2018上半年互联网 DDoS 攻击趋势分析
录入:胡长生   建立时间: 2018-06-22  

什么是DDoS 攻击?

首先从一个比方来深入理解什么是DDOS。
一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?(只为举例,切勿模仿)恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成,需要叫上很多人一起。嗯,网络安全领域中DoS和DDoS攻击就遵循着这些思路。

2018年上半年 DDoS 攻防仍如火如荼发展,以 IoT 设备为反射点的 SSDP 反射放大尚未平息,Memcached DDoS 又异军突起,以最高可达5万的反射放大倍数、峰值可达1.7 Tbps 的攻击流量成为安全界关注的新焦点。

DDoS 这一互联网公敌,在各种防御设备围追堵截的情况下,攻击者夜以继日地钻研对抗方法、研究新的攻击方式;而且往平台化、自动化的方向发展,不断增强攻击能力。腾讯安全云鼎实验室主要从2018年上半年 DDoS 攻击情况的全局统计、DDoS 黑色产业链条中的人员分工与自动化操作演进两个方面进行分析阐述。

在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial of Service),即拒绝服务攻击,针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。
DdoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机(肉鸡)来发起进攻,以比从前更大的规模来进攻受害者

此外,就目前企业用户面临的严峻的 DDoS 攻击威胁,腾讯云也提出了大禹 GDS 全球一体化 DDoS 防护体系,为用户的业务保驾护航。

拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。

DDOS(分布式拒绝服务):凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。 也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。
虽然同样是拒绝服务攻击,但是DDOS 和DOS 还是有所不同,DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包, 从而造成网络阻塞或服务器资源耗尽而导致拒绝服务, 分布式拒绝服务攻击一旦被实施, 攻击网络包就会犹如洪水般涌向受害主机, 从而把合法用户的网络包淹没, 导致合法用户无法正常访问服务器的网络资源, 因此, 拒绝服务攻击又被称之为 “洪水式攻击” ,常见的 DDOS 攻击手段有 SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood 等;而 DOS 则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、 主机死机而无法提供正常的网络服务功能, 从而造成拒绝服务, 常见的 DOS 攻击手段有 T earDrop、 Land、 Jolt、 IGMP Nuker、 Boink、 Smurf、 Bonk、OOB 等。就这两种拒绝服务攻击而言,危害较大的主要是 DDOS 攻击,原因是很难防范,至于 DOS 攻击,通过给主机服务器打补丁或安装防火墙软件就可以很好地防范DDOS 的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞, 合法网络包被虚假的攻击包淹没而无法到达主机; 另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU 被内核及应用程序占完,造成的无法提供网络服务。
如何判断网站是否遭受了流量攻击可通过 Ping 命令来测试,若发现 Ping 超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了, 基本可以确定是遭受了流量攻击。 当然, 这样测试的前提是你到服务器主机之间的 ICMP 协议没有被路由器和防火墙等设备屏蔽, 否则可采取 T elnet 主机服务器的网络服务端口来测试,效果是一样的。不过有一点可以肯定,假如平时 Ping 你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都 Ping 不通了或者是严重丢包,那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
相对于流量攻击而言, 资源耗尽攻击要容易判断一些, 假如平时 Ping 网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而 Ping 还可以 Ping 通,则很可能遭受了资源耗尽攻击 ,此时若在服务器上用Nistat -na命令观察到有大量的SYN_RECEIVED、TIME_W AIT、FIN_W AIT_1 等状态存在,而EST BLISHED 很少,则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping 自己的网站主机 Ping 不通或者是丢包严重,而 Ping 与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序 CPU 利用率达到 100%无法回应 Ping 命令,其实带宽还是有的,否则就 Ping 不通接在同一交换机上的主机了。

一、全局统计分析

1. 2013~2018年 DDoS 流量峰值情况

DDoS 攻击流量峰值每年都不断地被超越,今年3月份针对某游戏攻击的Memcached DDoS,其峰值1.7 Tbps 达到了一个新的高度。虽然已经关闭了大量的 Memcached 的UDP 端口,但其5万的反射放大倍数,仍使攻击者可利用少量未关停 UDP 端口的 Memcached 反射点,打出大流量攻击。所以在短短的三个月里,Memcached DDoS 已成为反射放大的一股主要力量。

2. DDoS攻击行业分类情况

随着各行各业的互联网化,DDoS 的攻击面也越来越多,这里我们列出了14种主要行业。游戏行业因其日流水量最大、变现快,一直站在利益的风口浪尖上,当仁不让地成为 DDoS 首选的攻击目标,也是上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后,也遭受到了不同程度的攻击,且呈上升的趋势。

在游戏行业当中,手机游戏已超过了 PC 客户端游戏成为了 DDoS 攻击的主要目标。H5 游戏的崛起,也成为了 DDoS 的关注点,占整体攻击的1.4%。这里我们首次把游戏的第三方服务归结到游戏中,游戏的飞速发展催生了大量的第三方服务商,包括但不限于游戏虚拟财产买卖平台、数据分析、电竞、美术/音乐外包、游戏云服务、游戏资讯等各个环节。

 

 

3. DDoS 攻击的类型占比统计

在攻击类型中,反射放大占比最多,约为55.8%。 Memcached 作为今年三月以来的新兴反射放大力量,迅速被 DDoS 黑产界利用,其在整体的占比中也相当大。反射放大占比如此之多的一个原因是 DDoS 黑产的自动平台化,即无需人工干预,完全自动流程可完成攻击的所有操作。

SYN Flood 排名第二,一直是 DDoS 的主要攻击手法。随着 DDoS 黑产的平台化,SYN Flood 的载体也发生了改变,由海量的肉鸡渐渐转移到了发包机上(以伪造源 IP 的 SYN Flood 为主)。

HTTP Flood 作为7层攻击的主要方式,因为要建立完整的 TCP 连接,不能够伪造源 IP,所以还是以肉鸡侧发动攻击为主。但云鼎实验室监测发现,HTTP Flood 也开始向代理服务器和发包机发展。在互联网上获取海量的代理服务器相比肉鸡的抓取容易很多,以代理服务器频繁地变换真实的IP,再加上交互的模拟,可以使 HTTP Flood 很难被发现。而发包机的方式,虽不能变换 IP ,但可以频繁变换 UserAgent 的内容,以突破针对 HTTP Flood 的防御。

总结与趋势展望

综上所述,上半年的 DDoS 攻击无论从流量的角度还是从次数的角度来看,都上升了一个新的高度。

DDoS 黑色产业链的人员与技术的演进降低了整体 DDoS 入门的门槛,在溯源监控中发现,有的 DDoS 黑产团伙平均年龄 20 岁左右,甚至有未满 16 周岁的学生也是其中的一员。

在 DDoS 的整体防御上,建议用户采用具备大带宽储备和 BGP 资源的云服务商防御方案。如腾讯云大禹拥有30线 BGP IP 接入资源,丰富的场景化防护方案。

随着智能 AI 设备与物联网的飞速发展, DDoS 的新宿主平台不断出现,DDoS 攻防战会越来越激烈。可以预期,2018年下半年 DDoS 会呈现出多样化的发展:

1)类似于 Memcached DDoS 的新反射放大方式会不断的被曝光与利用;

2)智能设备的发展会催生出新平台下的 botnet 产生,且这些平台基本防护措施薄弱,更成了DDoS 的温床;

3)随着打击 DDoS 力度的不断加大, P2P 式僵尸网络或半去中心化变种方式有望重回风口,让 DDoS 难于监控与溯源分析;

4)基于暗网的 DDoS 平台将逐渐替代目前流行的页端 DDoS 攻击平台,使其平台的存活时间更长。