2017年DDoS與Web應(yīng)用攻擊態(tài)勢(shì)之我見

日前，綠盟科技聯(lián)合中國電信云堤發(fā)布了《2017年DDoS與Web應(yīng)用攻擊態(tài)勢(shì)報(bào)告》（以下簡稱“報(bào)告”）?！秷?bào)告》從規(guī)模、頻度、攻擊源、類型、地域、行業(yè)等多維度，多視角全面總結(jié)和呈現(xiàn)2017年全年攻擊態(tài)勢(shì)的變化情況，特別對(duì)2017年熱門的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)進(jìn)行了深度分析并總結(jié)了其發(fā)展趨勢(shì)。最后，結(jié)合當(dāng)前DDoS和Web應(yīng)用攻擊的威脅形式，給出了安全防護(hù)的解決方案。

以下是對(duì)《報(bào)告》部分重點(diǎn)內(nèi)容的解讀。

2017年DDoS攻擊態(tài)勢(shì)盤點(diǎn)

1.2017年DDoS攻擊規(guī)模不斷增大，攻擊峰值不斷突破新高。

一方面，DDoS攻擊服務(wù)化、產(chǎn)業(yè)化；另外一方面，由于物聯(lián)網(wǎng)的加入，可利用的攻擊源種類越來越多，針對(duì)物聯(lián)網(wǎng)的Botnet也在不斷升級(jí)換代。這些都使得DDoS攻擊成本越來越低，攻擊規(guī)模不斷增大。從發(fā)展趨勢(shì)看，企業(yè)面臨的DDoS攻擊威脅將會(huì)逐年在擴(kuò)大。

2017年攻擊總流量64萬 TBytes，比 2016年 增 長79.4%。

圖1

2.DDoS攻擊活動(dòng)受政策監(jiān)管和利益驅(qū)動(dòng)的影響明顯

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施，而 DDoS攻擊總流量從6月份開始明顯呈下降趨勢(shì)。通過攻擊溯源分析，發(fā)現(xiàn)下半年基于Windows和Linux/Unix的主機(jī)類型的攻擊源明顯減少，而常用于小規(guī)模攻擊的物聯(lián)網(wǎng)設(shè)備攻擊源顯著增多，前者明顯計(jì)算性能更高。面對(duì)國家政策的威懾和監(jiān)管的強(qiáng)力整治，黑產(chǎn)將掌握的“高性能”Botnet資源從犯罪成本較高的DDoS攻擊活動(dòng)轉(zhuǎn)而投向了犯罪成本相對(duì)較低但收益更高的挖礦活動(dòng)中，反映了黑產(chǎn)對(duì)攻擊資源的投入受政策監(jiān)管和利益驅(qū)動(dòng)的影響明顯。

圖2

3.Linux/Unix類主機(jī)和服務(wù)器構(gòu)成穩(wěn)固的DDoS攻擊源（55%），IoT類設(shè)備占 12%。

圖3

物聯(lián)網(wǎng)（IoT）攻擊源中，以家用路由器或調(diào)制解調(diào)器類設(shè)備占比最高（69.7%）。

圖4

雖然IoT較多被用于小型DDoS攻擊，但I(xiàn)oT安全問題突出（漏洞多、修復(fù)難度大），種類多數(shù)量巨大，且針對(duì)其的惡意程序不斷在升級(jí)換代，我們并不能輕易對(duì)來自IoT Botnet的威脅放松警惕。

4.Memcached新型反射攻擊1.35Tbps攻擊峰值引發(fā)各方關(guān)注

雖然反射攻擊頻發(fā)，但從攻擊總流量、攻擊規(guī)模及可用的反射器數(shù)量來看，以NTP Reflection Flood為代表的傳統(tǒng)類型反射攻擊活動(dòng)在放緩。就在人們即將放松對(duì)反射攻擊的警惕時(shí)，2018年年初一種新型的反射攻擊——Memcached反射放大攻擊以1.35Tbps引發(fā)各方關(guān)注。據(jù)綠盟科技威脅情報(bào)中心的統(tǒng)計(jì)數(shù)據(jù)顯示，全球范圍內(nèi)存在被利用風(fēng)險(xiǎn)的Memcached服務(wù)器達(dá)104,506臺(tái)。

《報(bào)告》呼吁，各地區(qū)、各行業(yè)客戶保持高度警惕，謹(jǐn)防Memcached反射攻擊對(duì)服務(wù)器造成直接沖擊或利用Memcached反射攻擊作為障眼法混合其他攻擊造成信息安全危害。關(guān)于Memcached DRDoS的具體的防護(hù)和加固建議請(qǐng)?jiān)斠姟渡疃绕饰鯩emcached 超大型DRDoS攻擊》。

物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)發(fā)展趨勢(shì)

來自物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的威脅將繼續(xù)擴(kuò)大。

2017年全球暴露的物聯(lián)網(wǎng)設(shè)備約6200萬，其中路由器設(shè)備最多，總數(shù)約4900萬臺(tái)，國內(nèi)暴露的路由器設(shè)備約1092萬臺(tái)。如果假設(shè)這部分暴露的設(shè)備被感染的概率僅為1%，那么僅國內(nèi)被感染的路由器設(shè)備就能輕松打出T級(jí)別的DDoS攻擊。按照當(dāng)前物聯(lián)網(wǎng)設(shè)備令人堪憂的安全狀況和修復(fù)情況看，暴露在網(wǎng)絡(luò)中的這些設(shè)備被感染的概率要遠(yuǎn)高于1%，這些資源一旦掌握在不法分子手中，威脅將不可估量。

圖5

與此同時(shí)，針對(duì)物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)變種不斷出現(xiàn)，能力不斷升級(jí)?！秷?bào)告》在第六章總結(jié)出了2017年物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的發(fā)展的六大趨勢(shì)。并從寄宿平臺(tái)、傳播手法、潛在威脅方面對(duì)2017年重點(diǎn)的Bontet做對(duì)比分析。

Web應(yīng)用攻擊態(tài)勢(shì)盤點(diǎn)

1.近3/4站點(diǎn)遭受過任意類型的Web應(yīng)用攻擊

圖6

2.92.2%的Web應(yīng)用攻擊是針對(duì)互聯(lián)網(wǎng)企業(yè)的

圖7

3.最常利用的攻擊方式XSS跨站腳本攻擊占37.7%、注入類攻擊20.7%

圖8