一、概述

從DDoS的角度來(lái)看，第三季度相對(duì)平靜。即使網(wǎng)絡(luò)犯罪分子在Q2持續(xù)對(duì)一些老的惡意軟件進(jìn)行開(kāi)發(fā)，但他們并沒(méi)有明顯的創(chuàng)新。例如，某個(gè)DDoS僵尸網(wǎng)絡(luò)新增了對(duì)Docker環(huán)境的攻擊方法。犯罪分子滲透到目標(biāo)服務(wù)器，創(chuàng)建了一個(gè)受感染的容器，并在其中放置了與挖礦工具匹配的Kaiten僵尸工具(也稱(chēng)為T(mén)sunami)。

[[349807]]

Lucifer僵尸網(wǎng)絡(luò)在上個(gè)季度首次被研究人員發(fā)現(xiàn)，目前已知該僵尸網(wǎng)絡(luò)與DDoS攻擊和加密貨幣挖礦有關(guān)，在本季度該僵尸網(wǎng)絡(luò)進(jìn)行了更新，現(xiàn)在不僅可以感染W(wǎng)indows，還會(huì)感染Linux設(shè)備。新版本在進(jìn)行DDoS攻擊的過(guò)程中，可以使用所有常見(jiàn)協(xié)議(TCP、UDP、ICMP、HTTP)并仿冒流量源的IP地址。

Mirai漏洞的攻擊者正積極利用新的漏洞。7月，趨勢(shì)科技的同事們發(fā)現(xiàn)了一個(gè)僵尸網(wǎng)絡(luò)的變種，該變種利用了Comtrend VR-3033路由器中的CVE-2020-10173漏洞，從而影響存在漏洞的路由器以及與之連接的網(wǎng)絡(luò)。然后在8月，有消息聲稱(chēng)Mirai變種利用CVE-2020-5902漏洞攻擊BIG-IP產(chǎn)品。BIG-IP產(chǎn)品包括防火墻、負(fù)載均衡、訪問(wèn)控制程序和僵尸網(wǎng)絡(luò)防護(hù)系統(tǒng)。該漏洞可以用于執(zhí)行任意命令、上傳和刪除文件、禁用服務(wù)以及運(yùn)行JavaScript腳本。

對(duì)于實(shí)際的DDoS攻擊來(lái)說(shuō)，第三季度似乎不是那么矚目。其中比較關(guān)鍵的是各類(lèi)APT團(tuán)體背后攻擊者開(kāi)展的勒索軟件攻擊，例如FancyBear、Armada、Collective、Lazarus等。勒索分子向世界各地的組織發(fā)送比特幣勒索郵件，索取5比特幣到20比特幣不等，并威脅對(duì)方一旦不付款就會(huì)進(jìn)行強(qiáng)大且持續(xù)的DDoS攻擊。隨后，受害者會(huì)被大量垃圾郵件淹沒(méi)，由此說(shuō)明這個(gè)威脅遠(yuǎn)未消除。

在8月和9月初，新西蘭的一些組織遭受攻擊，包括新西蘭證券交易所(NZX)，該組織已經(jīng)被攻擊下線(xiàn)數(shù)日。受害者還有印度銀行YesBank、Paypal、Worldpay、Braintree和其他金融公司。另一波以DDoS作為威脅的勒索攻擊影響了許多歐洲的ISP。但是，不太確定這是否屬于同一個(gè)惡意組織所為。9月底，匈牙利的金融和電信公司遭受了強(qiáng)大的DDoS攻擊。根據(jù)Magyar Telekom，這些惡意流量來(lái)自俄羅斯、中國(guó)和越南。不清楚攻擊者是否在攻擊過(guò)程中進(jìn)行了勒索。

9月底，公共航班追蹤服務(wù)遭受了一系列DDoS攻擊，受害者包括瑞典網(wǎng)站Flightradar24和英國(guó)平臺(tái)Plane Finder，這些網(wǎng)站和平臺(tái)可以實(shí)時(shí)查看飛機(jī)的動(dòng)態(tài)。這些服務(wù)的用戶(hù)需求量非常大——接機(jī)人可以查詢(xún)航班是否準(zhǔn)點(diǎn)，媒體在發(fā)布與飛機(jī)相關(guān)的事件時(shí)也會(huì)使用這些信息。由于這次攻擊，直接導(dǎo)致這些服務(wù)只能間斷地工作，其官方Twitter帳戶(hù)也公布了遭受攻擊的消息。例如，F(xiàn)lightradar24的推文表示，他們?cè)诙虝r(shí)間內(nèi)遭受了三次以上的攻擊。美國(guó)公司FlightAware也公布了服務(wù)可用性存在問(wèn)題，但沒(méi)有具體說(shuō)明是由于攻擊還是由于故障。

在第三季度也存在針對(duì)媒體的傳統(tǒng)攻擊。俄羅斯電視臺(tái)Dozhd在8月24日發(fā)生了一起DDoS攻擊事件。未知的網(wǎng)絡(luò)攻擊者嘗試在白天和晚上的新聞時(shí)段對(duì)其進(jìn)行攻擊，使資源不可用。9月初，網(wǎng)絡(luò)犯罪分子將新聞機(jī)構(gòu)UgraPRO作為目標(biāo)。據(jù)媒體報(bào)道，攻擊流量來(lái)自俄羅斯和國(guó)外的IP地址，每秒的請(qǐng)求數(shù)量超過(guò)5000。在9月下旬，新聞門(mén)戶(hù)網(wǎng)站《土庫(kù)曼斯坦紀(jì)事報(bào)》和《俄羅斯衛(wèi)星通信社》報(bào)告了對(duì)其網(wǎng)站的攻擊。

最后，由于俄羅斯的新冠疫情大流行和相關(guān)限制，俄羅斯畢業(yè)生參加的統(tǒng)一國(guó)家考試已經(jīng)推遲到今年7月份。這個(gè)事件也影響了DDoS方面，在7月中旬，教育和科學(xué)領(lǐng)域的聯(lián)邦監(jiān)督服務(wù)局(Rosobrnadzor)報(bào)告了針對(duì)考試結(jié)果查詢(xún)門(mén)戶(hù)的攻擊活動(dòng)。但幸運(yùn)的是，此時(shí)考試結(jié)果還沒(méi)有上傳，因此攻擊是毫無(wú)意義的。

在本學(xué)年開(kāi)始時(shí)，可以預(yù)期會(huì)發(fā)生更多與學(xué)校相關(guān)的攻擊。例如，在佛羅里達(dá)州的邁阿密戴德縣，DDoS的浪潮席卷了當(dāng)?shù)亟逃龣C(jī)構(gòu)的網(wǎng)站，導(dǎo)致在線(xiàn)課程中斷。有一名青少年網(wǎng)絡(luò)犯罪分子遭遇了近乎實(shí)時(shí)的打擊，F(xiàn)BI進(jìn)入學(xué)校進(jìn)行搜捕，該網(wǎng)絡(luò)犯罪分子并在9月3日被逮捕。而其他肇事者仍在追查中。

提到FBI，該機(jī)構(gòu)在第二季度面向企業(yè)發(fā)布了兩條防范DDoS的告警。在7月，他們發(fā)布了一份文檔，其中簡(jiǎn)要介紹了新的攻擊方法、檢測(cè)方式和預(yù)防措施。8月下旬，他們發(fā)布了有關(guān)DDoS勒索活動(dòng)的詳盡報(bào)告，并再次提供了應(yīng)對(duì)此類(lèi)攻擊的技巧。

二、季度趨勢(shì)

在第三季度，我們觀察到所有指標(biāo)與上一季度相比均大幅下降。這很可能是由于第二季度出現(xiàn)了異常的DDoS活動(dòng)，而不是本季度攻擊活動(dòng)有所平息。如果我們將本季度與2019年同期數(shù)據(jù)進(jìn)行比較，會(huì)明顯發(fā)現(xiàn)總攻擊次數(shù)是之前的1.5倍，而智能攻擊的次數(shù)幾乎翻了一番。

2020Q2、2020Q3、2019Q3 DDoS攻擊數(shù)量對(duì)比，其中將2019Q3的數(shù)據(jù)作為100%參考值：

與上一季度不同，第三季度可以說(shuō)是正常的，我們終于在這個(gè)季度迎來(lái)了原本應(yīng)該在5月和6月出現(xiàn)的下降趨勢(shì)。我們?cè)绢A(yù)計(jì)這種情況會(huì)在2020年初出現(xiàn)，但實(shí)際卻在第二季度出現(xiàn)了異常的高點(diǎn)。我們可以通過(guò)以下兩個(gè)因素來(lái)解釋這種趨勢(shì)：

(1) 在新冠病毒大流行期間，全球市場(chǎng)比較穩(wěn)定。從實(shí)施檢疫措施到現(xiàn)在已經(jīng)9個(gè)月了，逐步轉(zhuǎn)移到遠(yuǎn)程工作已經(jīng)不再是大新聞。公司已經(jīng)適應(yīng)了新的工作模式，IT部門(mén)也已經(jīng)填補(bǔ)了遠(yuǎn)程基礎(chǔ)架構(gòu)中存在的漏洞，并對(duì)關(guān)鍵節(jié)點(diǎn)進(jìn)行了加固。因此，適合攻擊的目標(biāo)就變得更少了。

(2) 加密貨幣市場(chǎng)的增長(zhǎng)。例如，以太坊價(jià)格圖表可以參考下圖，從中我們能看到第三季度的明顯上漲。加密貨幣挖礦和DDoS攻擊都是競(jìng)爭(zhēng)的市場(chǎng)。有很多僵尸網(wǎng)絡(luò)可以同時(shí)實(shí)現(xiàn)這兩種功能，并且其運(yùn)營(yíng)商會(huì)根據(jù)潛在收益在不同時(shí)間轉(zhuǎn)換其目標(biāo)。在第三季度，某些僵尸網(wǎng)絡(luò)可能已經(jīng)進(jìn)入到挖礦模式。

2019年10月13日到2020年10月13日以太坊價(jià)格變化情況(來(lái)源：coindesk.com)：

三、季度統(tǒng)計(jì)

1.  方法論

卡巴斯基在打擊網(wǎng)絡(luò)威脅方面有長(zhǎng)時(shí)間的積累，我們接觸過(guò)各種類(lèi)型以及復(fù)雜的DDoS攻擊。企業(yè)專(zhuān)家使用卡巴斯基DDoS智能系統(tǒng)來(lái)監(jiān)控僵尸網(wǎng)絡(luò)。

DDoS智能系統(tǒng)是卡巴斯基DDoS防護(hù)解決方案的組成部分，可以攔截和分析從C&C服務(wù)器發(fā)送到僵尸主機(jī)的命令。這個(gè)系統(tǒng)是主動(dòng)的，不是被動(dòng)的，這意味著它無(wú)需等待用戶(hù)設(shè)備被感染或命令被執(zhí)行。

本報(bào)告中，包含2020年第三季度的DDoS情報(bào)統(tǒng)計(jì)數(shù)據(jù)。

在這篇報(bào)告的上下文中，僅當(dāng)僵尸網(wǎng)絡(luò)活動(dòng)時(shí)間間隔不超過(guò)24小時(shí)時(shí)，該事件才會(huì)被視為一次DDoS攻擊。如果相同的Web資源被相同的僵尸網(wǎng)絡(luò)攻擊，時(shí)間間隔為24小時(shí)或更長(zhǎng)時(shí)間，那么就將其視為兩次攻擊。來(lái)自不同僵尸網(wǎng)絡(luò)但針對(duì)同一個(gè)資源的僵尸請(qǐng)求也被視為單獨(dú)的攻擊。

DDoS受害者的地理位置是根據(jù)他們的IP地址來(lái)確定。在報(bào)告中，DDoS攻擊的唯一目標(biāo)數(shù)量是根據(jù)季度統(tǒng)計(jì)中唯一IP地址數(shù)量來(lái)計(jì)算的。

DDoS情報(bào)統(tǒng)計(jì)信息僅限于使用卡巴斯基進(jìn)行檢測(cè)和分析到的僵尸網(wǎng)絡(luò)。請(qǐng)注意，僵尸網(wǎng)絡(luò)只是用于DDoS攻擊的工具之一，并且我們并不能涵蓋在時(shí)間范圍之內(nèi)的所有DDoS攻擊。

2. 季度統(tǒng)計(jì)結(jié)果

在攻擊次數(shù)和目標(biāo)數(shù)量方面，前三名保持不變：中國(guó)(71.20%和72.83%)、美國(guó)(15.30%和15.75%)以及香港特別行政區(qū)(4.47%和4.27%)。

在攻擊次數(shù)前十名中，出現(xiàn)了新的面孔，是荷蘭和越南。

在目標(biāo)數(shù)量的排名中，針對(duì)亞洲的攻擊興趣顯著下降：香港地區(qū)下降了2.07個(gè)百分點(diǎn)，新加坡下降了0.3個(gè)百分點(diǎn)，日本和韓國(guó)甚至都沒(méi)有上榜。但中國(guó)是個(gè)例外，針對(duì)中國(guó)目標(biāo)的占比上升了6.81個(gè)百分點(diǎn)。

在第二季度過(guò)后，第三季度的攻擊次數(shù)再次出現(xiàn)下降。并且，峰值(每天323次攻擊)和谷值(每天1次攻擊)之間的差異正急劇增加。

在第三季度，我們觀察到8月底和9月初有所下降。在此期間，有3個(gè)低谷階段，分別是8月31日、9月1日和9月7日，每天僅有1次攻擊。此外，還有5天，當(dāng)天的攻擊均少于10次。

DDoS僵尸網(wǎng)絡(luò)泛洪在周四最為活躍，而周五則出現(xiàn)明顯下降。

就持續(xù)時(shí)間而言，第三季度遠(yuǎn)遠(yuǎn)落后于第一季度，但有兩次攻擊的發(fā)生時(shí)長(zhǎng)超過(guò)了10天(分別是246小時(shí)和245小時(shí))，持續(xù)5-9天的攻擊次數(shù)(12次)有所增加。

本季度的攻擊類(lèi)型分布與此前相比沒(méi)有任何變化，SYN泛洪仍然是主要使用的方式(94.6%)，自上一季度以來(lái)其占比就保持不變。ICMP攻擊占3.4%，HTTP泛洪占比不到0.1%。

Linux僵尸網(wǎng)絡(luò)仍然領(lǐng)先于Windows僵尸網(wǎng)絡(luò)，占攻擊總數(shù)的35.39%。

3. 攻擊地理位置分布

就攻擊的地理位置分布而言，2020年第三季度絲毫不令人意外。今年以來(lái)，攻擊次數(shù)排名前三的國(guó)家/地區(qū)出乎意料的穩(wěn)定：中國(guó)(71.2%，較第二季度增長(zhǎng)6.08個(gè)百分點(diǎn))，美國(guó)(15.3%，下降4.97個(gè)百分點(diǎn))，香港特別行政區(qū)(4.47%，下降1.61個(gè)百分點(diǎn))。盡管出現(xiàn)了一些變動(dòng)，但中美之間的巨大差距以及中國(guó)香港所占份額明顯下降的形勢(shì)仍然沒(méi)有改變。我們?cè)?019年第三季度也看到了類(lèi)似的狀態(tài)。

新加坡、澳大利亞和印度都上升了1位，分別是從第五位上升到第四位、從第六位上升到第五位、從第七位上升到第六位。南非則從第四位下降到第八位。其原因并不是這些國(guó)家的攻擊占比有所增高，而是因?yàn)槟戏且呀?jīng)轉(zhuǎn)為平靜。在7月至9月，南非的攻擊占比下降了0.88個(gè)百分點(diǎn)，下降到0.4%。同時(shí)，相對(duì)而言，新加坡的攻擊數(shù)量與上一季度相比變得更少，DDoS攻擊占到了0.85%(下降0.28個(gè)百分點(diǎn))。澳大利亞和印度的占比增長(zhǎng)大致相同(分別為0.27個(gè)百分點(diǎn)和0.24個(gè)百分點(diǎn))，前者的占比達(dá)到0.65%，后者的占比約為0.57%。

在印度和南非之間是排名第七的荷蘭，這個(gè)國(guó)家在2019年第三季度沒(méi)有進(jìn)入到前十名之中。在這一季度，荷蘭占據(jù)了所有攻擊的0.49%。

越南和英國(guó)的攻擊數(shù)量進(jìn)入了前十。越南的攻擊占比與第二季度相比增長(zhǎng)了0.23個(gè)百分點(diǎn)，這是他們今年第二次以0.39%進(jìn)入前十。而英國(guó)則保持相對(duì)穩(wěn)定，從第二季度的0.18%，小幅上升至0.25%。

2020Q3和Q3按國(guó)家/地區(qū)列出的DDoS攻擊分布：

目標(biāo)的地理分布也發(fā)生了一些微小的變化，只有兩名新成員進(jìn)入到前十。

前三名與第一季度相同，分別是中國(guó)、美國(guó)和中國(guó)香港。中國(guó)的目標(biāo)占比持續(xù)增長(zhǎng)，相比上一季度，本季度增長(zhǎng)了6.81個(gè)百分點(diǎn)之多，已經(jīng)接近占據(jù)所有目標(biāo)的四分之三，即72.83%。美國(guó)下跌了2.07個(gè)百分點(diǎn)，目標(biāo)占比降至4.27%。

第四名是新加坡，盡管其目標(biāo)數(shù)量有所減少(下降0.3個(gè)百分點(diǎn)，達(dá)到0.74%)，但是排名卻升高一位，取代了南非。越南位居第五，占比為0.5%，在上一季度他們排名第七。而之前已經(jīng)提過(guò)的南非，則以0.47%的占比排名第六。

英國(guó)(0.35%)和荷蘭(0.27%)分別獲得第七名和第八名。這是他們自2019年第四季度和第三季度以來(lái)，首次進(jìn)入到前十排名。這些歐洲國(guó)家超過(guò)了位于亞洲的日本和韓國(guó)。在第三季度，澳大利亞(0.25%)和印度(0.23%)分別占據(jù)了第六名和第八名的位置。

2020年第三季度和第四季度按國(guó)家/地區(qū)分布的唯一DDoS攻擊目標(biāo)：

4. DDoS攻擊數(shù)量的動(dòng)態(tài)變化

本季度的攻擊數(shù)量差異很大。關(guān)于高峰時(shí)期，DDoS攻擊者在本季度打破了上一季度的記錄，在7月2日，我們記錄到了323次攻擊(此前峰值為4月的298次)。另外，本季度也出現(xiàn)了一些令人驚訝的平靜日期，比如8月31日、9月1日、9月7日分別僅發(fā)生了1次被記錄的攻擊。總體而言，8月下旬和9月上旬的攻擊比較溫和，在8月25日至9月7日期間的兩周中，攻擊次數(shù)在一天之內(nèi)就超過(guò)了100次(9月5日為181次)，而多達(dá)8天的攻擊次數(shù)是小于10天的。

我們的另一個(gè)關(guān)注點(diǎn)是峰值和最接近峰值的指標(biāo)之間的差異。在過(guò)去的幾個(gè)季度中，最活躍的2-3天的攻擊次數(shù)沒(méi)有明顯差異。在第三季度，就打破了常規(guī)，除了最高的7月2日峰值以外，接下來(lái)攻擊強(qiáng)度排名第二的就是7月13日，攻擊次數(shù)與7月2日相比減少了近20%，總共減少了260次。第三季度平均每天大約有106次攻擊，比上一季度減少了10次。

2020年第三季度DDoS攻擊數(shù)量的動(dòng)態(tài)變化：

網(wǎng)絡(luò)犯罪分子最受青睞的日期在本季度再次發(fā)生了變化。最為活躍的星期三被星期四(19.02%)取代，而最為安靜的星期六被星期五(10.11%)取代。二者之間的差距也被拉大，由上一季度的4.93個(gè)百分點(diǎn)增加到8.91個(gè)百分點(diǎn)。這主要是由于星期四是本季度最為活躍的一天。

除了周六和周四外，周一的攻擊占比也有所增加，但幅度并不大，其余幾天的攻擊占比是有相應(yīng)下降的。

2020年第二季度和第三季度按照星期分布的DDoS攻擊情況：

5. DDoS攻擊的持續(xù)時(shí)間和類(lèi)型

第三季度的平均攻擊時(shí)間持續(xù)縮短，可以根據(jù)超短時(shí)間攻擊的占比增加來(lái)說(shuō)明這一點(diǎn)，實(shí)際上增加了5.09個(gè)百分點(diǎn)。但是，與上一季度不同，長(zhǎng)時(shí)間(100-139小時(shí))的攻擊占比下降并不明顯(僅下降0.08個(gè)百分點(diǎn))，而超長(zhǎng)時(shí)間攻擊的占比略有上升(增長(zhǎng)0.18個(gè)百分點(diǎn))。在第二季度，最長(zhǎng)的攻擊甚至沒(méi)有超過(guò)9天，而本季度我們發(fā)現(xiàn)了兩次持續(xù)10天以上的攻擊(246小時(shí)和245小時(shí))，持續(xù)5-10天的攻擊次數(shù)也增加了1.5倍。

這樣一來(lái)，就出現(xiàn)了這樣的情況：大部分攻擊(91.06%)都持續(xù)了4個(gè)小時(shí)，有4.89%的攻擊持續(xù)5-9小時(shí)，2.25%持續(xù)10-19小時(shí)，2.09%持續(xù)了20-49小時(shí)，0.4%持續(xù)了50-99小時(shí)，僅有0.08%持續(xù)了100-139小時(shí)。與此前不同，本季度持續(xù)140小時(shí)及以上的攻擊次數(shù)遠(yuǎn)多于前一檔，占DDoS攻擊總數(shù)的0.23%。

2020年第二季度和第三季度按照攻擊時(shí)長(zhǎng)(小時(shí))分布的DDoS攻擊情況：

與上一季度相比，不同攻擊類(lèi)型的分布沒(méi)有變化，最常見(jiàn)的SYN泛洪也是一樣，在第三季度為94.6%，此前的第二季度占比是94.7%。ICMP泛洪占比小幅下降，從之前的4.9%下降到3.4%，但排名保持不變。TCP攻擊占總數(shù)的1.4%，增長(zhǎng)了1.2個(gè)百分點(diǎn)。UDP攻擊占0.6%。而HTTP攻擊的占比最少，甚至都沒(méi)有達(dá)到0.1%。

2020年第三季度按攻擊類(lèi)型分布的DDoS攻擊情況：

在第三季度，Windows僵尸網(wǎng)絡(luò)的占比持續(xù)下降，這次它們的數(shù)量相比上一季度下降了0.61個(gè)百分點(diǎn)，為4.61%。Linux僵尸網(wǎng)絡(luò)的占比也有相應(yīng)增加。

2020年第二季度和第三季度Windows和Linux僵尸網(wǎng)絡(luò)攻擊占比分布：

四、總結(jié)

如果說(shuō)2020年第二季度的DDoS攻擊數(shù)量之多還會(huì)讓我們感到驚訝，那么在第三季度的數(shù)字表明已經(jīng)恢復(fù)了正?；奈ㄒ荒繕?biāo)的數(shù)量來(lái)看，與上一季度相比，歐洲對(duì)于網(wǎng)絡(luò)犯罪分子的吸引力似乎更大，日本和韓國(guó)等亞洲國(guó)家對(duì)網(wǎng)絡(luò)犯罪分子的吸引力較小，但針對(duì)中國(guó)的興趣仍然較高，并且其攻擊目標(biāo)占比和攻擊來(lái)源占比都在持續(xù)增長(zhǎng)。本季度的單日最高攻擊次數(shù)和單日最低攻擊次數(shù)之間形成了鮮明對(duì)比。從DDoS的分析角度來(lái)看，這些所有的指標(biāo)綜合在一起，表示2020年第三季度出現(xiàn)了一些矛盾的情況。

我們非常期待Q4的數(shù)據(jù)。除非有重大事件，否則我們預(yù)計(jì)Q4將類(lèi)似于2019年第四季度的統(tǒng)計(jì)數(shù)值。在2019Q4，經(jīng)過(guò)近兩年的增長(zhǎng)，DDoS的趨勢(shì)或多或少地趨于穩(wěn)定。