绿盟科技《IP团伙行为分析》报告解读

【天极网网络频道】前言：近年来，DDoS攻击已成为互联网上最常见的一种攻击方式，其中僵尸网络在DDoS攻击中发挥着巨大作用。绿盟科技基于近几年对多个IP团伙行为的研究跟踪及数据积累，于近日推出了《IP团伙行为分析》报告。

内容提要

根据绿盟威胁情报中心观测，2018年上半年，超过2700万攻击源IP中，被监测到多次攻击的行为被称之为“惯犯”。这些惯犯承担了40%的攻击事件，其中僵尸网络活动和DDoS攻击是惯犯们的主流攻击方式。由于僵尸网络活动和DDoS攻击通常以协作方式从多个来源发起，这些惯犯通过勾结“作案”，这类群体被称作“IP团伙”(IP Chain-Gang)。IP团伙成员虽然仅占全部攻击者的2%，但是却发起了20%的攻击。其中，有20%的IP团伙中发起了80%的攻击。此外，反射攻击，特别是大流量攻击是各团伙乐于选择的攻击方式。

本文将对《IP团伙行为分析》报告中的IP团伙的攻击方式、流量峰值、攻击类型、攻击者和受害者区域分布、攻击团伙特征等方面进行解读。希望能够通过相关数据分析，能够更好地预测DDoS攻击，防患于未然。

攻击方式有哪些？

1、攻击类型与攻击总流量

下图按攻击总流量区间展示了各种攻击的分布。

攻击类型与攻击总流量

NTP反射攻击因其出色的放大性能，在大流量攻击中最常使用。SYN Flood攻击方法简单所以使用最为普遍。这两种攻击再加上UDP Flood和SSDP反射攻击构成了最主要的攻击类型。

2、单一攻击与混合攻击

一些组织发动攻击时会采取多种攻击方法，下面两个图展示了某一团伙采用的攻击方法。该攻击团伙大多时候仅采用一种攻击方法发起攻击(92.8%)，不过有时也会采取多种攻击方法对一个受害者发起协同性攻击。在混合攻击中，74.2%的采取了两种攻击方法，4%的采取了四种方法。此外，UDP flood是混合攻击中比较常用的一种攻击方式。

3、反射攻击流量与事件

各类反射型攻击，正越来越多地用于发起DDoS攻击，特别是大流量攻击。在攻击事件数量上，DNS反射攻击占全部反射型攻击的57%。从触发较大流量的能力来看，NTP反射攻击是一种更为强大的DDoS攻击。

流量峰值：IP团伙最大攻击力是多少？

了解攻击团伙的能力极限对于规划防御非常重要。流量峰值是衡量某一团伙的攻击能力和恶意程度的关键参数，反映了攻击团伙对目标的最大攻击能力。通常情况下，攻击团伙的攻击流量并不会总能达到其所能达到的最大峰值。不过，当攻击团伙潜力完全释放出来时，会展示出强大的攻击能力。

单一攻击的流量峰值趋势(某一攻击团伙)

攻击者和受害者区域分布：欧洲成重灾区

通过地理位置信息，攻击者可确定哪些目标值得攻击，受害者可查明攻击来自何方。虽然。可能无法基于地理位置信息判断起掌控作用的威胁源起方的具体位置，但至少可明确DDoS活动的热点地区。

为展示中国以外的攻击活动，绿盟科技收集了国外部署的传感器所生成的数据，对其地理位置进行了研究。其中，欧洲拥有最多的攻击源，同时欧洲也是受害最严重的地区。

攻击源国家分布

攻击目标国家分布

IP团伙概要模型：各类型攻击团伙特征

我们可从攻击流量、事件数量、受害者数量、攻击IP数量和最大攻击速率等多个角度分析某一IP团伙的不同特性。这样，就可以对这一团伙的攻击能力就有了一个大概的了解。

1、最大的攻击团伙

从下图可以看出，该团伙的攻击目标和攻击次数均不多，但是其攻击峰值相对较高，这可能是因为该团伙成员基数庞大的原因。

IP团伙概要模型(最大团伙)

2、最活跃的攻击团伙

下图是攻击数量最大且波及最多受害者的攻击团伙。虽然，该团伙规模不大，但却能产生很大的攻击流量和流量峰值。可见，该团伙攻击性很强。

IP团伙概要模型(最活跃的攻击团伙)

3、流量最大的攻击团伙

下图是攻击流量最大且流量峰值最高的攻击团伙。不过，该攻击团伙的规模相对较小，攻击目标和攻击次数也较少。可以推断该团伙的成员可能具备较大的带宽管道。

IP团伙概要模型(流量最大的团伙)

写在最后：

据了解，将DDoS攻击作为协同团伙活动进行研究尚属首次。从这一全新角度来研究，可以获得一些独特见解，这也将有助于我们更准确地描述攻击者的行为方式，有效防御这些团伙在未来可能发起的攻击。

了解更多，可查看绿盟科技《IP团伙行为分析》报告完整版 http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/