8月网安报告｜ 8月份DDoS攻击17万次、UDP Flood攻击占绝对优势、43%的企业把全部业务放在云上……

一、安全行业情况通报

1.光通天下监测情况通报

根据光通天下监测数据显示，8月份，网络中累计1,204个IP发生了195,082次DDoS异常/攻击事件，其中包括174,748次攻击事件，共清洗掉2565532GB的攻击流量。同比7月份，受攻击的IP数、攻击事件和清洗流量均大幅增加。在经历了几个月的缓和期后，DDoS攻击势头渐有迅猛之象。

据统计，8月份流量均值的最大值是45118Mbps，攻击均值的最大值是44407Mbps。攻击最活跃的时间段为8月29日凌晨到8月30日凌晨，该时间段共产生20156次攻击。受攻击次数最多的防护对象遭受攻击22,824次、受攻击时长604小时02分03秒。

图1 “受攻击的IP数”时间走向

在攻击类型的分布上，本月较活跃的攻击类型是Location Attack;Filter Attack;FIN/RST Flood;占网络攻击总次数的65.4%。而较大流量的类型则以SYN Flood、TCP Malformed和djr_183_131_206_228为主。

图2 攻击类型分布

图3 攻击流量分布

2.DDoS攻击信息分析

▲控制端资源分析

根据CNCERT抽样监测数据，近期利用肉鸡发起DDoS攻击的控制端有316个，其中，28个控制端位于我国境内，288个控制端位于境外。

位于境外的控制端按国家或地区分布，美国占的比例最大，占39.9%，其次是希腊和法国， 位于境内的控制端按省份统计，浙江省占的比例最大，占35.7%，其次是北京市、江苏省和贵州省；按运营商统计，电信占的比例最大，占78.6%，联通占3.6%，如图4所示。

图4 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

▲肉鸡资源分析

根据CNCERT抽样监测数据，近期共有189,082个肉鸡地址参与真实地址攻击（包含真实地址攻击与其它攻击的混合攻击）。

这些肉鸡资源按省份统计，山东省占的比例最大，为15.4%，其次是江苏省、浙江省和河南省；按运营商统计，电信占的比例最大，为52.4%，联通占32.7%，移动占12.3%，如图5所示。

图5 本月肉鸡地址数量按省份和运营商分布

▲反射攻击资源分析

根据CNCERT抽样监测数据，近期利用反射服务器发起的三类重点反射攻击共涉及3,358,693台反射服务器，其中境内反射服务器3,126,873台，境外反射服务器231,820台。反射攻击所利用 Memcached 反射服务器发起反射攻击的反射服务器有108,124台，占比3.2%；利用NTP反射发起反射攻击的反射服务器有530,943台，占比15.8%；利用SSDP反射发起反射攻击的反射服务器有2,719,626台，占比81.0%。

通过跨域伪造流量发起攻击的流量来源于85个路由器。根据参与攻击事件的数量统计，归属于四川省电信的路由器（202.X.X.67）参与的攻击事件数量最多，其次是归属于江苏省电信（222.x.x.128）的路由器。 跨域伪造流量涉及路由器按省份分布统计，河南省占的比例最大，占37.6%，其次是安徽省和河北省；按路由器所属运营商统计，联通占的比例最大，占76.5%，电信占比17.6%，移动占比5.9%，如图6所示。

图6 跨域伪造流量来源路由器数量按省份和运营商分布

通过本地伪造流量发起攻击的流量来源于807个路由器。根据参与攻击事件的数量统计，归属于山西省电信的路由器（219.X.X.2、219.X.X.10）参与的攻击事件数量最多，其次是归属于北京市电信的路由器（220.X.X.253、220.X.X.243）。本月本地伪造流量涉及路由器按省份分布，江苏省占的比例最大，占10.7%，其次是山东省、河南省和湖南省；按路由器所属运营商统计，电信占的比例最大，占39.8%，移动占比38.7%，联通占比21.3%，如图7所示。

图7 本地伪造流量来源路由器数量按省份和运营商分布

3、2018年上半年DDoS威胁态势

▲DDoS新颖的攻击技术

FreeBuf 、腾讯云、腾讯安全云鼎实验室、大禹联合出具的《DDoS威胁与黑灰产业调查报告》中称，2018年上半年的 DDoS 攻击流量类型统计结果显示，UDP Flood 无论从攻击流量还是从攻击次数来看，都占有绝对的优势。UDP Flood 的主要流量来源于UDP反射放大攻击，这些反射放大攻击使用了一些基于UDP 协议不需要验证的服务器，且接收数据远大于发送数据，攻击者通过伪造源IP为受攻击者的IP，利用互联网中分布众多的服务器带宽资源发起攻击。

图8 2018上半年攻击流量占比统计（出自《DDoS威胁与黑灰产业调查报告》）

图9 2018上半年攻击次数占比统计（出自《DDoS威胁与黑灰产业调查报告》）

常见的反射放大攻击利用的协议有 SSDP、NTP、DNS、CHARGEN 等，但在与黑客斗智斗勇的过程中，新的方法总是层出不穷，上半年就新出现了利用 Mem-cached 协议、IPMI 协议的新型反射攻击，同时还有混合在众多攻击中的 TCP 反射攻击。

▲DDoS 攻击发生时间段

DDoS 攻击时段多为业务高峰期或在线人数最多时段，以达到最大的破坏效果。国内抽样 DDoS 数据可知，DDoS的高峰期以上午10点到晚上23点为主，其中18点左右有一个低谷，但相比上午10点前仍高出很多。

图10 DDos 攻击发生时间段统计（出自《DDoS威胁与黑灰产业调查报告》）

▲DDoS 攻击持续时间

随着DDoS的自动平台化，攻击时长越来越短，主要是归结于较好的平台有稳定的流量输出，使整体攻击时间控制在5分钟以内，期中38.7%集中在1分钟以内。相对而言，超过60分的攻击一般流量不大，且主要为 HTTP Flood、SYN Flood 小包 等消耗资源类攻击。

图11 DDoS 攻击持续时间占比统计（出自《DDoS威胁与黑灰产业调查报告》）

▲攻击类型各流量区间分布

按攻击次数统计，主要的攻击流量区间在5G以内，其占比超过一半以上。但在流量区间占比分布基础上进行攻击类型的对应分类，则比较难以区分，存在很多交叉现象。

例如 IoT 肉鸡以 UDP Flood 或 SYN Flood 大包等攻击类型也可以打出百G流量，而目前百G流量主要还是以反射放大的形式打出流量，另在10G到100G之间，攻击类型交叉也很明显。值得一提的是现在越来越多的DDoS攻击，会进行组合攻击，使防御难上加难，达到最大攻击效果。

图12 攻击类型各流量区间分布统计（出自《DDoS威胁与黑灰产业调查报告》）

▲全球DDoS 攻击目标国家占比

国外被 DDoS 攻击的国家涵盖很广，基本互联网覆盖到的地方，都有DDoS的身影。那些互联网大国更是首当其冲，例如美国、韩国以及西欧诸国。DDoS 的目的无非获利，所以竞品攻击与 DDoS 勒索占主要地位，国外这些发达的互联网国家在获利上更加便捷，所以受到的攻击占比也更大。

图13 全球DDoS 攻击目标国家占比（出自《DDoS威胁与黑灰产业调查报告》）

▲中国DDoS 攻击目标各省份占比

国内被攻击的区域与国外情况类似，也多发于互联网建设较好的地区，如江浙、北 京、香港。与历年攻击目标省份占比进行对比，各省占比均无甚变化，因为互联网的基础设施要花费大量时间进行建设，周期较长，且互联网程度越高的城市，网络的升级换代越快，对应的各种业务互联网化转化也越便捷，因此DDoS可能会攻击的业务线也越多。

图14 中国DDoS 攻击目标各省份占比（出自《DDoS威胁与黑灰产业调查报告》）

▲攻击目标行业分布

攻击目标的行业众多，可以说只要互联网化的行业，都有被涉及到，其中以游戏行 业为最。在游戏之外，新兴的音、视频有上升的趋势，和当今流行的直播、短视频 等有关。另外在医疗、制造业、物联网等行业中 DDoS 也崭露头角，可见利益总是 最好的攻击导向。

图15 DDos 攻击目标行业分布占比统计（出自《DDoS威胁与黑灰产业调查报告》）

▲僵尸网络C2服务器全球分布

提起僵尸网络，那么大家最关心的无外乎便是C2信息或反射放大的发包机位置信息等。C2 服务器在全球分布，主要以中国、韩国、美国、欧洲国家为主，随着中 国打击DDoS力度越来越大，C2 有外迁到第三方世界的小国家，这些国家网络监控宽松，能躲过监查，且针对流量上可以有伪造源IP的各种攻击输出，这也是发包机为什么大多在国外的原因。

图16 僵尸网络C2服务器全球分布统计（出自《DDoS威胁与黑灰产业调查报告》）

▲僵尸网络C2服务器国内分布

僵尸网络的 C2 在国内情况，与前文分析的类似，主要集中在互联网建设较好的省份，香港作为一个网络管理相对宽松的区域，存在好多的业务线互联网化，所以占比排名第二。国内的僵尸网络打击力度越来越大，导致 DDoS 的好多 C2 迁移到国外。

图17 僵尸网络C2服务器国内分布（出自《DDoS威胁与黑灰产业调查报告》）

二、 安全行业态势分析

1.中国云信任分析

IEEE中国和阿里云研究中心联合出具的《中国云信任报告》中指出云已经被中国绝大部分的企业接纳，并将云技术应用在自己的业务当中。在已上云的企业中，43%的企业把全部业务放在云上，70%的企业把一半以上业务放在云上。

图18 企业“上云”的接受程度分布（出自《中国云信任分析》）

数据显示，60%的企业用云支撑主营业务网站，过半数企业用云支撑核心业务系统。这表示云已经成为了企业的主流IT技术之一，从最开始的个人Blog，到今天支撑ERP、CRM、代码库和数据库等核心系统，背后反映了云计算在技术和市场教育上的日渐成熟。

图19 上云企业业务类型分布（出自《中国云信任分析》）

IEEE中国和阿里云研究中心所调研的企业中有74%的企业认云值得信任，其中52%选择比较信任，22%的企业选择非常信任，而所调研的企业中发现，政府行业对云的信任度最高。企业对云技术的直观感受，反映了云计算技术在国内场的普及，和企业对云计算安全稳定性上的认知提升。

图20 企业对云技术的信任程度分布（出自《中国云信任分析》）

调研发现，对20%中国企业来说，安全性仍是上云的一大顾虑。而影响中国企业上云的主要顾虑为担心安全性问题、缺少上云的知识和技能、上云成本超过预算、缺少专业解决方案等问题。因而，在安全性和用户教育培训上领先的云计算服务提供商，更容易推动企业上云。

此外，26%和23%的企业认为，云服务提供商未来需要在用户数据安全保护，和灾备隔离措施上加强，才能提高企业对云计算的信任感。

图21 企业对云安全的需求分布（出自《中国云信任分析》）

2.东南亚IDC产业发展分析

2017年在各国多项信息化和互联网产业的带动下，东南亚IDC市场保持稳定增长，达到19.6亿美元，增速为15.3%。新加坡是东南亚地区最主要的IDC市场，其次是马来西亚和泰国。

从全球角度去看，东南亚也可以看作中国云服务商出海试水的一个节点。在保证现有客户顺利出海东南亚的同时，力图争取到更多新客户也是云服务商都持有的心态。

图22 2017年东南亚区域IDC市场分布情况（来源：科智咨询）

科智咨询（中国IDC圈研究中心）最新出炉《东南亚IDC产业发展研究报告》显示，新加坡地区的IDC市场的成熟度领先于其他东南亚国家，但是在政策激励、互联网产业快速发展的带领下，其他国家的数据中心市场正在快速发展。印度尼西亚、泰国等市场的数据中心建设规模已得到快速提升，吸引国内外大型互联网企业陆续布局。

图23 东南亚IDC市场增速变化情况（来源：科智咨询）

报告指出，整体上，东南亚地区 IDC 市场较为分散，TOP10 服务商累计市场份额不足 50%，市场占有率较高的服务商主要为国际IDC服务商和各国的基础电信运营商。

Equinix 等国际服务商主要在新加坡市场占据较高的市场份额，并未在其他国家形成较明显的市场优势；VADS等基础电信运营商主要通过在本国经营获取市场规模；NTT凭借在 东南亚地区较明显的网络资源和服务能力优势，在新加坡、马来西亚、泰国和印度尼西亚 IDC市场均获得了较为显著的市场份额；其他在多国 IDC 市场参与经营的服务商则仍处于初级发展阶段。

图24 2017年东南亚主要IDC服务商市场份额（来源：科智咨询）