青松资讯：2018年第三季度DDoS攻击报告

青松划重点

△本季度DDoS攻击活动比较平静，攻击量级、持续时间没有太多增长。但攻击总数仍然居高不下。政治和经济仍然是攻击活动的主因，本季度新发现之一是教育部门（包括政府机关、学校、相关企业机构等）受到的DDoS攻击很可能和学生有关。

△本季度全球发起攻击次数排名前三名分别为：中国、美国和澳大利亚。而攻击目标分布的全球总排名前三位是：中国、澳大利亚和美国。僵尸网络的地理分布前三名分别是：美国、俄罗斯和希腊。

△攻击类型中SYN Flood仍然占了大头，其次是UDP Flood。僵尸网络中，Linux系统占据绝对的主导地位。

△在中国市场上，本季度利用肉鸡发起DDoS攻击的控制端中，境外控制端接近一半位于美国；境内控制端最多位于江苏省，其次是浙江省、河南省和广东省，按归属运营商统计，电信占的比例最大。2018年以来监测到的持续活跃的肉鸡资源中，位于江苏省、山东省、广东省占的比例最大。

新闻概述

就DDoS攻击而言，2018年第三季度相对平静。用“相对”这个词是因为本季度没有出现影响特别大的、持续时间很长、量级比较大的DDoS攻击。但随着网络罪犯的能力逐年增长，攻击总数依然没有任何下降的迹象。

7月初对暴雪娱乐的攻击成为今年夏天的头条新闻。攻击之下，Battle.net服务器被关闭，玩家将近三天不能登录、正常游戏。一个名为PoodleCorp的组织声称对此事负责。该组织在Twitter上声称，如果他们的信息被转发2000次+，他们将放弃这次攻击。在他们的条件得到满足后不久，暴雪报告说“他们已经解决了玩家早期遇到的技术问题”。

7月底，另一家游戏发行商Ubisoft遭到一系列攻击，导致玩家在登录账号和使用多人模式时发生错误。据该公司发言人表示，用户数据没有被泄露。关于这次攻击，目前没有任何目的声明发出。攻击者可能已经有了财务上的收益或者只是为了抗议一些游戏的新版本更新。

还有一项攻击值得被关注，那就是连续几天困扰着英语区最大的三家扑克网站的攻击: America’s Card… Room, PokerStars and Partypoker。受害的运营者被迫取消了一些赛事，引发了玩家的不满，因而损失了大笔资金。

和往常一样，几乎可以肯定的是，DDoS攻击也是由政治紧张引起的。8月底，瑞典社会民主党(Swedish Social Democratic Party)网站遭到长达6分钟的破坏，就是这种攻击的一个鲜明例子。

DDoS攻击者的 工具 集没有太多更新：尽管一些新技术和一些新漏洞已经出现在专家面前。在7月20日，他们发现了针对D-Link路由器的大规模“招募活动”（使用了3000多个ip和一个命令服务器）。这种活动在公司环境中并不是很成功；然而，它是否能够创建一个新的用户路由器僵尸网络，没人能够断论。

说到最新出现的木马，有关新设计的木马Death的报道在7月底开始流传，该病毒通过感染监控摄像头，以构建僵尸网络。这款恶意软件是臭名昭著的黑客Elit1Lands的杰作，它利用了AVTech漏洞（2016年10月披露）。安全研究员了解到目前为止该僵尸网络还没有被用于大规模DDoS攻击；然而，Elit1Land对此抱有很高的期望，尤其是在Death同样适用于垃圾邮件和间谍活动的情况下。

此外，在8月底和9月初，安全专家首次看到了Mirai和Gafgyt僵尸网络的新版本，它们利用了SonicWall和Apache Struts中的漏洞。与此同时，原版本Mirai的三位作者最终得到了法庭的判决。

季度趋势

与去年第三季度相比，DDoS攻击的数量在9月份时略有增加，而在夏季和全年中，DDoS攻击的数量明显下降。

DDoS在9月份激增是一件相当普遍的事情:年复一年，主要目标是教育系统，攻击指向学校、大学和考试中心的网络资源。9月12日，英国著名学府爱丁堡大学遭到袭击，袭击持续了近24小时，成为今年的头条新闻。

这类攻击常常被归咎于政治因素，但据非官方调查，攻击者可能另有其人。我们发现攻击大多发生在学期期间，并在假期期间平息。英国非盈利组织Jisc得到了几乎相同的结果：通过收集对大学攻击的统计数据，它发现学生度假时受到的攻击更少。每天课外时间也是如此:学校在上午9点到下午4点期间经历的DDoS干扰比较多。

当然，这可能表明行凶者只是将他们的行动与大学的日常脉搏同步起来……但解释越简单，这种可能性就越大：这些攻击很可能也是由年轻人策划的，他们可能有充足的理由去反击他们的老师、同学或学校。

从表面上看，这些周期性的爆发将在未来再次发生——要么直到所有的教育机构都采取强壮的防御措施来保护自己，要么直到所有的学生和老师都对DDoS攻击及其后果有了全新的认识。然而，应该指出的是，虽然大多数攻击都是由学生组织的，但这并不意味着没有任何“严重”的攻击。

例如，今年9月，针对美国供应商Infinite Campus的DDoS攻击行动声势浩大，持续时间之长甚至引起了美国国土安全部的注意。Infinite Campus为该地区的许多学校提供家长门户服务，这次攻击背后的组织者就比较耐人寻味了。

无论如何，尽管9月份经济好转背后的原因很可能与新学年的到来有关，但要解释经济下滑的原因要难得多。我们的专家认为，大多数僵尸网络所有者已经重新配置了他们的能力，以实现一种更有利可图、相对安全的收入来源：加密货币挖掘。

DDoS攻击最近变得便宜多了，但只针对客户而言。至于组织者，他们的成本仍然很高。至少，在发动一场攻击之前，他们必须购买带宽资源（有时甚至配备数据中心），使用自己的木马或修改现有的木马(例如曾经流行的Mirai)来组装一个僵尸网络、寻找客户、发动攻击等。更不要说这些事情是非法的。执法部门的行动无孔不入——Webstresser.org网站被关闭后，紧接着一连串的逮捕行动就是一个很好的例子。

另一方面，如今加密货币的挖掘几乎是合法的：唯一非法的是使用别人的硬件。在某些安排到位的情况下，挖矿行当对所用硬件的来源不太关注，并且算力被盗对硬件所有者来说不太明显，因此加密货币的非法开采者与网络警察打交道的机会不大。网络犯罪分子还可以重新使用他们已有的用于采矿的硬件，从而完全逃避执法部门的注意。例如，最近有关于MikroTik路由器的新僵尸网络的报道，该僵尸网络最初是作为一种加密货币挖掘工具而创建的。也有间接证据表明，许多臭名昭著的僵尸网络的所有者现在将它们重新配置为采矿工具。因此，业内比较成功的僵尸网络yoyo的DDoS活动频率下降了，同时期却没有关于它被拆除的信息。

逻辑中有这样一个公式：相关性并不意味着因果关系。换句话说，如果两个变量以相似的方式变化，这种变化不一定有任何共同之处。因此，尽管将加密货币挖掘的增长与今年DDoS攻击的疲软联系起来似乎是合理的，但这并不是最终的真相。这可能只是一个可行的假设。

季度总结

与以往一样，中国在袭击次数最多的国家中排名第一(78%)，美国夺回了第二的位置(12.57%)，澳大利亚位居第三(2.27%)，比以往任何时候都要高。韩国首次退出了前10名的榜单，尽管进入门槛降低了很多。

攻击目标的分布也出现了类似的趋势：韩国已跌至评级名单的最底端；澳大利亚已攀升至第三位。

在数量上，使用僵尸网络的DDoS攻击在8月份达到高峰；七月初是世界上最安静的一天。

持续袭击的次数减少了；然而，持续时间在4小时以下的短股上涨17.5百分比(达到86.94%)。攻击目标的数量增加了63%。

与上一季度相比，Linux僵尸网络的份额仅略有增长。在这种情况下，DDoS攻击的类型分布没有太大变化：SYN flood仍然排在第一位(83.2%)。

在上个季度，拥有最多命令服务器的国家名单发生了很大变化。像希腊和加拿大这样以前没有在前10位的国家，现在名列前茅。

攻击地理

中国仍然占据着榜首，其份额从59.03%飙升至77.67%。美国重新夺回了第二名的位置，尽管它的提升只是微不足道的0.11%（现在占比是12.57%）。

首先，自监测开始以来，韩国首次跌出前10名：其市场份额从上季度的3.21%下滑至0.30%，从第4位下滑至第11位。与此同时，澳大利亚从第六位上升到第三位:现在它占了DDoS攻击总数的2.27%。这表明，过去几个季度出现的欧洲大陆的增长趋势仍然存在。香港从第二名跌至第四名：其市场份额从17.13%跌至1.72%。

除韩国外，马来西亚也排在前十：新加坡(0.44%)和俄罗斯(0.37%)分别排在第七位和第十位。

同时，前10名以外的所有国家的总比例也从3.56%降至2.83%

2018年Q2和Q3的DDoS攻击

类似的情况也发生在各国的攻击目标评级上：中国的份额增长了18百分比，达到70.58%。目标数量的前5个位置与攻击次数的前5个位置基本相同，但前10个位置略有不同：尽管韩国的份额从4.76降至0.39%，但韩国仍然存在于前十名。此外，马来西亚和越南的排名也有所下降，取而代之的是俄罗斯(0.46%，排名第八)和德国(0.38%，排名第十)。

2018年Q2和Q3按国家划分的唯一DDoS目标

DDoS攻击次数动态

第三季的开始和结尾攻击并不多，但是8月和9月初的时候出现了一个锯齿状的图表，上面有很多高峰和低谷。最大的高峰期出现在8月7日和20日，这与大学收集申请者论文和公布录取分数的日期有间接联系。7月2日是最安静的一天。这一季的结尾，虽然不是很忙，但攻击的次数仍然比开始时多。

2018年Q3 DDoS攻击次数动态

本季度的日分布相当均匀。周六是一周中最“危险”的一天(15.58%)，从周二(13.70%)开始。周二的袭击次数排在倒数第二，而周三是本周最安静的一天(12.23%)。

DDoS攻击时间 2018年Q2&Q3

DDoS攻击的持续时间和类型

第三季中持续时间最长的一次攻击持续了239个小时——仅仅不到10天。提醒一下，上个季度最长的一次持续了近11天(258小时)。

大规模的、旷日持久的攻击大大减少了。这不仅适用于第一名——持续时间超过140小时，也适用于所有其他5小时以下的项目。最显著的下降发生在5到9小时的持续时间：这些攻击从14.01%下降到5.49%。

然而，4小时以下的短时间攻击几乎增加了17.5个百分比，达到86.94%。与此同时，目标数量较上季度增长63%。

DDoS攻击持续时间（小时）2018 Q2和Q3

攻击类型分布与上一季度基本相同。SYN Flood保持了它的第一位置；它的份额甚至增长到83.2%(从第二季度的80.2%和第一季度的57.3%)。UDP Flood位居第二；该指数也小幅上涨，为11.9%(上季度为10.6%)。其他类型的攻击减少了几个百分点，但在相对发生率方面没有发生变化：HTTP仍然是第三，TCP和ICMP分别是第四和第五。

DDoS攻击类型，2018 Q2和Q3

Windows和 Linux 的僵尸网络和上一个季度的比例是一样的，Windows僵尸网络已经上升了1.4个百分比，这与攻击类型的变化动态有很大的联系。

Windows vs. Linux僵尸网络，2018年Q3

僵尸网络地理分布

在僵尸网络命令服务器数量最多的10个地区中，出现了一些变动。美国仍然是第一，尽管其份额从上季度的44.75%下降到37.31%。俄罗斯攀升至第二位，其市场份额从2.76%增至8.96%，增长了两倍。希腊排名第三：它在指挥服务器中所占比例为8.21%，比上一季度的0.55%有所上升，而且远远超出前10名。

中国的占比为5.22%，仅排在第五位，落后于占比6.72%的加拿大（比中国第二季度的占比高出几倍）。

与此同时，排名前十之外的国家的总份额有了大幅增长：几乎上升了5个百分点。目前，这一比例为16.42%。

僵尸网络命令服务器按国家分类，2018年Q3

结论

过去三个月没有发生重大袭击事件。与夏季经济放缓形成鲜明对比的是，9月份对学校的攻击激增尤为明显。

另一个显著的发展是不断减少的长期攻击与越来越多的单个目标攻击的不断增长: 僵尸网络所有者可能正在用小型攻击取代大规模攻击。在过去几个季度中，我们已经看到了这种范式转变的前奏。

第二季度里，C&C僵尸网络的数量排名前十被重新洗牌了。可能是由于攻击者试图扩张到新区域或试图整理其资源的地域冗余。原因可能是经济上（电价、商业稳健性）和法律上的反网络犯罪行动。

过去两个季度的统计数据使我们相信，DDoS社区中可能正在进行某些转型进程。这可能导致，这个领域内的网络犯罪活动在不久后将被重新配置。

*参考来源：Kaspersky Lab以及国家互联网应急中心CNCERT，青松编译，转载请注明来自Qssec.COM。