DDoS 與網路攻擊激增,重複攻擊已成標準模式

作者 | 發布日期 2016 年 03 月 01 日 14:22 | 分類 市場動態 , 資訊安全 follow us in feedly
akamai-china-ddos-attacks-2-970x0

內容遞送網路(content delivery network;CDN)服務商 Akamai Technologies, Inc.(NASDAQ:AKAM)發佈「2015 年第四季網際網路現狀 – 安全報告」。本季報告針對 Akamai Intelligent Platform™ 平台上所觀察到的惡意活動提供深入分析,並詳述全球雲端安全威脅概況。如需下載報告,請造訪 www.stateoftheinternet.com/security-report




Akamai 資訊安全事業單位資深副總裁兼總經理 Stuart Scholly 表示:「DDoS 和網路應用程式攻擊的威脅並未緩解,Akamai 客戶每季所面臨的攻擊數量仍持續攀升。相較於第三季,2015 年第四季的網路應用程式攻擊數量激增了 28%,DDoS 攻擊則增加了 40%。惡意攻擊者毫不退縮,他們會不斷地重複攻擊相同目標,等待其防護終有瓦解之時。」

在第四季,重複的 DDoS 攻擊已成標準模式,每位被攻擊的客戶在第四季內平均遭受 24 次攻擊,而有三個攻擊目標分別遭受超過 100 次攻擊,其中一位甚至經歷了 188 次攻擊,平均每天經歷超過兩次攻擊。

 

DDoS 攻擊行動一覽

在第四季,Akamai 在路由解決方案上緩解了超過 3600 次 DDoS 攻擊,攻擊數量是一年前的兩倍以上,絕大部份是利用租用型殭屍網路發動。這些受雇型 DDoS 攻擊極度依賴反射技術來擴增他們的流量,通常沒有能力發動大型攻擊,因此,2015 年大規模攻擊數量相較 2014 年來得少。此外,租用型網站通常有使用時間限制,使得平均攻擊時數降至十五個小時以下。

(圖示:反射式 DDoS 攻擊,2014 年第四季 – 2015 年第四季)

DDoS

如左軸所示,SSDPNTPDNS CHARGEN 最常被用於擔任反射式攻擊媒介;而如右軸所顯示,從 2014 年第四季開始,反射式攻擊的運用頻率大幅上升

基礎架構層(第三和第四層)攻擊在數個季度以來比例向來最高,第四季所觀察到的攻擊有 97% 皆屬這類攻擊。在 2015 年第四季中,21% 的 DDoS 攻擊含有 UDP 片段,這些攻擊有些是源自於反射式攻擊的放大效果,主要是 CHARGEN、DNS 與 SNMP 通訊協定的濫用,導致龐大的有效負載 (payload)。

相較於第三季,NTP 和 DNS 攻擊的數量皆大幅攀升。內建安全功能的網域(DNSSEC)通常會產生更龐大的回應資料,因為惡意攻擊者試圖濫用這些網域,使得 DNS 反射式攻擊增加 92%。儘管 NTP 反射的運算資源已隨時間耗盡,NTP 攻擊仍有所增長,增幅逼近 57%。

多媒介(multi-vector)攻擊則為另個常見趨勢。在 2014 年第二季,僅有 42% 的 DDoS 攻擊採用多媒介手法;到了 2015 年第四季,已有 56% 的 DDoS 攻擊採用此攻擊手法。雖然大部份多媒介攻擊僅使用兩種攻擊媒介(佔全部攻擊的 35%),在第四季所觀察到的攻擊中有 3% 採用五至八種媒介。

第四季最大攻擊的尖峰流量高達 309 Gbps 與 202 Mpps,遭受此攻擊的客戶為軟體科技產業,該攻擊使用罕見的 SYN、UDP 和 NTP 攻擊組合,由 XOR 和 BillGates 殭屍網路所發動。該次是持續攻擊行動的一部分,受害者在 8 日內遭受 19 次攻擊,另在一月初亦曾遭受攻擊。

第四季逾半數的攻擊(54%)是針對遊戲公司,另有 23% 是以軟體和科技產業為目標。

DDoS攻擊概覽

2014 年第四季相比

  • DDoS 攻擊總數增加 148.85%
  • 基礎架構層(第三和第四層)攻擊增加 168.82%
  • 平均攻擊時數減少 49.03%:14.95(2015 年第四季)對 29.33 小時(2014 年同期)
  • 流量超過 100 Gbps 的攻擊減少 44.44%:5(2015 年第四季)對 9 件(2014 年同期)

 

2015 年第相比

  • DDoS 攻擊總數增加 39.89%
  • 基礎架構層(第三和第四層)攻擊增加 42.38%
  • 平均攻擊時數減少 20.74%:14.95(2015 年第四季)對 18.86 小時(2015 年第三季)
  • 流量超過 100 Gbps 的攻擊減少 37.5%:5(2015 年第四季)對 8件(2015 年第三季)

 

網路應用程式攻擊活動

雖然上一季的網路應用程式攻擊數量增加了 28%,但是兩季透過 HTTP 和 HTTPS 傳送的網路應用程式攻擊比率則相當一致:第四季有 89% 的攻擊透過 HTTP 傳送,而第三季則為 88% 透過 HTTP 傳送。

本季最常見的攻擊媒介為 LFI(41%)、SQLi(28%)、PHPi(22%)、XSS(5%)與 Shellshock(2%),剩餘的 2% 攻擊則包含 RFI、MFU、CMDi 和 JAVAi 攻擊。透過 HTTP 和 HTTPS 傳送的攻擊中,除 PHPi 外各個攻擊手法所佔比例相似。透過 HTTPS 傳送的攻擊中,僅有 1% 採用 PHPi。

第四季的網路應用程式攻擊中有 59% 以零售商為攻擊目標,第三季則為 55%。媒體娛樂業與飯店旅遊產業是第二常見的攻擊目標,分別遭受 10% 的攻擊。而在第三季的第二常見攻擊目標的金融服務產業(15% 的攻擊量),本季卻僅遭受 7% 的攻擊。

延續第三季的趨勢,美國不但是網路應用程式攻擊的主要來源(56%),同時亦是最常被攻擊的目標(77%)。巴西是第二大的攻擊來源(6%)與第二個最常被攻擊的國家(7%),這似乎與一家大型雲端基礎架構即服務(IaaS)供應商在巴西開設新的資料中心有關。Akamai 發現,自資料中心開設以來,源自巴西(特別是上述資料中心)的惡意流量即大幅增長,而這類攻擊大部份針對一位巴西籍的零售產業客戶。

在第四季報告中,我們利用 ASN 辨識出網路應用程式攻擊流量的 10 大來源,並針對相應的攻擊類型、有效負載與頻率進行分析。其中 10 個較為有趣的攻擊案例及其有效負載請參閱第 3.6 節。

網路應用程式攻擊評估指標

2015 年第季比較

  • 網路應用程式攻擊總數增加 28.10%
  • HTTP 網路應用程式攻擊增加 28.65%
  • HTTPS 網路應用程式攻擊增加 24.05%
  • SQLi 攻擊增加 12.19%

掃描與刺探活動

在攻擊前,惡意攻擊者依賴掃描程式和刺探活動來偵察他們的目標。運用 Akamai Intelligent Platform 提供的防火牆資料進行分析後,我們發現偵察活動最常使用的連接埠是 Telnet(24%)、NetBIOS(5%)、MS-DS(7%)、SSH(6%)與 SIP(4%)。根據 ASN 判定,掃描活動的三大來源皆位於亞洲,我們亦發現攻擊者會主動掃描適合濫用的反射器,包含 NTP、SNMP 與 SSDP。

依據 ASN 分析的主要反射來源可以看出,網路反射器受到嚴重濫的情形多發生於中國和其他亞洲國家。SSDP 攻擊通常是由家用連線發動,而 NTP、CHARGEN 與 QOTD 則大多來自於執行這些服務的雲端託管供應商。SSDP 與 NTP 反射器是最常被濫用的反射器,分別佔了 41%,其次是 CHARGEN(6%)和 RPC(5%),而 SENTINEL 和 QOTD 則分別佔 4%。

報告下載

如欲免費下載「2015 年第四季網際網路現狀 – 安全報告」,請至:www.stateoftheinternet.com/security-report。 

關鍵字: , , ,

發表迴響