2015年8月24日星期一

DDoS态势报告 DDoS攻击两极分化

  近日,国内网络安全公司绿盟科技发布了2015 H1 DDoS威胁报告。报告发现近期的DDoS攻击呈现两极分化的局面,大流量攻击不断增长,按照此趋势足以对互联网骨干网络造成威胁(>100G的攻击有33起),并开始走向云端攻击的形式;与此同时,小流量攻击并没有消失(1分钟以下占42.74%),而是转变为脉冲攻击及慢速攻击,主要针对各行业中的业务设计不合理的环节,这些攻击很容易导致用户的业务缓慢甚至无法进行。而且,报告发现有越来越多的攻击者混合使用多种形式,让用户防不胜防,这些混合化攻击中,以大流量混合攻击为主(72%)。

  大流量攻击呈现增长趋势,过百G的攻击越来越多;

  近年,美国联邦通信委员会(FCC)CC对宽带重新定义,下行速度从 4Mbps 调整至 25Mbps,上行速度从 1Mbps 调整至3Mbps。全球的互联网用户2008-2012共4年的年平均增长率高达12%,2013互联网用户数比例已经超过人口的37.96%,预期在2015年用户数量可以超过30亿。

  十二五以来,国内随着“宽带中国”战略实施方案的推进,城市和农村家庭宽带接入能力逐步达到20兆比特每秒(Mbps)和4Mbps,部分发达城市达到100Mbps,宽带首次成为国家战略性公共基础设施。根据CNNIC的统计,中国国际出口带宽呈现非常快速的增长趋势。与此同时,中国的网民规模也在大幅度提升,5年来平均增长幅度达到7.2%,2014年接近6.5亿。

  宽带标准被调高以及联网用户的(设备)增多,在方便用户使用的同时,也为大流量DDoS攻击的出现创造了条件,加之设备厂商和消费者在安全意识方面需要提升,这方面的因素也助长了DDoS放大式攻击的发生,这些方面都直接导致了DDoS风险的增高。

  报告数据显示,在2015年大流量DDoS攻击仍旧在持续增加。2015年上半年,至少出现33起流量超过100G的攻击,集中在6个相对独立的IP上。从全国范围分布上看,排名前五的城市包括上海、成都、东莞、济南、天津。

  另外,从多年来为运营商服务的数据来看,也可以看到在2015年上半年的DDoS攻击中,百G以上的攻击频次明显增大。以某运营商为例,2015年受100G以上流量攻击的IP数增长到1675个,攻击的次数增长到3729次,照此计算100G以上的攻击总量已经超过300T,这已经威胁到互联网骨干网络的正常运作。这个趋势相比2014年有所增长,单IP受到100G以上流量攻击的次数也明显上升。而100G以下的攻击总量要远远超过这个数量。

  大流量攻击走向云端,可能出现的云端攻击形式;

  在DDoS大流量攻击兴起的同时,为了抵御风险免受其害,许多用户将其业务向云端迁移,云计算技术的诸多优点使得云服务得以广泛应用。中国信息通信研究院的报告显示,我国公共云服务市场规模大概在72亿元左右,比去年增长47.5%。中国私有云市场规模也在不断扩张,2014年国内私有云市场规模大概在246亿人民币左右,增长速度将近30%。

  云服务的增多在为用户带来了便利的同时,也在安全方面也带来了两个方面的变化,1客户端轻量化。客户端原本的计算任务,大幅度向云端转移,云端的流量会越来越大,这将会被大流量DDoS攻击所利用;2环境复杂化。随着业务环境虚拟化,从业务更加灵活多变到运维管理,其中不断产生新的不确定性,都可能为新的 DDoS攻击形式创造机会。报告中分析了这些可能的攻击形式。

  大流量攻击在游戏行业中加剧,尤以UDP攻击常见;

  大流量攻击在影响着各个行业,在近几年的分析中,绿盟科技的技术专家观测到游戏行业遭受大流量攻击的情况在逐年增加。在2014年的报告中,这种现象称之为“行业潮流性” ,即攻击者不仅会预估收益选择攻击目标,更能够根据行业业务特性演变攻击形式。

  2015年上半年的数据显示,游戏行业仍然是DDoS攻击的重点对象之一。游戏行业用户基数大、用户类型多、在线维护难度大的特点,也使得游戏行业成为极易受到攻击的目标行业。由于很多游戏基于私有协议开发,传统DDoS防御手  段在没有贴合业务特性的情况下,防御DDoS攻击常常面临较大困难。

  以某大型互联网企业为例,在其多项业务中,在线游戏仍然是DDoS主要的攻击对象(74.7%),DNS服务及Web服务分别为15.1%及9.7%。通过对各项服务的展开分析可以看到,除了游戏业务以外,Web服务及其他服务中大流量攻击的比例也不在少数。

  小流量快攻击变身脉冲式攻击,实战国内外实际案例;

  虽然大流量攻击乃至云端攻击会越来越多的出现,但这并不意味着小流量攻击就消失了。相反,在一些行业中,小流量攻击有着特殊的目的,与大流量(百G以上)及超大流量(500G或 更高)相比,1这些攻击因为其流量小,不会引起业界的关注,2这些小流量隐藏在大流量其中,难以辨识;3有些攻击时长小到防护设备难以捕获,很难完整呈现其攻击过程,这些特点决定了小流量攻击不仅不会被攻击者抛弃。2015年上半年,0-30分钟时长的攻击环比上涨4.52%,1分钟以下的攻击占总量的42.74%。

  将这些短时攻击组合起来看,往往每轮次总的攻击时间也很短。数据统计显示,5分钟以下的攻击已经有46%的比例,接近总量的半数。绿盟科技的技术专家将这种短时长“闪电战”的攻击形式,归类为DDoS脉冲攻击(Hit-and-run DDoS )。

  小流量慢攻击专盯业务逻辑问题,呈现攻击原理及防御;

  在众多小流量攻击案例中,针对业务逻辑设计问题的慢速攻击也具有代表性。不同于游戏领域的小而快,这种攻击类型的小流量慢速攻击由于间隔时间较长,从协议、流量、逻辑上来看也没有明显异常,但是却针对协议的弱点或者应用逻辑上的弱点,故意延长通信的时间、占用连接的资源、增加服务器的处理过程,进行资源消耗,使目标的CPU资源、内存资源、连接池等耗尽,最终产生拒绝服务,服务器无法再接受来自用户的访问请求。

  DDoS攻击手段日益高级,智能路由器温床未见好转

  DDoS攻击者为了达到目的,会结合多个方面的因素实施不同形式的攻击,攻击手段不断翻新,变得越来越高级,甚至呈现出“APT”的特色。

  攻击业务多样化。

  DDoS多年难以治理,有一方面原因就是因为业务形态的多样性。随着业务形态的不断发展及演变,结构及业务流程越来越复杂,攻击者无时无刻不在反复跟踪分析这些业务特点及可能存在的问题,而攻击形式也随之而变。

  攻击流量多样化。

  在2015年上半年数据显示,在DDoS攻击中,攻击者往往混合使用多种攻击手段和多种类型的攻击源。UDP混合流量占主要比重,达到72%。这些流量组合正如前面的分析所展示的那样,并非无的放矢,而是跟随业务的特性发生的变化。

  攻击设备多样化。

  如今,用户连接互联网的设备越来越多样化,在终端方面,已经不再局限于PC,更多的设备也包括平板电脑、手机、电视等智能终端;同时,反射放大式攻击,让业界清晰的认识到,DDoS可利用的设备也不再局限于终端,更多的设备也包括路由器、打印机、摄像头、扫描仪等智能设备。

  在2014年的报告中,统计了全球的这些可能被利用的智能设备超过80万,在6月份的数据中,报告统计了全球SSDP协议设备的分布状况,显然一情况在2015年并未得到大的改观,这也是基于SSDP协议的放大攻击仍旧肆虐的原因。

  在此呼吁这些设备的厂商尽快发布相关补丁或者升级相关固件,最终用户也需要随时关注升级信息,尽快升级及采用对应的防护措施,不要被利用,成为“攻击者”!同时,在智能设备增加、混合流量攻击模式下,传统的业务场景和思路可能需要考虑新的模式和新的应用场景。

  来源:绿盟科技投稿