2018上半年DDoS攻擊報告：流量峯值達1.7Tbps

時間 2019-11-17

標籤上半年 ddos 攻擊報告流量峯值 1.7tbps tbps 欄目網絡爬蟲简体版

原文原文鏈接

歡迎你們前往騰訊雲+社區，獲取更多騰訊海量技術實踐乾貨哦~shell

2018年上半年DDoS攻防仍如火如荼發展，以IoT設備爲反射點的SSDP反射放大還沒有平息，Memcached DDoS又異軍突起，以最高可達5萬的反射放大倍數、峯值可達1.7Tbps的攻擊流量成爲安全界關注的新焦點。DDoS這一互聯網公敵，在各類防護設備圍追堵截的狀況下，攻擊者夜以繼日地鑽研對抗方法、研究新的攻擊方式；並且往平臺化、自動化的方向發展，不斷加強攻擊能力。這裏咱們從2018年上半年DDoS攻擊狀況的全局統計、DDoS黑色產業鏈條中的人員分工與自動化操做演進兩個方面進行分析闡述。安全

1、全局統計分析

1. 2013~2018年DDoS流量峯值狀況

DDoS攻擊流量峯值每一年都不斷地被超越，今年3月份針對某遊戲攻擊的Memcached DDoS，其峯值1.7Tbps達到了一個新的高度。雖然已經關閉了大量的Memcached的UDP端口，但其5萬的反射放大倍數，仍使攻擊者可利用少許未關停UDP端口的Memcached反射點，打出大流量攻擊。因此短短的三個月，Memcached DDoS已成爲反射放大的一股主要力量。服務器

2. DDoS攻擊行業分類狀況

隨着各行各業的互聯網化，DDoS的攻擊面也愈來愈多，這裏咱們列出了14種主要行業。遊戲行業因其日流水量最大、變現快，一直站在利益的風口浪尖上，當仁不讓地成爲DDoS首選的攻擊目標，也是上半年各行業中遭受攻擊最多的行業。值得關注的是在醫療、物聯網、教育等傳統行業互聯網化後，也遭受到了不一樣程度的攻擊，且呈上升的趨勢。微信

在遊戲行業當中，手機遊戲已超過了PC客戶端遊戲成爲了DDoS攻擊的主要目標。H5遊戲的崛起，也成爲了DDoS的關注點，佔總體攻擊的1.4%。這裏咱們首次把遊戲的第三方服務歸結到遊戲中，遊戲的飛速發展催生了大量的第三方服務商，包括但不限於遊戲虛擬財產買賣平臺、數據分析、電競、美術/音樂外包、遊戲雲服務、遊戲資訊等各個環節。網絡

3. DDoS攻擊的類型佔比統計

在攻擊類型中，反射放大佔比最多，約爲55.8%。Memcached做爲今年三月以來的新興反射放大力量，迅速被DDoS黑產界利用，其在總體的佔比中也至關大。反射放大佔好比此之多的一個緣由是DDoS黑產的自動平臺化，即無需人工干預，徹底自動流程可完成攻擊的全部操做。運維

SYN Flood 排名第二，其一直是DDoS的主要攻擊手法。隨着DDoS黑產的平臺化，SYN Flood的載體也發生了改變，由海量的肉雞漸漸轉移到了發包機上（以僞造源IP的SYN Flood爲主）。工具

HTTP Flood做爲7層攻擊的主要方式，由於要創建完整的TCP鏈接，不可以僞造源IP，因此仍是以肉雞側發動攻擊爲主。但云鼎實驗室監測發現，HTTP Flood也開始向代理服務器和發包機發展。在互聯網上獲取海量的代理服務器相比肉雞的抓取容易不少，以代理服務器頻繁地變換真實的IP，再加上交互的模擬，可使HTTP Flood很難被發現。而發包機的方式，雖不能變換IP，但能夠頻繁變換UserAgent的內容，以突破針對HTTP Flood的防護。性能

下圖給出了幾種反射放大的反射源地域分佈狀況，從抽樣數據統計可見，LDAP、NTP、Memchached爲主的反射源Top 10的國家重合度很高，以美國、中國、歐洲國家爲主。SSDP反射源因IoT設備的問題，致使其地域分佈有所不一樣。測試

4. DDoS所對應的C2地域分佈

近年來國內的互聯網安全措施持續增強，經過監控發現，在國內的C2漸漸有外遷的現象。還有一些持有高性能肉雞的黑客，看到了虛擬貨幣的逐利遠遠大於DDoS攻擊，將一部分高性能肉雞轉去挖礦。鑑於以上緣由針對用於DDoS的C2監控難度愈來愈大。ui

5. 家族狀況

經過對攻擊家族的監控，主要以Xorddos，Billgates，Mayday，Dofloo，Nitol，Darkshell等家族爲主。Xorddos是發起攻擊最多的家族，甚至天天多達上萬次的攻擊；攻擊類型多以SYN Flood爲主、其餘攻擊類型爲輔的組合攻擊。Nitol家族是發起HTTP Flood攻擊最多的家族，還會輸出SYNFlood, ICMP Flood, TCP Flood等攻擊。以上家族攻擊的統計中，針對各個行業的攻擊都有涉獵，遊戲行業無疑是攻擊的首選。

6. 被攻擊IP的地域狀況

DDoS攻擊目標按地域分佈統計中，國外受攻擊最多的國家是美國，其次是韓國、歐洲國家爲主，DDoS攻擊的主要目標仍是彙集在互聯網發達的國家中。

在國內各省的統計來看，受到DDoS攻擊較多的省份在長三角、珠三角和京津片區，即中國的互聯網發達省份，其中以江浙兩省最多。

7. 每個月百G以上攻擊流量狀況

以每個月超過百Gbps的攻擊次數統計來看，百Gbps流量分層佔比相差很少。100-200Gbps佔比最大，基本都在75%以上，而超過300Gbps的流量攻擊次數較少。

8. 攻擊流量帶寬分佈狀況

在攻擊流量的分層統計上，1-5G的攻擊次數最多，佔比約38%。經過統計可獲得，大多數的攻擊爲100Gbps如下的流量攻擊，超過百G的攻擊累計佔總攻擊次數不到5%。總體的攻擊流量的平均峯值約在5.2Gbps左右。

9. 攻擊時長分佈佔比狀況

在攻擊時長來看，佔比最可能是1min如下的攻擊，約佔38.7%。其主要攻擊方式是瞬時攻擊，以極大的流量直接癱瘓掉攻擊的服務，致使大量用戶掉線、延遲、抖動等。5-10min也佔至關大比例，約28.7%。抽樣統計得出，平均攻擊時長約1h，單次攻擊最長時長約54天。

2、DDoS黑色產業鏈條演進

咱們從黑產中的人員分工與自動化操做兩個方面進行DDoS發展的闡述。

1. 傳統DDoS攻擊

早期的DDoS通常是黑客一我的的遊戲，從工具開發、bot傳播、接單、攻擊等都獨自完成。隨着互聯網經濟的飛速發展，網絡攻擊獲利愈來愈多，催生了DDoS攻擊的大量需求，例如競品的攻擊、DDoS勒索等。高額的利益便會催生對應工做的精細化分工，DDoS的黑產也不例外，咱們針對傳統DDoS攻擊的專業化人員分工進行分析：

發單人：也能夠稱爲金主，是DDoS攻擊後的直接獲利者，提出攻擊需求。
擔保商：也能夠稱爲中間人，是DDoS黑產中較出名的人物，在各個不一樣分工人員間作「信任」擔保，與交易環節的資金中轉工做。擔保商也會本身架設接發單平臺或即時通信工具羣等形式來擴大本身的知名度，帶來更多的DDoS攻擊業務。
接單人：也能夠稱爲攻擊手，經過操做C2服務器或發包機直接發起DDoS攻擊。
流量商：經過擔保商或直接將國外購買的流量服務器，售賣給攻擊手。
肉雞商：手頭擁有大量的肉雞資源，經過擔保商或直接將肉雞售賣/出租給攻擊手。
黑客軟件做者：開發botnet程序，反射放大程序等各類DDoS工具。

這樣的多種分工，使DDoS在技術難度上被拆解，技術門檻下降，部署更容易。同時給互聯網安全人員的分析與溯源帶來更大的困難。在分析中咱們發現，有一些人員也可能同時擔當多個角色。

雖然這種比較早期的DDoS攻擊分工已十分紅熟，但仍是存在必定的不足之處：

成單難以保障：擔保商、接單人都具備不肯定性，發單人付費後，可能會存在針對目標的攻擊沒有效果或根本沒有發起攻擊的狀況，給發單人形成經濟損失。
響應週期較長：從發單人提出需求到真正達到攻擊效果，須要發單人、擔保商(或其搭建的各類對接平臺/即時通信工具羣等)、接單人等幾個環節，時間上須要幾小時到幾天不等。
攻擊效果不能保證：攻擊手通常手動遠程操做C2服務器或發包機針對目標服務器進行攻擊，攻擊手所掌握的botnet或發包機規模不一樣，攻擊的流量達不到保證。

2. 目前DDoS攻擊

鑑於傳統DDoS攻擊的不足，促使了DDoS的多個環節的自動化發展，頁端DDoS攻擊平臺即是發展的結果之一。其高度集成管理，在成單率、響應時長、攻擊效果方面都獲得了可行的解決。在人員分工上，有了新的發展：

擔保商淡出DDoS黑產圈，發單人可直接在頁端DDoS攻擊平臺下單、支付費用；且能夠根據本身的攻擊目標的狀況選擇攻擊方式與流量大小。保障了百分之百的成單率。

攻擊手已被自動化的攻擊平臺取代，不須要手動操做攻擊。從發起攻擊命令，到真正開始攻擊，通常延時在10s左右，不再用等幾小時或幾天了。

發包機提供人替代了流量商角色，且完成發包機的程序部署，測試，最終給出發包機的攻擊類型、穩定流量、峯值流量等各類定量且穩定的攻擊能力。穩定的攻擊流量，保障了最終的攻擊效果。

站長成爲了頁端DDoS攻擊平臺的核心人員，進行平臺的綜合管理、部署、運維工做。例如：DDoS攻擊套餐管理、註冊用戶(金主)管理、攻擊效果與流量穩定保障、及後續的升級等。

不一樣的頁端DDoS攻擊平臺也有不一樣的實現，但其操做流程、核心攻能都很類似，下圖給出了其技術的解讀。今後圖中可見，在用戶註冊、套餐付費、攻擊發起，在用戶側均可以完成，不須要其餘人員參與。相對比傳統DDoS攻擊來看，已完成了全自動的無人值守攻擊方式。在圖中的調用傳統肉雞的攻擊形式不多，主要是調用發包機的攻擊方式。發包機中主要配置的是反射放大的各類程序和其對應的反射源列表，偶爾會有僞造源IP的SYN Flood、動態變化UserAgent的HTTP Flood (如goldeneye工具)。