概述

網絡犯罪分子一直在尋找使攻擊更具破壞性的手段和方法。在2020年第四季度，當犯罪分子濫用其DTLS接口時，Citrix ADC(應用程序交付控制器)設備便成為其中一種工具。DTLS(數據報傳輸層安全性)協議用于通過UDP建立安全連接，通過該連接可以發(fā)送大多數DNS查詢以及音頻和視頻流量。為了擴大攻擊范圍，攻擊者將請求發(fā)送到啟用了DTLS接口的設備，從而欺騙受害者的IP地址。因此，受害者收到的回復包的大小是原來的幾倍。對于Citrix設備，垃圾流量最多可以增加36倍。攻擊曝光后，制造商立即發(fā)布了固件更新用于配置傳入請求的驗證。對于不使用DTLS的用戶，建議僅禁用此協議。

去年12月的另一次值得注意的攻擊針對了網站Bitcoin.org，該網站托管了Bitcoin Core，這是比特幣使用最廣泛的軟件版本之一。當資源不足時，加密貨幣挖礦新手被邀請通過洪流服務下載比特幣核心的副本。攻擊最有可能與比特幣價格有關，在過去的一個季度中，比特幣價格一直在穩(wěn)步上漲。根據Bitcoin.org背后的一位開發(fā)商的說法，只要比特幣上漲，該網站就總是會受到打擊。

總體而言，第四季度仍處于2020年趨勢的參數范圍內。網絡犯罪分子使用知名的APT團體的名稱來恐嚇受害者，要求以加密貨幣勒索贖金，并進行示威攻擊以支持其威脅。

勒索活動經常出現在2020年的新聞中

自從學校和大學過渡到遠程學習以來，網絡犯罪分子試圖通過向教育平臺充斥大量垃圾來擾亂課堂。這種趨勢在2020年的最后幾個月一直持續(xù)。

• 10月，馬薩諸塞州桑德威奇和廷斯伯勒的學校網絡中斷。在這兩種情況下，機構最初都是將事件歸結為技術故障，后來才發(fā)現了這種攻擊。
•  去年12月，加拿大的Laurentian大學報告了DDoS攻擊。但是它在幾分鐘之內解決了這個問題。盡管如此，到年底這類攻擊已經嚴重到聯邦調查局在其12月的咨詢中將其標記出來的程度，這是對教學設施的重大威脅，建議教育機構使用防DDoS解決方案和強大的防火墻設置，并與ISP合作。

游戲平臺也沒有逃脫網絡犯罪分子的關注。據ZDNet稱，Xbox和Steam是通過Citrix設備進行放大攻擊的目標。10月初，PUBG移動團隊報告了DDoS攻擊。

• 親愛的玩家們，
• PUBG MOBILE團隊目前正在積極致力于解決針對我們系統的DDoS攻擊和新的黑客問題。有關信息，請在此處查看：https : //t.co/DMYsxWTlCc
• — PUBG MOBILE(@PUBGMOBILE)2020年10月3日

本季度暴雪的歐洲服務器兩次受到威脅者的襲擊。

• 我們目前正在遭受DDoS攻擊，這可能會導致高延遲和某些播放器斷開連接。我們正在積極努力緩解此問題#BlizzCS
• —暴雪CS歐盟(@BlizzardCSEU_EN)2020年10月2日

在12月下旬，幾十個頂級流媒體計劃慶祝2020年底通過Rust在同一臺服務器上播放。盡管沒有可靠的數據，但是該節(jié)目在第一次嘗試時失敗了，這顯然是由于DDoS攻擊造成的?？紤]到圍繞事件的炒作，這可能是由粉絲涌入引起的。2020年，當許多人的生活轉移到網上時，互聯網資源一再受到完全合法活動激增的困擾。

至于反擊，最顯著的第四季度事件是，一名前Apophis Squad成員被定罪，罪責是一系列DDoS攻擊，包括贖金，并通過假炸彈警報破壞全球學校課程，并儲存兒童色情制品。最終，肇事者被判處八年徒刑。

對單個攻擊媒介的抵抗力也繼續(xù)存在。互聯網工程任務組(IETF)發(fā)布了有關網絡時間安全(NTS)的提案，該提案是通過網絡時間協議(NTP)進行數據傳輸的安全標準，用于在網絡上同步時間。該文件特別解決了通過該協議進行DDoS放大的問題，并禁止響應于請求而發(fā)送大于請求包的數據包。

季度和年度趨勢

這次，我們的預測準確地實現了50%：正如預期的那樣，在2020年第四季度，我們觀察到的指標與2019年同期相當，甚至更高。但是，相對于2020年第3季度的增長(我們預計這是可能的)并未發(fā)生。相反，攻擊總數下降了約30%，智能攻擊下降了10%。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

2020年Q3 / Q4和2019年Q4的DDoS攻擊比較數量; 2019年第四季度的數據被視為100%

盡管如此，定性指標還是值得注意的：智能攻擊的份額在第四季度略有增加，攻擊持續(xù)時間的數據顯示，短期攻擊呈下降趨勢，而長期攻擊呈上升趨勢。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

2020年Q3 / Q4和2019年Q4的智能攻擊份額

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

DDoS攻擊的持續(xù)時間，2020年第三季度/第四季度和2019年第四季度; 2019年第四季度的數據被視為100%

DDoS攻擊數量的下降可以用加密貨幣市場的增長來解釋。我們已經提到了好幾次，包括在上一份報告中，DDoS活動與加密貨幣的價格之間存在反比關系。當我們做出第四季度的預測時，幾乎沒有人相信會如此快速，這是前所未有的增長速度。毫無疑問，僵尸網絡運營商將其部分能力移交給了采礦業(yè)。

有趣的是，與上一季度相比，DDoS攻擊數量明顯下降的原因是易于組織的攻擊，而智能攻擊的下降卻微不足道。這是完全合乎邏輯的：僵尸網絡運營商廉價出售產能，損失采礦利潤，是無利可圖的;因此，當價格上漲時，首先被削減的是業(yè)余愛好者——小學生、惡作劇者、頭腦發(fā)熱者，他們沒有真正的理由來組織DDoS。對于專業(yè)人士而言，他們的興趣不受市場波動的影響，尤其是在第四季度(假期和在線銷售很多)，因此他們繼續(xù)訂購并進行攻擊，而且大多是聰明的攻擊，因為他們專注于結果而不是嘗試。

2021年第一季度將帶來什么很難說。但是，我們越來越相信DDoS市場已經停止增長，在2018年下降之后已經完全穩(wěn)定。當前的波動主要是由于加密貨幣價格的動態(tài)，并將直接取決于它們的發(fā)展。如果2021年第一季度加密貨幣的價格開始下跌，DDoS攻擊的數量將增加，反之亦然。同時，我們預計不會出現爆炸性增長或急劇下降。除非出現意外，DDoS市場波動仍將保持在30%以內。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

DDoS攻擊的比較數量，2019年和2020年; 2019年數據取為100%

至于整個2020年的結果，該市場在一年中增長了不到一倍。請注意，這種增長純粹是量化的：智能攻擊的份額實際上保持不變。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

2019年和2020年智能攻擊的份額

攻擊持續(xù)時間數據特別令人關注。到2020年，平均持續(xù)時間減少了大約三分之一，而最大持續(xù)時間總體上顯著增加，盡管就智能攻擊而言，其平均持續(xù)時間與去年持平。這表明短期攻擊的時間越來越短，而長期攻擊的時間越來越長。我們在第四季度看到了類似的趨勢。盡管原因很難確定，但我們可以像去年所有其他趨勢一樣，假設它與這一流行病、嚴重的全球不穩(wěn)定和加密貨幣市場的爆發(fā)式增長有關。在這些因素的影響下，DDoS市場正在發(fā)生變化，攻擊的目標和訂購它們的人以及平均攻擊持續(xù)時間也隨之變化。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

DDoS攻擊的持續(xù)時間，2019年和2020年; 2019年數據取為100%

統計數據

方法

卡巴斯基在打擊網絡威脅方面有著悠久的歷史，包括各種類型和復雜性的DDoS攻擊。公司專家使用卡巴斯基DDoS智能系統監(jiān)控僵尸網絡。

作為Kaspersky DDoS Protection的一部分 ，DDoS Intelligence系統攔截并分析機器人從C&C服務器接收的命令。該系統是主動的，不是被動的，這意味著它不等待用戶設備被感染或命令被執(zhí)行。

該報告包含2020年第四季度的DDoS Intelligence統計信息。

在此報告的上下文中，僅當僵尸網絡活動時間間隔不超過24小時時，該事件才被視為一次DDoS攻擊。例如，如果相同的Web資源被相同的僵尸網絡攻擊間隔為24小時或更長時間，則這被視為兩次攻擊。來自不同僵尸網絡但針對一種資源的Bot請求也算作單獨的攻擊。

用于發(fā)送命令的DDoS攻擊受害者和C&C服務器的地理位置由它們各自的IP地址確定。該報告中DDoS攻擊的唯一目標數是按季度統計中的唯一IP地址數來計算的。

DDoS Intelligence統計信息僅限于卡巴斯基檢測和分析的僵尸網絡。請注意，僵尸網絡只是用于DDoS攻擊的工具之一，并且本節(jié)并不涵蓋在審核期間發(fā)生的每一個DDoS攻擊。

請注意，到2020年第四季度，其活動已包含在DDoS Intelligence統計信息中的僵尸網絡數量有所增加。這可能會反映在本報告中提供的數據中。

季度總結

•  在第四季度，與之前一樣，中國大陸(58.95%)，美國(20.98%)和中國香港(3.55%)在DDoS攻擊數量上居首位。
• 按目標的數量依次排在前3個地區(qū)：中國大陸(44.49%)、美國(23.57%)和中國香港(7.20%)。
• 在“最安靜”的日子里，DDoS攻擊的次數不超過每天一次。
•  本季度DDoS最活躍的一天是12月31日，記錄了1349次攻擊。
•  本季度DDoS攻擊最多的是周四，最少的是周日。
•  第四季度，極短攻擊(71.63%)和極長攻擊(0.14%)的份額有所下降，而所有中間類別的份額有所上升。
•  第4季度按類型重新排列了DDoS攻擊的分布：UDP泛洪位居第二(15.17%)，而我們報告中未提及的GRE泛洪成為第四大常見事件(0.69%)。
• 幾乎100%的攻擊都使用了Linux僵尸網絡。
• 大多數僵尸網絡C&C服務器位于美國(36.30%)、荷蘭(19.18%)和德國(8.22%)。

攻擊地理

2020年第四季度在DDoS攻擊方面排名前三的國家與上一報告期相同。中國仍然位居首位(58.95%)，但其份額下降了12.25個百分點，排在第二位的是美國(20.98%)，其份額卻上升了5.68個百分點。我們在2019年最后三個月也觀察到了類似的模式——中國的份額下降，美國的份額相對于第三季度有所上升。

盡管香港特別行政區(qū)(ADR)下跌0.92個百分點，但仍排名第三(3.55%)，自2020年初以來一直沒有撤離。這是與第三季度情況相似的地方：新加坡，上次報告中排名第四期間，跌出前十名。它被英國(1.99%)取代，上升了1.72個百分點。

排在第五位的是南非(1.31%)，取代了澳大利亞(0.97%)，盡管份額增加了0.32個百分點，但澳大利亞跌至第七位。加拿大(1.04%)在第三季度未能進入前十名之后排名第六。

荷蘭的排名下降了一位，降至第八(0.86%)。印度和印度也像新加坡一樣，退出了TOP 10的排名。德國(0.71%)和法國(0.64%)的排名均不及第三季度的TOP 10。

2020年Q3和Q4按國家分列的DDoS攻擊分布

按DDoS攻擊目標數量排列的前10個國家傳統上類似于按攻擊數量排列的國家。這三個領導者是相同的：領先的是中國(44.49%)，其份額下降了28.34個百分點，但仍然沒有受到挑戰(zhàn)。其次是美國(23.57%)，其份額增長了7.82個百分點，排名第三的是中國香港，增長了7.20%。

盡管從攻擊次數上看，南非沒有進入前十名，但新加坡(2.21%)沒有進入前十名。雖然該公司的份額增長了1.74個百分點，但相對于第三季度，該公司的份額有所下降，排名下降至第五位。這是因為除中國以外的前10個國家都增加了份額。例如，排名第四的荷蘭(4.34%)增長了4.07%。

對于較低的國家，只有其出現順序才能將其與攻擊次數的排名區(qū)分開來。加拿大(1.97%)超過英國(1.77%)，而澳大利亞(1.29%)位居第二，僅次于法國(1.73%)和德國(1.62%)。

2020年Q3和Q4按國家/地區(qū)分布的獨特DDoS攻擊目標

DDoS攻擊數量的動態(tài)變化

不出所料，第四季度比上一季度更為動蕩。報告期開始時相當平靜：10月3日至6日，我們每天只觀察到一次襲擊。然而，到了10月20日，347起攻擊被記錄在案，超過了第三季度的最大值(一天內323起攻擊)。在10月下旬和11月，DDoS活動在每天接近0到200次攻擊之間波動。

11月的最后幾天開始出現顯著增長，這一增長一直持續(xù)到本季度末，最可能的原因是卡巴斯基監(jiān)控的僵尸網絡數量增加，以及圣誕節(jié)和新年假期，通常伴隨著圣誕節(jié)的到來網絡犯罪活動激增。在線購物的整體增長(與節(jié)假日有關的購物及其他)也可能起到了一定作用。就DDoS而言，本季度最熱的一天是12月31日，全球記錄了1,349次攻擊。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

2020年第四季度DDoS攻擊數量的動態(tài)變化

在第四季度，周四仍然是一周中最活躍的一天(17.67%)，盡管其份額比上一季度下降了1.35個百分點。但是，最安靜的一天的頭銜又變了：這次，網絡犯罪分子更喜歡在星期天站起來(11.19%)。更重要的是，“平靜”和“暴風雨”天氣的襲擊次數范圍從上一季度的近9個百分點縮小到6.48個百分點。在一年的最后三個月中，在星期二，星期三和星期五進行的攻擊次數有所增加，而在其他工作日則有所減少。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

2020年第三季度和第四季度按星期幾分布的DDoS攻擊

DDoS攻擊的持續(xù)時間和類型

與上一個報告期相比，第四季度DDoS攻擊的平均持續(xù)時間有所增加。這可以歸因于持續(xù)時間少于四個小時的非常短的攻擊所占比例顯著下降(第三季度為71.62%，而第三季度為91.06%)，更長的攻擊次數則有所增加。具體而言，本季度持續(xù)5-9(11.78%)，10-19(8.40%)，20-49(6.10%)，50-99(1.86%)和100-139(0.10%)小時的攻擊份額增加了。

相比之下，超長攻擊的份額下降了0.09%，降至0.14%，但仍高于持續(xù)100-139小時的攻擊份額，而最長的攻擊持續(xù)時間超過了12天(302小時)，這一點很明顯超過了第三季度的最大值(246小時)。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

2020年Q3和Q4按持續(xù)時間(小時)分布的DDoS攻擊(下載)

在第四季度，按類型劃分的DDoS攻擊的分布發(fā)生了巨大變化。SYN Floods仍然領先，但其份額下降了16.31個百分點至78.28%。同時，UDP泛洪的份額猛增(15.17%)，在前三個季度不到2%。TCP攻擊(5.47%)的數量也有所增加，但是以前在SYN攻擊之后排名第二的ICMP泛濫在第四季度可以忽略不計，因此我們沒有將其包括在統計中。

取而代之的是，第四季度雷達上出現了我們的報告中先前未提及的一種攻擊類型，即GRE泛洪(0.69%)。GRE(通用路由封裝)是一種流量隧道協議，主要用于創(chuàng)建虛擬專用網絡(虛擬網絡)。例如，Mirai僵尸網絡利用GRE泛洪在2016年攻擊了新聞記者Brian Krebs的博客。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

2020年Q4按類型分布的DDoS攻擊

這是自我們開始觀察以來的第一次，Windows僵尸網絡的份額幾乎降至零(0.20%)。幾乎所有記錄的DDoS攻擊都是使用基于Linux的僵尸程序進行的。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

Windows / Linux僵尸網絡攻擊比例，2020年第三季度和第四季度

僵尸網絡的國家分布

到2020年第四季度，用于控制DDoS僵尸網絡的大部分C&C服務器位于美國，占服務器總數的36.30%。荷蘭以19.18%的份額位居第二。德國以8.22%的成績排名前三。

羅馬尼亞的C&C服務器數量排名第四(4.79%)，法國和英國分別排名第五和第六，占4.11%。本季度排名第七，第八和第九的國家也具有相同的份額：加拿大，匈牙利和越南均占3.42%。中國(2.05%)按已記錄的僵尸網絡C&C服務器數量排名前十位。

卡巴斯基：2020 Q4 DDoS攻擊趨勢報告

2020年第四季度按國家/地區(qū)分布的僵尸網絡C&C服務器

結論

第四季度既平凡又非凡。一方面，DDoS攻擊和目標的地理分布沒有意外變化。另一方面，攻擊類型的分布發(fā)生了根本性的變化：UDP泛濫的份額增加了;ICMP攻擊因GRE洪水而流離失所。另外，在我們的觀察歷史中，Linux僵尸網絡幾乎第一次完全占領了DDoS市場。

我們非常希望看到另一個2020年的數據——沒有大流行，沒有顯著的加密貨幣增長，沒有對DDoS市場的沖擊。冠狀病毒的爆發(fā)刺激了市場(見我們的第一季度和第二季度報告)，而加密貨幣的上漲抑制了它(見我們的第三季度報告)。也許這些對立的力量最終會相互抵消，如果沒有它們，情況也會相似，但在2020年，它們結合在一起，在DDoS市場上形成了一場完美的風暴，使我們一半的預測偏離了路線。

很難猜測2021年會發(fā)生什么——我們無法預測大流行或加密貨幣的價格走勢。因此，我們的預測是非常試探性的：沒有劇烈的沖擊就等于DDoS市場的變化很小。我們認為，無論是在第一季度還是在2021年全年，都沒有出現大幅增長或下降的先決條件?？谔柺欠€(wěn)定，這也是我們所期望的。

本文翻譯自：https://securelist.com/ddos-attacks-in-q4-2020/100650/如若轉載，請注明原文地址。