网络安适“新常态”呼吁多方协同作战
从恶名昭著的“WannaCry”勒索病毒,到阴魂不散的“暗云Ⅲ”,再到席卷全球 140 个金融机构的“匿名者(Anonymous)”。在网络安适变乱频发,网络安适攻击“常态化”的当下,如何及早洞察网络安适局势、了解网络攻击技术的发展以作出有效应对成为了大众关注的焦点。日前,绿盟科技发布了《 2017 上半年DDoS与Web应用攻击态势陈诉》(下简称“该陈诉”),针对当前高发的DDos攻击与Web应用攻击态势进行了总结和盘点,并提供了针对性的防护办法与解决方案。
2017 年上半年DDos攻击态势盘点:
1、攻击总次数下降,单次攻击峰值上升。
在绿盟科技上半年监测到的 10 万余次DDoS攻击中,DDoS攻击总次数比 2016 下半年下降30%,这符合以往的“年初DDoS攻击放缓,年中攻击活跃”的趋势。
上半年单次DDoS攻击平均峰值为32Gbps,比拟 2016 年下半年升高47.5%。
2、长时攻击增多,频率增大。
2017 上半年,长时攻击增多,短时攻击略有下降,但仍然占主导地位。单次DDos攻击平均攻击时长为 9 小时,,比拟 2016 年下半年呈回升趋势,增长28.6%。
有10.6%的目标IP曾经遭受过长达 24 小时以上的攻击,其中38.3%曾在 1 个季度内遭受过 2 次或更多次DDoS攻击,最高达到 20 次/季度。这与攻击者的攻击企图密切相关,追求高利润的攻击者比起那些为了好玩发起攻击的攻击者来说,他们更愿意投入资源发起更持久的DDoS攻击,如果一直没能达到攻击的目的或预期的收益,就会再次发起攻击,直至达成目标。
3、超大流量攻击数量显著上升,SYN Flood大流量攻击明显增多。
2017 年上半年,300Gbps的超大流量DDoS攻击呈增长趋势,共发生 46 次, Q2 比Q1 增加了720%
特别值得注意的是,SYN Flood大流量攻击明显增多,其在大流量攻击中占比明显上升。尤其在大于300Gbps的超大流量攻击中,SYN Flood占比高达91.3%,比拟去年增长了52. 3 个百分点。
4、反射攻击整体活动放缓。
上半年,反射攻击整体活动放缓,Q2 总流量比Q1 下降80%,其中最明显的是DNS反射攻击,总流量下降301%。NTP Reflection Flood和SSDP Reflection Flood攻击为主要攻击类型。
各类反射攻击流量的减少,最高攻击峰值的降低,都跟各类反射攻击在全球范围内可用的反射器数量逐年减少有关。这主要有两方面的原因,一是各运营商不停对反射攻击进行治理,如实施URPF(Unicast Reverse Path Forwarding)、BCP38 等策略;二是很多存在漏洞的办事器都已经被打了补丁或者升级到较新版本,再或者直接关闭了本不需要开启的办事。
5、物联网僵尸网络肆虐。
绿盟科技威胁情报中心(NTI)数据显示, 2016 下半年开始火遍全球的Mirai,其活动仍在继续。除了Mirai,其他基于物联网的恶意程序也在加紧抢占物联网资源。目前物联网僵尸网络的种类越发增多,用途也更为广泛。例如Mirai僵尸网络新变种就已经拓展了本身的能力,加入了比特币挖掘组件。
6、中国仍是首要攻击源与攻击目标。
2017 上半年,中国依然是DDoS攻击受控攻击源最多的国家,发起攻击次数占全部的46.6%,其次是美国和俄罗斯,别离占3.0%和2.0%。中国发起DDoS攻击次数的Top5 省份别离为江苏、云南、北京、广东、福建,合计占比达50.3%。
2017 上半年,受攻击最严重的国家也是中国,攻击次数占全部被攻击国家的64.6%,其次是美国和加拿大,别离占18.1%、2.5%。受攻击严重的Top5 省份别离为广东、浙江、福建、江苏、北京,合计占比达68%。
2017 年上半年Web应用攻击态势盘点:
1、攻击覆盖广、频率高。
2017 上半年,攻击者对NSFOCUS所防御的Web站点发起了2, 465 万次Web应用层攻击。其中有82%的网站在 2017 上半年曾遭受Web应用攻击,单个站点日平均被攻击次数为 21 次。
2、近二成攻击源可提前识别。
