作者:云鼎實驗室

2018年上半年 DDoS 攻防仍如火如荼發展,以 IoT 設備為反射點的 SSDP 反射放大尚未平息,Memcached DDoS 又異軍突起,以最高可達5萬的反射放大倍數、峰值可達1.7 Tbps 的攻擊流量成為安全界關注的新焦點[1]。DDoS 這一互聯網公敵,在各種防御設備圍追堵截的情況下,攻擊者夜以繼日地鉆研對抗方法、研究新的攻擊方式;而且往平臺化、自動化的方向發展,不斷增強攻擊能力。騰訊安全云鼎實驗室主要從2018年上半年 DDoS 攻擊情況的全局統計、DDoS 黑色產業鏈條中的人員分工與自動化操作演進兩個方面進行分析闡述。

此外,就目前企業用戶面臨的嚴峻的 DDoS 攻擊威脅,騰訊云也提出了大禹 GDS 全球一體化 DDoS 防護體系,為用戶的業務保駕護航。

一、全局統計分析

1. 2013~2018年 DDoS 流量峰值情況

DDoS 攻擊流量峰值每年都不斷地被超越,上半年的一起 Memcached DDoS 攻擊,其峰值1.7 Tbps 達到了一個新的高度。雖然已經關閉了大量的 Memcached 的UDP 端口,但其5萬的反射放大倍數,仍使攻擊者可利用少量未關停 UDP 端口的 Memcached 反射點,打出大流量攻擊。所以在短短的三個月里,Memcached DDoS 已成為反射放大的一股主要力量。

(2013~2018年 DDoS 攻擊流量峰值統計)

2.?DDoS攻擊行業分類情況

隨著各行各業的互聯網化,DDoS 的攻擊面也越來越多,這里我們列出了14種主要行業。游戲行業因其日流水量最大、變現快,一直站在利益的風口浪尖上,當仁不讓地成為 DDoS 首選的攻擊目標,也是上半年各行業中遭受攻擊最多的行業。值得關注的是在醫療、物聯網、教育等傳統行業互聯網化后,也遭受到了不同程度的攻擊,且呈上升的趨勢。

在游戲行業當中,手機游戲已超過了 PC 客戶端游戲成為了 DDoS 攻擊的主要目標。H5 游戲的崛起,也成為了 DDoS 的關注點,占整體攻擊的1.4%。這里我們首次把游戲的第三方服務歸結到游戲中,游戲的飛速發展催生了大量的第三方服務商,包括但不限于游戲虛擬財產買賣平臺、數據分析、電競、美術/音樂外包、游戲云服務、游戲資訊等各個環節。

(2018上半年 DDoS 攻擊行業分類情況)

3.?DDoS?攻擊的類型占比統計

在攻擊類型中,反射放大占比最多,約為55.8%。 Memcached 作為今年三月以來的新興反射放大力量,迅速被 DDoS 黑產界利用,其在整體的占比中也相當大。反射放大占比如此之多的一個原因是 DDoS 黑產的自動平臺化,即無需人工干預,完全自動流程可完成攻擊的所有操作。

SYN Flood 排名第二,一直是 DDoS 的主要攻擊手法。隨著 DDoS 黑產的平臺化,SYN Flood 的載體也發生了改變,由海量的肉雞漸漸轉移到了發包機上(以偽造源 IP 的 SYN Flood 為主)。

HTTP Flood 作為7層攻擊的主要方式,因為要建立完整的 TCP 連接,不能夠偽造源 IP,所以還是以肉雞側發動攻擊為主。但云鼎實驗室監測發現,HTTP Flood 也開始向代理服務器和發包機發展。在互聯網上獲取海量的代理服務器相比肉雞的抓取容易很多,以代理服務器頻繁地變換真實的IP,再加上交互的模擬,可以使 HTTP Flood 很難被發現。而發包機的方式,雖不能變換 IP ,但可以頻繁變換 UserAgent 的內容,以突破針對 HTTP Flood 的防御。

(2018上半年 DDoS 攻擊的類型統計)

下圖給出了幾種反射放大的反射源地域分布情況。從抽樣數據統計可見,LDAP、NTP、Memcached 為主的反射源 Top 10的國家重合度很高,以美國、中國、歐洲國家為主。SSDP 反射源因 IoT 設備的問題,導致其地域分布有所不同。

(反射源地域分布抽樣統計)

4.?DDoS 所對應的C2地域分布

近年來國內的互聯網安全措施持續加強。通過監控發現,在國內的C2漸漸有外遷的現象。還有一些持有高性能肉雞的黑客,看到了虛擬貨幣的逐利遠遠大于 DDoS攻擊,將一部分高性能肉雞轉去挖礦。鑒于以上原因針對用于 DDoS 的 C2 監控難度越來越大。

(C2服務器所在地域情況)

5.?家族情況

通過對攻擊家族的監控,主要以 Xorddos、Billgates 、Mayday 、Dofloo、Nitol、Darkshell 等家族為主。Xorddos 是發起攻擊最多的家族,甚至每天多達上萬次的攻擊,攻擊類型多以 SYN Flood 為主、其他攻擊類型為輔的組合攻擊。Nitol 家族是發起 HTTP Flood 攻擊最多的家族,還會輸出 SYN Flood、ICMP Flood、TCP Flood 等攻擊。以上家族攻擊的統計中,針對各個行業的攻擊都有涉獵,游戲行業無疑是攻擊的首選。

6.?被攻擊IP的地域情況

DDoS 攻擊目標按地域分布統計中,國外受攻擊最多的國家是美國,其次是韓國、歐洲國家為主,DDoS 攻擊的主要目標還是聚集在互聯網發達的國家中。

(2018上半年國外遭受 DDoS 攻擊地域分布)

在國內各省的統計來看,受到 DDoS 攻擊較多的省份是長三角、珠三角和京津片區,即中國的互聯網發達省份,其中以江浙兩省最多。

(2018上半年國內遭受 DDoS 攻擊地域分布)

7.?每月百G以上攻擊流量情況

以每月的超過百Gbps 的攻擊次數統計來看,百Gbps 流量分層占比相差不多。100-200 Gbps 占比最大,基本都在75%以上,而超過300 Gbps 的流量攻擊次數較少。

(2018上半年 DDoS 每月超過百 G 攻擊占比情況)

8.?攻擊流量帶寬分布情況

在攻擊流量的分層統計上,1-5G 的攻擊次數最多,占比約38%。通過統計可得到,大多數的攻擊均為100 Gbps 以下的流量攻擊,超過百G 的攻擊累計占總攻擊次數不到5%。整體的攻擊流量平均峰值約在5.2 Gbps 左右。

(2018上半年 DDoS 分層流量的攻擊次數統計)

9.??攻擊時長分布占比情況

在攻擊時長來看,占比最多是1 min 以下的攻擊,約占38.7%。其主要攻擊方式是瞬時攻擊,即以極大的流量直接癱瘓掉攻擊的服務,導致大量用戶掉線、延遲、抖動等。5-10 min 也占相當大比例,約28.7%。抽樣統計得出,平均攻擊時長約1 h,單次攻擊最長時長約54天。

(2018上半年 DDoS 發起攻擊的時長占比統計)

二、DDoS?黑色產業鏈條演進

我們從黑產中的人員分工與自動化操作兩個方面進行 DDoS 發展的闡述。

1.傳統 DDoS 攻擊

早期的 DDoS 一般是黑客一個人的游戲,從工具開發、bot 傳播、接單、攻擊等都獨自完成。隨著互聯網經濟的飛速發展,網絡攻擊獲利越來越多,催生了DDoS 攻擊的大量需求,例如競品的攻擊、DDoS 勒索等。高額的利益便會催生對應工作的精細化分工,DDoS 的黑產也不例外。我們針對傳統 DDoS 攻擊的專業化人員分工進行分析:

發單人:也可以稱為金主,是 DDoS 攻擊后的直接獲利者,提出攻擊需求。

擔保商:也可以稱為中間人,是 DDoS 黑產中較出名的人物,在各個不同分工人員間做“信任”擔保,與交易環節的資金中轉工作。擔保商也會自己架設接發單平臺或即時通訊工具群等形式來擴大自己的知名度,帶來更多的 DDoS 攻擊業務。

接單人:也可以稱為攻擊手,通過操作 C2 服務器或發包機直接發起 DDoS 攻擊。

流量商:通過擔保商或直接將國外購買的流量服務器售賣給攻擊手。

肉雞商:手頭上擁有大量的肉雞資源,通過擔保商或直接將肉雞售賣/出租給攻擊手。

黑客軟件作者:開發 botnet 程序,反射放大程序等各種 DDoS 工具。

這樣的多種分工,使 DDoS 在技術難度上被拆解,技術門檻降低,部署更容易。同時給互聯網安全人員的分析與溯源帶來更大的困難。在分析中我們發現,有一些人員也可能同時擔當多個角色。

雖然這種比較早期的 DDoS 攻擊分工已十分成熟,但還是存在一定的不足之處:

  1. 成單難以保障:擔保商、接單人都具有不確定性,發單人付費后,可能會存在針對目標的攻擊沒有效果或根本沒有發起攻擊的情況,給發單人造成經濟損失。
  2. 響應周期較長:從發單人提出需求到真正達到攻擊效果,需經過發單人、擔保商(或其搭建的各種對接平臺/即時通訊工具群等)、接單人等幾個環節,時間上需要幾小時到幾天不等。
  3. 攻擊效果不能保證:攻擊手一般手動遠程操作 C2 服務器或發包機針對目標服務器進行攻擊,攻擊手所掌握的botnet 或發包機規模不同,攻擊的流量達不到保證。

(傳統DDoS的人員分工與攻擊流程)

2.目前 DDoS 攻擊

鑒于傳統 DDoS 攻擊的不足,促使了 DDoS 多個環節的自動化發展,頁端 DDoS 攻擊平臺便是發展的結果之一。其高度集成管理,在成單率、響應時長、攻擊效果等方面都得到了可行的解決。在人員分工上,有了新的發展:

擔保商淡出 DDoS 黑產圈,發單人可直接在頁端 DDoS 攻擊平臺下單、支付費用,且可以根據自己的攻擊目標的情況選擇攻擊方式與流量大小,保障了百分之百的成單率。

攻擊手已被自動化的攻擊平臺取代,不需要手動操作攻擊。從發起攻擊命令到真正開始攻擊,一般延時在10s 左右,再也不用等幾小時或幾天了。

發包機提供人替代了流量商角色,且完成發包機的程序部署、測試,最終給出發包機的攻擊類型、穩定流量、峰值流量等各種定量且穩定的攻擊能力。穩定的攻擊流量保障了最終的攻擊效果。

站長成為了頁端 DDoS 攻擊平臺的核心人員,進行平臺的綜合管理、部署、運維工作。例如:DDoS 攻擊套餐管理、注冊用戶(金主)管理、攻擊效果與流量穩定保障、后續的升級等。

(頁端DDoS攻擊平臺的人員分工與自動化流程)

不同的頁端 DDoS 攻擊平臺也有不同的實現,但其操作流程、核心功能都很相似。下圖給出了其技術解讀:從此圖中可見,用戶注冊、套餐付費、攻擊發起等在用戶側都可以完成,不需要其他人員參與。對比傳統 DDoS 攻擊來看,已完成了全自動的無人值守攻擊方式。在圖中調用傳統肉雞的攻擊形式很少,主要是調用發包機的攻擊方式。發包機中主要配置的是反射放大的各種程序和其對應的反射源列表,偶爾會有偽造源 IP 的 SYN Flood、動態變化 UserAgent 的 HTTP Flood ?(如 goldeneye 工具)。

(頁端反射放大攻擊流程)

三、總結與趨勢展望

綜上所述,上半年的 DDoS 攻擊無論從流量的角度還是從次數的角度來看,都上升了一個新的高度。

DDoS 黑色產業鏈的人員與技術的演進降低了整體 DDoS 入門的門檻,在溯源監控中發現,有的 DDoS 黑產團伙平均年齡 20 歲左右,甚至有未滿 16 周歲的學生也是其中的一員。

在 DDoS 的整體防御上,建議用戶采用具備大帶寬儲備和 BGP 資源的云服務商防御方案。如騰訊云大禹擁有30線 BGP IP 接入資源,豐富的場景化防護方案。

隨著智能 AI 設備與物聯網的飛速發展, DDoS 的新宿主平臺不斷出現,DDoS 攻防戰會越來越激烈。可以預期,2018年下半年 DDoS 會呈現出多樣化的發展:

  1. 類似于 Memcached DDoS 的新反射放大方式會不斷的被曝光與利用;
  2. 智能設備的發展會催生出新平臺下的 botnet 產生,且這些平臺基本防護措施薄弱,更成了DDoS 的溫床;
  3. 隨著打擊 DDoS 力度的不斷加大, P2P 式僵尸網絡或半去中心化變種方式有望重回風口,讓 DDoS 難于監控與溯源分析;
  4. 基于暗網的 DDoS 平臺將逐漸替代目前流行的頁端 DDoS 攻擊平臺,使其平臺的存活時間更長。?

引文:

[1] 1.7Tbps 流量:?https://asert.arbornetworks.com/netscout-arbor-confirms-1-7-tbps-ddos-attack-terabit-attack-era-upon-us/

PDF 下載:《2018上半年互聯網 DDoS 攻擊趨勢分析》

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/617/