2018年(nián)網絡安全威脅報(b↔£ào)告：發起DDOS攻擊的(de)物(wù)✘✔≤∏聯網“肉雞”規模劇(jù)增

DDoS攻擊是(shì)最常見(jiàn)的(de)一(yī)種網絡安全威脅，主要(y±&≥ào)就(jiù)是(shì)靠大(dà)量虛Ω ✔假流量攻擊目标，耗盡網絡帶寬和(hé)服務器(qì)資源，導緻正常用(✘✘ "yòng)戶無法使用(yòng)。DDoS攻擊是(shì)利用(yòng)TCP協議(yì)“三次握手>'”的(de)漏洞進行(xíng)的(de)，所有(yǒu)目前還×÷¶♥(hái)沒有(yǒu)能(néng)夠徹底解決的(de)方法。所以對± ‌(duì)于任何一(yī)個(gè)企業>→(yè)或者組織而言，DDOS攻擊都(dōu)是(shì)一(yī)個(gè)無法忽視(shì)的(de)網絡安•♠全威脅。

根據墨者安全相(xiàng)關數(shù)據顯示，2018年(<♦nián)上(shàng)半年(nián)與2017年(nián)₽↕‌下(xià)半年(nián)相(xiàngε↑β)比，無論是(shì)攻擊規模還(hái)是(shì)影(yǐ>∞ng)響，DDOS攻擊都(dōu)出現(x×←∞✔iàn)大(dà)規模上(shàng)漲。尤其是(shì)物(w±βù)聯網“肉雞”數(•Ω§®shù)量大(dà)幅度增加，導緻DDOS攻±¶擊規模越來(lái)越大(dà)。通(tōng)過數♣γ(shù)據分(fēn)析發現(xiàn)，在2018年(nián)上(s←≠hàng)半年(nián)裡(lǐ)，絕大(dà)部分(✔±♣∏fēn)DDoS攻擊都(dōu)是(shì¥♦)TCP SYN攻擊，Satori和(hé)Anarchy這(zhè)₹≠兩個(gè)專門(mén)利用(yòng∞∑✘∑)0 day漏洞發動攻擊的(de)僵屍網絡是(shì)導緻近(j←±↑ìn)期DDoS攻擊數(shù)量猛增的(de)罪魁禍首。攻擊者可(kě)ε✘以通(tōng)過增加單獨數(shù)據包的(de)大(dà)小(x$​™δiǎo)來(lái)控制(zhì)DDoS攻擊的(de)規模↕ε∏ε和(hé)影(yǐng)響度，其中數(s™£‍εhù)據包的(de)大(dà)小(xiǎo)大(dà)約在887到(dà •o)936個(gè)字節區(qū)間(jiān)。

DDoS攻擊向量

基于UDP的(de)攻擊是(shì)目前✘‌×λ主要(yào)的(de)DDoS攻擊向量，$ ↑現(xiàn)在有(yǒu)很(hěn)多(duō✘​β)攻擊者都(dōu)在利用(yòng)這(zhè)種無連接✔π$π和(hé)無會(huì)話(huà)的(de)網絡協議(yì)來÷"£®(lái)發動高(gāo)效的(de)攻擊，因為(wèi↓≤₹)他(tā)們在這(zhè)個(gè)過程中不(bù)需要(yào)進行(xí‍✔ng)初始化(huà)握手連接，而且數(shù)✘β 據流也(yě)不(bù)會(huì)受到(dào)發送速率™φ★₹的(de)限制(zhì)。

UDP(3,407 attacks/31.56% of total a$≤<ttacks)

一(yī)般來(lái)說(shuō)，pingσ₹數(shù)據包主要(yào)是(shì)用(yòng)☆σ∞™來(lái)測試網絡連通(tōng)性的(de)，而攻擊者可(kě)以通(t↓♦Ωōng)過自(zì)制(zhì)的(de)工(g♥©"ōng)具并使用(yòng)ping數(shù)據包→→§♦來(lái)讓目标網絡出現(xiàn)過載的(de)情況。

ICMP(1,006 attacks/9.32% of total Ω attacks)

在基于SYN的(de)攻擊活動中，攻擊者β₽可(kě)以使用(yòng)大(dà)量SYN數(shù)據包（ACK）來(lε€↑ái)對(duì)目标網絡執行(xíng)DDoS♠×攻擊，這(zhè)種方式同樣會(huì)讓目标服務器(qì)出現(x ∞✘iàn)拒絕服務的(de)情況（過載）。

TCPSYN (1,997 attacks/18.50% of total a≠≤  ttacks)

在TCP協議(yì)三次握手的(de)過程中，攻擊者§‍☆僞造大(dà)量的(de)虛假ip,向服↑♣§務器(qì)發送SYN包，服務器(qì)在接收到(dào)SYN包後,會≈$γ(huì)返回響應,并進入SYN_RECV狀态,等待客戶端的(de)→↕α确認，但(dàn)是(shì)僞造的(de)ip肯®§定不(bù)會(huì)給予響應,于是(shì)服務器±♥™∞(qì)以為(wèi)數(shù)據包丢失,不(δ<bù)斷重發。這(zhè)些(xiē)僞造的(de)SY≠<'✘N包将長(cháng)時(shí)間(jiān)占用(yòng)未連接隊列，∑©導緻正常的(de)SYN請(qǐng)求因為(wèi)隊列滿而被丢棄φ® ，從(cóng)而引起網絡堵塞甚至系統癱瘓。

同時(shí)，墨者安全還(hái)發現≤≥ ​(xiàn)在很(hěn)多(duō)其他(tā)的(de✘")DDoS攻擊活動中，還(hái)會(huì)涉及到(dào)包≈₽♠括ICMP、CLDAP、TCP SYN、NTP放(fàng)大(≠✘♦ dà)和(hé)UDP在內(nèi)的(de)攻擊向量，這πλ§(zhè)些(xiē)大(dà)約占47.97%。而在大(d±♥à)規模DDoS攻擊活動中，主要(yàoδ♠)采用(yòng)的(de)都(dōu)是(shì)TCP α SYN和(hé)UDP多(duō)向量融合的(de)方式，尤其是(shì‍≠)那(nà)些(xiē)攻擊流量超100Gb​£ps的(de)DDoS攻擊活動。絕大(dà)部分(fēn)的(§©de)DDoS攻擊（55.28%）持續時(shí)間(jiān)都  ♣(dōu)不(bù)會(huì)超過90分(fēn)鐘(zhōαδ>ng)，40.1%的(de)攻擊持續時(shí)間(jiān)會(h∏★>uì)在90分(fēn)鐘(zhōng)至1200分∞✔↑☆(fēn)鐘(zhōng)之間(jiān)，僅有(yǒu)4ββγ.62%的(de)攻擊會(huì)持續超過1200分≥±∞(fēn)鐘(zhōng)。從(cóng)流量方面來(€‌↔©lái)看(kàn)，64.13%的(de)攻擊活動流量小(♥♠♦÷xiǎo)于10Gbps，35.87%的(de)攻擊活動流量高(gāo)φ★ 于10Gbps。

美(měi)國(guó)和(hé)中國(guó)是(shì)目前DDoS攻擊的>‍≤(de)主要(yào)來(lái)源地(dì)α≤區(qū)，緊随其後的(de)分(fēn)别是(shì)法國 φ(guó)、德國(guó)和(hé)俄羅斯。

在如(rú)今這(zhè)個(gè)互聯網環境下(x₹∑ ià)，企業(yè)必須重視(shì)自(zì)身(shēn)的 ‍∑(de)網絡安全問(wèn)題，根據自(zì)身(shēn)情況部署相(xi☆>φ‍àng)應的(de)網絡防護措施。當我們發現(xiàn)網站(zhàn)被©≥∑Ω攻擊的(de)時(shí)候不(bù)要(yào)過度驚慌失£¶措，先查看(kàn)一(yī)下(xià)網∑&λγ站(zhàn)服務器(qì)是(shì)不§$"‍(bù)是(shì)被黑(hēi)了(le)，開(kāi)啓IP禁→γ‌PING，可(kě)以防止被掃描，關閉不(bù)需要(yàσ ™o)的(de)端口，接入墨者安全高(gāo)防，保障企業(yè)網絡安全。→₹