻擊(98%)的攻擊時間在24小時以內(nèi)，其中52%的攻擊時長不超過1小時。

??

圖10

和網(wǎng)絡(luò)層攻擊不同的是，應(yīng)用層攻擊事件通常可以精確的針對某個目標(biāo)進(jìn)行攻擊。也就是說可以同時對同一個目標(biāo)發(fā)動大量的請求。

在這72天的數(shù)據(jù)搜集中，有將近50%的網(wǎng)站受到不止一次的應(yīng)用層攻擊，超過17%的網(wǎng)站受到5次以上的攻擊，10%的網(wǎng)站受到10次以上的攻擊。

??

圖11

僵尸網(wǎng)絡(luò)攻擊活動及其地理位置

在網(wǎng)絡(luò)層攻擊中，IP地址欺騙是最常見的攻擊方式，它可以幫助網(wǎng)絡(luò)犯罪者們掩蓋真實的IP地址和地理位置。然而，應(yīng)用層攻擊并不會采用IP地址欺騙(需要完成一個完整的TCP三次握手)的手段，而是使用真實的IP地址。

對應(yīng)用層攻擊的源頭進(jìn)行追蹤發(fā)現(xiàn)，有將近15%的DDoS攻擊流量來源于中國，其次是越南、美國、巴西、泰國。而泰國還被認(rèn)為是MrBlack惡意程序家園，因為大部分感染MrBlack的路由器均位于泰國。

在下圖中還可以看出，MrBlack是DDoS攻擊中最常用的一種惡意程序，其次是Nitol、PCRat、Cyclone、DirtJumper。

??

圖13

??

圖14

然而MrBlack感染的設(shè)備數(shù)量卻非常的少，只有不到5%的IP地址被檢測感染了該種惡意程序。因為其感染的路由器比較多，所以它能產(chǎn)生更高的攻擊量。

DDoS僵尸網(wǎng)絡(luò)的攻擊能力和“身份”

在互聯(lián)網(wǎng)安全中，DDoS僵尸進(jìn)化史已成為了一個非常熱門的話題，也標(biāo)志著是僵尸網(wǎng)絡(luò)持有者(網(wǎng)絡(luò)犯罪者)與安全廠商之間的一種激烈競爭。在2015年第二季度的數(shù)據(jù)統(tǒng)計中，發(fā)現(xiàn)本季度的原始僵尸網(wǎng)絡(luò)數(shù)量和上一季度的數(shù)量基本相同。

??

圖15

對HTTP頭部的分析發(fā)現(xiàn)，本季度的DDoS類型和上一季度相比有著很大的變化，而且現(xiàn)在的僵尸網(wǎng)絡(luò)在逐漸的放棄使用搜索引擎載體。2014年的攻擊流量中，有高達(dá)57.7%的流量來自于“百度、谷歌”，而2015年卻只有0.91%。

??

圖16

這一轉(zhuǎn)變可能是廣泛采用了基于IP的緩解技術(shù)的結(jié)果。還有一個比較有趣的轉(zhuǎn)變是，在統(tǒng)計的數(shù)據(jù)中只有43%的攻擊采用了排名前10的用戶代理，也從側(cè)面說明了DDoS僵尸網(wǎng)絡(luò)的用戶代理也越來越多樣化。上一季度中有90%的攻擊用了排名前10的用戶代理。

??

圖17

結(jié)論

DDoS僵尸網(wǎng)絡(luò)租用服務(wù)給小白們提供了一種發(fā)動攻擊的可能性，從而也導(dǎo)致了大量短時間攻擊的出現(xiàn)——發(fā)動一次DDoS攻擊可能只需38美元，而給企業(yè)帶來的損失巨大，每小時企業(yè)損失甚至可達(dá)40000美元。當(dāng)然金錢的損失還不是最嚴(yán)重的，最嚴(yán)重的是企業(yè)服務(wù)受到影響、失去顧客的信任等。