1月初����,一名業(yè)余黑客利用從黑客論壇收集到的信息����,在華為路由器中創(chuàng)建了一個木馬程序����,并在線發(fā)布。然而����,襲擊很快就被扼殺在萌芽狀態(tài),幕后的網(wǎng)絡(luò)罪犯無法追蹤����。
另外,IoTroop僵尸網(wǎng)絡(luò)在上個季度首次被發(fā)現(xiàn)����。還有一種感染ARCCPU的LinuxELF惡意軟件——MiraiOkiruI一月份也首次被發(fā)現(xiàn)。另外����,二月初,JenX發(fā)現(xiàn)僵尸網(wǎng)絡(luò)不僅提供DDoS還充當(dāng)網(wǎng)游私服主機(jī)攻擊服務(wù)����。另外����,在二月有媒體報道����,黑客正在構(gòu)建一個獨(dú)特的僵尸網(wǎng)絡(luò),第一次將兩個攻擊捆綁在一起����,試圖繞過企業(yè)防火墻并感染設(shè)備����。
至于DDoS的新方法和漏洞,除了Memcached中的multiget除了漏洞����,上個季度的新聞也曝光了WordPress一個漏洞,使Web服務(wù)器很容易被攻擊����。幸運(yùn)的是,野外攻擊樣本尚未找到����。
盡管在過去三個月內(nèi)影響很大的DDoS攻擊不多����,但利潤仍然是DDoS僅在2017年����,俄羅斯的攻擊量就翻了一番。在2月初的三天里����,幻想中的玩家在登錄某些服務(wù)時遇到了問題。大致同時����,BusinessWire在此期間,編輯和讀者都無法訪問類似的攻擊超過一周����。但沒有關(guān)于贖金的報道,估計(jì)攻擊背后的動機(jī)與商業(yè)競爭有關(guān)����。
三月初發(fā)生了一系列襲擊GitHub以及對不知名服務(wù)提供商的攻擊,產(chǎn)生了1多次攻擊TB/s垃圾流量����。利用如此大的流量Linux流行的緩存服務(wù)器Memcached有趣的是����,在一些攻擊中����,垃圾流本身就在Monero包括贖金要求。
當(dāng)然����,最近最突出的事件是在2月初破壞冬奧會開幕式DDoS在此之前,美國國防部在1月底阻止了大量垃圾郵件的攻擊����。此外����,專家報道,朝鮮DDoS攻擊者正在擴(kuò)大其影響范圍����。
然而,荷蘭的主要金融機(jī)構(gòu)DDoS襲擊最初被認(rèn)為是政治目的����,但經(jīng)過仔細(xì)分析����,這實(shí)際上是一種純粹的流氓行為����,因?yàn)楹商m警方逮捕了一名年輕嫌疑人,因?yàn)樗麑准毅y行進(jìn)行了類似的攻擊����。
作為個人報復(fù)手段,DDoS也越來越受歡迎����。例如,加州大衛(wèi)•古德伊爾(DavidGoodyear)為了報復(fù)業(yè)余天文論壇將其列入黑名單����,發(fā)起了一場比賽DDoS攻擊。
本季度趨勢
Memcached一家公司于2月底聯(lián)系了卡巴斯基DDoS研究部門����。起初,根據(jù)對方提供的信息����,研究人員發(fā)現(xiàn)對他們的攻擊確實(shí)與典型的攻擊相似DDoS攻擊:通信渠道堵塞����,用戶無法訪問公司服務(wù)����。但通過調(diào)查,在其中一臺客戶端服務(wù)器上安裝了易受攻擊的服務(wù)器Memcached服務(wù)的CentOSLinux服務(wù)器����。網(wǎng)絡(luò)犯罪分子在攻擊期間使用的服務(wù)產(chǎn)生了大量的流量,導(dǎo)致信道過載����。換句話說,客戶端不是目標(biāo)����,而是目標(biāo)����。DDoS攻擊中的道具:攻擊者使用其服務(wù)器作為放大器。
對Memcached在攻擊過程中����,被攻擊服務(wù)器的用戶會注意到負(fù)載增加����,并通過修復(fù)漏洞來避免更多的停機(jī)損失����。因此,可用于此類攻擊的服務(wù)器數(shù)量正在迅速下降����,因此Memcached攻擊很快就會消失。
盡管如此����,第一季度的情況表明,“放大”除了Memcached此外����,網(wǎng)絡(luò)犯罪分子可能會尋找其他非標(biāo)準(zhǔn)“放大”方法。例如����,上一季度,LDAP服務(wù)被用作放大器。盡管可用的LDAP服務(wù)器數(shù)量相對較少����,但這種攻擊可能會在未來幾個月產(chǎn)生一定的影響。
DDoS攻擊統(tǒng)計(jì)
方法
在本報告中����,如果僵尸網(wǎng)絡(luò)活動間隔不超過24小時,則認(rèn)為事件是單獨(dú)的DDoS攻擊����。例如,如果一個特定的網(wǎng)絡(luò)資源被同一僵尸網(wǎng)絡(luò)攻擊����,間隔時間為24小時或更長,則該事件被認(rèn)為是兩次攻擊����,來自不同僵尸網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)要求也被視為單獨(dú)攻擊。
發(fā)送命令DDoS攻擊受害者和C&C服務(wù)器的地理位置由各自決定IP地址決定DDoS季度統(tǒng)計(jì)中唯一的攻擊目標(biāo)數(shù)量IP計(jì)算地址數(shù)量����。
DDoSIntelligence統(tǒng)計(jì)僅限于卡巴斯基實(shí)驗(yàn)室檢測和分析的僵尸網(wǎng)絡(luò)。請注意����,僵尸網(wǎng)絡(luò)只執(zhí)行DDoS攻擊工具之一,本報告中提供的數(shù)據(jù)不包括審查期間發(fā)生的每次數(shù)據(jù)DDoS攻擊����。
統(tǒng)計(jì)結(jié)果
2018年第一季度,對79個國家的目標(biāo)進(jìn)行了登記DDoS攻擊����。和以前一樣,絕大多數(shù)(95.14%)發(fā)生在十大國家����。
至于攻擊目標(biāo),中國的攻擊目標(biāo)占47%.53%����。
攻擊和目標(biāo)的數(shù)量顯著增加,長期攻擊的數(shù)量也顯著增加����。DDoS攻擊持續(xù)了297小時(超過12天),成為近年來最長的一次����。
Linux僵尸網(wǎng)絡(luò)的份額略有下降至66%,而上一季度為71%。
在1月中旬和3月初����,網(wǎng)絡(luò)攻擊的數(shù)量和能力出現(xiàn)了明顯的高峰,而相對平靜����。
攻擊地理
中國占59%.18%上升到59.美國在172%.在83%的基礎(chǔ)上增加了1.韓國從10%下降了83%.21%下降到8%。
英國(1.30%)從第四名上升到第五名����。2018年第一季度,第十名變成俄羅斯����,其份額從10%上升.25%下降到0.76%。荷蘭和越南退出前十名����,但香港和日本(1.16%)重新出現(xiàn)。
按國家分布DDoS攻擊比較2018年第一季度和2017年第四季度
至于攻擊目標(biāo)的分布����,盡管其份額為51.84%下降到47.53%。第二美國份額為19.32%上升到24.10%的韓國是第三(9.62%)����。法國的排名發(fā)生了顯著變化����,盡管本季度只下降了0.65%����,從第五名下降到第九名����。
俄羅斯和荷蘭不再是十個受到攻擊最嚴(yán)重的國家,而是香港(4).76%)直接進(jìn)入第四名����,日本(1.6%)進(jìn)入第六名?���?偟膩碚f,與2017年底相比����,本季度排名前十的國家攻擊總量略有增長,達(dá)到94.17%����。
按國家分布DDoS2017年第四季度和2018年第一季度的攻擊目標(biāo)比較
DDoS動態(tài)變化動態(tài)變化
第一季度的大部分活動發(fā)生在第一個月����,1月19日(66次襲擊)和3月7日(687次襲擊)達(dá)到頂峰����。這可能與新年假期結(jié)束(1月第二周攻擊次數(shù)開始增加)和3月份銷售(與國際婦女節(jié)有關(guān))有關(guān)。
本季度最平靜的一天是星期天����,只占所有攻擊的11.35%。
根據(jù)攻擊日期����,2017年第四季度和2018年第一季度DDoS攻擊分布
DDoS攻擊類型和持續(xù)時間
SYN-DDOS攻擊比例略有增加(從55.63%增加到57.3%),但之前幾個季度沒有出現(xiàn)這種情況����。ICMP從3.4%上升到6.1%。
按類型分布DDoS2018年第一季度攻擊
在2017年底短暫停止后����,我們看到了持續(xù)攻擊的回歸,最長持續(xù)297小時(12.4天)����。雖然低于世界紀(jì)錄����,但其攻擊規(guī)模仍相當(dāng)可觀����。
其他持續(xù)攻擊(50小時以上)的比例增加了6倍以上����,從0開始.10%增加到0.63%。另一方面����,如果上個季度占所有攻擊的85%,最短的攻擊份額(9小時或更短)也在增加����。.現(xiàn)在這個數(shù)字是91%.47%。與此同時����,上個季度持續(xù)10小時至3天的攻擊次數(shù)從14%開始.85%減少到了7.76%。
DDoS攻擊持續(xù)時間(小時)����,2017年第四季度和2018年第一季度的分布
按照上個季度C&C服務(wù)器數(shù)量排名前十的國家進(jìn)行了重大洗牌:加拿大����、土耳其����、立陶宛和丹麥不再名列前茅,而意大利����、香港、德國和英國則繼續(xù)攀升����。前三名幾乎沒有變化:韓國(30.美國(292%).中國(8)32%.03%).01%)在2017年底滑落至第九名。
此外����,意大利(6)的份額幾乎翻了一番.83%),荷蘭(5.62%)和法國(3.61%)份額大幅增加����。這種增長是由于Darkai(美國、意大利����、荷蘭和法國)和AESDDoS(中國)攻擊C&C賬戶數(shù)量急劇增加����。
僵尸網(wǎng)絡(luò)按照國家分布的僵尸網(wǎng)絡(luò)C&C2018年第一季度服務(wù)器
上一季度Linux與2017年底相比����,僵尸網(wǎng)絡(luò)的份額略有下降,從71%下降到66%����。因此����,基于此Windows的僵尸網(wǎng)絡(luò)的份額從29%上升到34%。
基于Windows和Linux2018年第一季度僵尸網(wǎng)絡(luò)攻擊的關(guān)系
總結(jié)
我們在2018年第一季度觀察到DDoS2017年第四季度攻擊總數(shù)和持續(xù)時間顯著增加����。新的基礎(chǔ)Linux的僵尸網(wǎng)絡(luò)Darkai和AESDDoS主要責(zé)任。現(xiàn)在熟悉的Xor基于攻擊的數(shù)量也增加了����。Windows在攻擊總次數(shù)方面,僵尸網(wǎng)絡(luò)沒有被攻擊者放過����,Linux數(shù)量的份額也在增加����。
多個僵尸網(wǎng)絡(luò)的混合攻擊數(shù)量也增加了����,這一趨勢明顯高于以往。根據(jù)研究人員的分析����,為了最大化利益,攻擊者使用僵尸網(wǎng)絡(luò)中未使用的部分來產(chǎn)生垃圾流量����,并將其重新部署到目標(biāo)中。
擴(kuò)大攻擊也成為一種新趨勢����,特別是通過Memcached服務(wù)器。雖然Memcached服務(wù)器制造商可以快速修復(fù)漏洞����,但攻擊者可能會尋求其他放大方法,其中之一是使用LDAP服務(wù)器。在攻擊的情況下����,LDAP服務(wù)器的響應(yīng)能達(dá)到很高的帶寬,平均放大系數(shù)是46倍����,而在攻擊高峰期,這個值是55倍����。
游戲、金融����、網(wǎng)站等用戶騰佑科技遭受了大流量DDoS在攻擊后導(dǎo)致服務(wù)不可用的情況下,推出DDoS高防ip付費(fèi)增值服務(wù)����,用戶可以配置高防御服務(wù)IP����,將ddos將攻擊流引流到高防IP,確保源站穩(wěn)定可靠����!詳細(xì)詢問在線客服����!
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
0371-89913000
