2014 -关于《2014绿盟科技 DDoS 威胁》的研究报告

2014 绿盟科技 DDoS 威胁报告 2014 DDoS THREAT REPORT 2014 DDoS 威胁报告执行摘要快速导读广东依然是最严重的受害区域 UDP FLOOD 成为最主要的 DDoS 攻击方式本报告是 2014 年全年度 DDoS 报告。2014 年，DDoS 攻击方式中出现了新的 DDoS 反射式放大攻击形式，该攻击基于 SSDP 协议利用一些智能设备进行反射式攻击，攻击带宽放大倍数最高可达 75 倍。在国内，在线游戏已进入 DDoS 攻击目标的前 3。在 2014 年 DDoS 攻击事件中，某次攻击事件流量超过 100Gbps。与 2014 上半年相比，广东省内被攻击的比例虽然下降，但是其下半年遭受攻击次数是上半年的一倍多。 UDP FLOOD 上升为重要 DDoS 攻击方式的原因之一，与反射式 DDoS 攻击有密切关系。此类攻击不需要占领大量的“肉鸡”，而且从被攻击者角度来看，所有数据包都是正常的，但海量数据最终严重损耗网络带宽资源。全球已发现 700 多万 SSDP 设备可能被利用进行 DDoS 攻击 18 点-23 点是 DDoS 开始攻击的主要时间段在线游戏已进入 DDoS 攻击目标前 3 由于一些基于 SSDP 协议的智能设备存在弱口令或者漏洞，且一般情况下防御薄弱，容易被攻击者利用，进而成为 DDoS 攻击源。攻击者选择这个时间段开始进行攻击，因为这段时间电脑在线数量多，网络流量比较大，使得攻击效果会“事半功倍”。在线游戏运营商被攻击事件的急速上升, 可能与攻击者通过勒索而牟取非法利益存在着联系，也有可能存在非正当商业竞争等原因。关键发现 1. 智能设备发起 DDoS 攻击数量明显增多 2. 广东依然是最严重的受害区域 3. 18 点-23 点是 DDoS 开始攻击的主要时间段 4. UDP FLOOD 成为最主要的 DDoS 攻击方式 5. 在线游戏已进入 DDoS 攻击目标前 3 6. 93% DDoS 攻击发生在半小时内预测 2015 1. DDoS 攻击峰值流量将再创新高 2. 反射式 DDoS 攻击技术会继续演进 3. DNS 服务将迎来更多的 DDoS 攻击 4. 针对行业的 DDoS 攻击将持续存在报告下载了解更多 DDoS 攻击防御信息 400-818-6868（7×24）特别声明 http://weibo.com/nsfocus 本次报告中涉及的所有数据，来源于绿盟科技的自身产品、网络监测和合作伙伴的提供。所有数据在进行分析前都已经过匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在报告中。 http://www.nsfocus.com.cn/4_research/4_6.html © Copyright 2014 NSFOCUS INFORMATION TECHNOLOGY CO,.LTD 目录 4 11 报告内容预测 2015 观点 1：智能设备发起 DDoS 攻击数量明显增多 4 事件 1：2014 年国内规模最大的 DDoS 攻击 ——1/3 攻击源是智能设备 4 观点 2：沿海省市是受攻击的集中地区, 广东依然是最严重的受害区域 DDoS 攻击峰值流量将再创新高 11 反射式 DDoS 攻击技术会继续演进 11 DNS 服务将迎来更多的 DDoS 攻击 11 5 针对行业的 DDoS 攻击将持续存在 11 观点 3：18 点-23 点是 DDoS 开始攻击的主要时间段 6 作者和贡献者 12 观点 4：UDP FLOOD 成为最主要的 DDoS 攻击方式 7 关注 DDoS 威胁报告 13 事件 2：SSDP 反射式 DDoS 攻击实例分析 8 观点 5：在线游戏已进入 DDoS 攻击目标前 3 10 观点 6：93% DDoS 攻击发生在半小时内 10 绿盟科技威胁响应中心，每天都在持续追踪 DDoS 威胁的发展态势报告内容观点 1：智能设备发起 DDoS 攻击数量明显增多近年来已监测到多起由智能设备发起的 DDoS 攻击，并且次数在逐渐增多。由于一些智能设备（例如网络摄像机）具有以下特点：  相对比较高的带宽  升级周期比较长，甚至可能自部署后从未升级  通常是 7*24 小时在线如果这些设备存在弱口令或者漏洞，则容易被攻击者利用，进而成为 DDoS 攻击源。绿盟科技近期对世界范围内的智能设备进行了监控, 已发现约 80 万该类设备可能被利用进行 DDoS 攻击，下图显示了其分布情况。事件 1：2014 年国内规模最大的 DDoS 攻击——1/3 攻击源是智能设备自 2014 年 12 月 10 日起，全球范围内 DNS 流量出现异常，针对该事件绿盟科技安全团队做出了快速的分析处理，此次 DNS 攻击事件波及全国大多数省份，从 10 日凌晨至 14 日，攻击在全国范围内依然时常发生。初步统计，此次攻击事件在全国范围内的攻击流量至少有 100G 以上，单节点高峰流量达到 70Gbps，其持续事件之长，攻击流量之大，属近年之最。经过样本分析发现，攻击者通过不断查询 a***k.org、n***c.com 等三个域名的随机二级域名的方法进行 DNS Flood 攻击。这次 DDoS 攻击的基本方法是利用僵尸网络查询游戏网站的随机二级域名，企图攻击该游戏网站的权威域名服务器（即 DNS Slow Drip DDoS 攻击）。由于国内的宽带用户通常将其电脑的 DNS 选项设置为各省的递归服务器，在大量肉鸡发起攻击（请求）后，导致递归服务器需要向外递归查询游戏网站的随机二级域名，从而极大地消耗了这些服务器的系统资源，造成运营商核心解析业务受到严重影响。这次 DDoS 攻击有如下 3 点值得关注的地方：  4 攻击源中有 1/3 左右是智能设备 2014 绿盟科技 DDoS 威胁报告报告内容  观点 1：智能设备发起 DDoS 攻击数量明显增多  国内 DNS 递归服务器是因牵连而受到严重影响  被攻击域名均属于在线游戏网站此外，以 2014 年 12 月为例回顾针对 DNS 服务的 DDoS 攻击事件（DNS FLOOD） EVENT OF 2014 DDoS ATTACK 攻击对象 DNS Simple ① 开始日期攻击流量持续时间缓解方法 12 月 01 日将近 25Gbps 约 11 小时部署 20Gb 清洗设备使用 Anycast 网络服务进行 DNS 流量清洗 1&1 Internet ② 12 月 09 日约 12 小时国内运营商 12 月 10 日 Telia 12 月 11 日 1 天多 12 月 21 日约 9.5 小时 12 月 22 日约 12 小时朝鲜 ③ ④ Rackspace ⑤ 至少 100Gbps 4 天多部署 DDoS 清洗设备将 DDoS 清洗设备部署到 DNS 之前 Source: 2014 NSFOCUS DDoS Threat Report 上表中若干攻击事件可能存在关联。这些攻击能够频频得手充分说明，从攻击者角度看攻击 DNS 服务是实现攻击目的既有力又有效的手段，这种选择也间接体现了目前 DNS 的安全防护状况，毕竟 DDoS 攻击目的就是企图造成资源耗尽，因此需要找出攻击受害者的“软肋”。如何读懂 DDoS 攻击事件报道中的流量 DDoS 攻击事件报道中提及攻击流量时，常见的流量单位是 pps（packets per second）或 bps （bits per second），前者还包括 Kpps、Mpps、Gpps 等，后者还包括 Kbps、Mbps、Gbps 等。无论前者还是后者，相邻两个单位之间的进率都是 1000，而不是 1024。例如：1000Kbps=1Mbps 观点 2：沿海省市是受攻击的集中地区, 广东依然是最严重的受害区域 2014 下半年广东依然是最严重的受害区域。与 2014 上半年相比，广东占攻击的比例虽然下降, 但是其下半年遭受攻击次数是上半年的 1 倍多，这充分反映了当前 DDoS 攻击活动的活跃程度。与 2013 下半年相比，变化最明显的是天津市，受害者数量不断上升，2013 年还在 10 名之外，到 2014 下半年已超过福建省位列第 4。在前 10 名受害区域中, 除内陆省份陕西与四川外，其它受害区域均属沿海省市。 ① ② ③ ④ ⑤ 5 http://blog.dnsimple.com/2014/12/incident-report-ddos/ http://blog.1and1.com/2014/12/10/information-on-the-dns-outage-at-11-on-december-9-2014 http://www.telia.se/privat/driftinformation/2014/December/Problem-med-surf-och-digital-tv-avhj-lpt http://www.northkoreatech.org/2014/12/23/north-koreas-internet-back-after-probable-attack/ https://status.rackspace.com/index/viewincidents?group=14&start=1419224400 2014 绿盟科技 DDoS 威胁报告报告内容  观点 2：沿海省市是受攻击的集中地区, 广东依然是最严重的受害区域观点 3：18 点-23 点是 DDoS 开始攻击的主要时间段下图表现了 2014 年 DDoS 攻击目标每半年的 DDoS 攻击开始时间。从中可以看出，在 2014 下半年 18 点-23 点（北京时间，GMT+8）是 DDoS 开始攻击的主要时间段（47.5%），其次是 12 点-17 点的时间段（26.2%）。攻击者主要选择 18 点-23 点开始进行攻击，这是因为这段时间网络流量比较大，使得攻击效果会“事半功倍”。 6 2014 绿盟科技 DDoS 威胁报告报告内容  观点 3：18 点-23 点是 DDoS 开始攻击的主要时间段 DDoS ATTACK TIME RANGE 攻击者主要选择18点-23点开始进行攻击，因为这段时间网络流量比较大，使得攻击效果会“事半功倍”。 % 各半年期内，当前统计