青松资讯：2018年第四季度DDoS攻击报告

青松划重点

△本季度，DDoS的活动频率下降，但攻击的技术水平上升，并且出现了一些新兴的僵尸网络，如Chalubo bot、Torii、DemonBot等。

△中国境内比较活跃的僵尸网络家族为XorDDoS、Gafgyt、BillGates。

△中国仍然是DDoS攻击数量最多的国家，但所占份额大幅下降，全球排名前十的国家变动较大，可能是因为各国严厉打击僵尸网络等举措的结果。

△另一些国家本季度排名上升，可能是因为通信基础设施的更新换代。

新闻概述

△在2018年第四季度，安全研究人员发现了一些新的僵尸网络，其中不仅包括Mirai家族的变种。去年秋天，Chalubo僵尸网络的活动有所增加，它的第一次攻击记录出现在8月底。Chalubo主要是一款专为DDoS攻击而设计的新“产品”（检测到的样本之一使用了SYN flood）。10月份，人们开始在互联网攻击活动中看到Chalubo bot家族的活动踪迹；研究人员检测到为不同架构（32位和64位ARM、x86、x86_64、MIPS、MIPSEL、PowerPC）创建的版本，这表明该僵尸网络已完成测试，进入到成熟阶段。

△同样是在10月份，Avast专家一个月前检测到的Torii 僵尸网络的细节被公开。僵尸网络的目标是广泛的物联网设备和架构。它的代码与Mirai有很大的不同——恶意软件隐藏地更好，持久性更高，因此更危险。恶意软件收集并发送有关受感染设备的详细信息到其C&C服务器，包括主机名和进程ID，但目的尚不清楚。没有发现基于Torii僵尸网络的DDoS攻击，该网络发展大概还处于早期阶段。

△上一季的另一个僵尸网络家族，绰号“恶魔机器人”（DemonBot），因为其在执行YARN远程命令时通过漏洞而劫持Hadoop集群而备受关注。这款机器人技术上并不复杂，但因为其攻击目标的特殊性而提高了危险性：Hadoop集群的计算能力很强，因为它们是为处理大数据而设计的；更重要的是，由于集成了云计算，它们可以显著增强DDoS攻击。“恶魔机器人”不仅与Hadoop集群兼容，而且与大多数物联网设备兼容，这使得攻击更多的目标对它来说轻而易举。

△上个季度，专家们不仅预告了新的僵尸网络的活跃，还警告了新的攻击机制。例如，FragmentSmack的可部署性比之前认为的要广泛。这种攻击利用IP堆栈中的一个漏洞——该漏洞允许将有缺陷的数据包伪装成更大消息的片段发送，被攻击的资源试图将这些包收集到一个包中，或者将它们放在一个无穷无尽的队列中，这会占用它所有的计算能力，使它无法处理合法的请求。起初安全专家认为FragmentSmack只会对 Linux 系统构成威胁，但去年12月，来自芬兰的研究人员发现，它在Windows 7、8.1、10、Windows Server和90种思科产品上也可以完美运行。

△另一种发展势头良好的攻击方法是使用2014年批准广泛应用的CoAP协议。它的最初设计目的是促进具有少量内存的设备之间的通信，使其成为物联网的理想选择。由于CoAP基于UDP协议，它继承了后者的所有缺陷，这意味着可以利用它来增强DDoS攻击。到目前为止，使用CoAP协议来发动攻击的例子还不多；然而，专家指出，在2017年11月至2018年11月期间，使用CoAP的设备数量增加了近100倍，因此不可对这种攻击方法放松警惕。

△除了新的潜在攻击手段外，2018年末还出现了一个新的DDoS攻击平台，名为0x-booter。这项服务于2018年10月17日首次被发现，基于感染了Bushido IoT恶意软件（Mirai的改良版）的1.6万多台肉鸡网络，它可以支持最高420 Gb/s的攻击能力。这个平台借用了同类服务的代码，其简单、低成本和相对强大的功能是非常危险的：只需花费20-50美元，任何人都可以使用这个简单的接口对目标发起DDoS攻击。据研究人员称，仅在10月下旬，该服务就在300多起DDoS攻击中得到应用。

△正是有了这些资源，网络罪犯们在整个10月份针对日本电子游戏发行商Square Enix发起了一场声势浩大的DDoS攻击活动。第一波袭击发生在月初，与此同时育碧（Ubisoft）的法国分部也遭遇了袭击（在10月4日《刺客信条奥德赛》上映之时），第二波袭击发生在几周后。攻击切断了用户服务将近20小时。

△同时，执法机构也尽职尽责。去年Q4季度，各国有多位涉及组织、参与DDoS攻击的人被逮捕并判刑。 这是一些国家在本季度的DDoS攻击活动态势中脚步放缓的重要原因。

季度及年度趋势

2018年，我们记录的DDoS活动比前一年 减少了13% 。在此期间，除了第三季度外，每个季度的攻击次数都有所下降。由于9月份异常活跃，第三季度的攻击次数超过了2017年第三季度。最大的降幅出现在第四季度，攻击次数仅为2017年的70%。

2017 – 2018年Kaspersky Lab记录的DDoS攻击次数季度对比

H2攻击的平均持续时间在一年内稳步增长：从第一季度的95分钟增长到第四季度的218分钟。

在我们以往的报告中，最常见的大规模攻击类型是UDP Flood。然而，当比较攻击持续时间时，情况就大不相同了。首先是HTTP Flood和使用HTTP元素的混合攻击——它们占所有DDoS攻击活动的80%左右。与以往经验相反，我们今年观察到的UDP攻击很少持续超过5分钟。

攻击持续时间的类型分布，2018年

所有这些都表明，正如我们预测的那样，简单、易于组织的攻击市场将继续萎缩。标准的DDoS攻击由于反UDP Flood保护措施的升级而变得毫无意义，另外，所涉及的技术资源总是要被用于其他目的，比如加密货币挖掘。

许多短时间攻击可以理解为攻击者在进行简单的测试。只需几分钟，网络罪犯就会发现他们的 工具 是否有效并停止攻击，这不能理解为正式的攻击活动。

与此同时，更复杂的攻击（如HTTP Flood）需要耗费时间和精力来组织，仍然很流行，并且呈持续上升趋势。

因此我们预估2019年的攻击趋势将是：

随着攻击的持续时间、威力和影响的增长，攻击总数将下降；攻击技术水平也将提高。市场对攻击者的专业性提出了更高的要求，DDoS攻击的组织者将不得不提高他们的技术水平。

季度总结

中国仍然是DDoS攻击数量最多的国家，但其份额从77.67%下降到50.43%，降幅相当大。美国排名第二(24.90%)，澳大利亚排名第三(4.5%)。与上季度相比，前十名单里少了俄罗斯和新加坡，多了巴西(2.89%)和沙特阿拉伯(1.57%)。

按目标地域分布来看，中国(43.26%)、美国(29.14%)和澳大利亚(5.91%)仍然领先。也就是说，中国的份额大幅下降，而其他所有排名前10位的国家的份额都有所上升。

上一季度基于僵尸网络的攻击大多发生在10月份；假期和节前的时间比较平静。就周动态而言，攻击活动在周中上升，在接近尾声时下降。

Q4是近年来持续时间最长的一次，持续了近16天(329小时)。总的来说，短时间攻击的比例略有下降，但波动很小。

UDP Flood的比例显著增加，几乎占所有攻击的三分之一(31.1%)。然而，SYN Flood仍然处于领先地位(58.2%)。

随着Mirai C&C服务器数量的增加，美国(43.48%)、英国(7.88%)、荷兰(6.79%)的市场份额也随之增加。

攻击地理

在2018年最后一个季度，中国仍然是DDoS攻击最多的国家。但是，其份额降低了超过20个百分比：从77.67%到50.43%。

与此同时，排名第二的美国所占比例几乎翻了一番，达到24.90%。第三名澳大利亚的份额也几乎翻了一番（从2.27%增至4.5%）。香港地区的占额仅小幅上升（从1.74%降至1.84%），导致香港地区的排名跌至第六位。第四名为巴西，本季度占额为2.89%。

出人意料的是，沙特阿拉伯的排名上升到了第7位，其所占份额升至1.57%。这一次，前10名没有留给俄罗斯和新加坡的空间。韩国在第三季度跌至第11位之前，已经连续几年位居前3位，不仅未能重返前10位，而且跌至第25位。

2018年Q4和Q4 DDoS攻击的国家分布

2018年Q3和Q4按国家划分的DDoS攻击目标分布

DDoS攻击的持续时间和类型

我们监测到的最长的第四季度攻击持续了近创纪录的329小时(近14天)；对于更长的攻击，我们必须回到2015年末。这大约是上一季度最长攻击时间239小时(约10天)的1.5倍。

在上一季度，超过140小时的攻击总数仅小幅增长(+0.01%)至0.11%。长时间攻击的比例(50-139小时)也从0.59%上升到1.15%。然而，在5-9小时的攻击中上升最显著:从5.49%上升到9.40%。

因此，持续时间少于4小时的短时间攻击的比例略有下降，为83.34%。相比之下，在第三季度，他们占了所有攻击的86.94%。

上个季度按类型划分的攻击分布经历了一些调整。SYN flood仍然是最常见的，但是它的份额从83.20%下降到了58.20%。这使得UDP flood在所有DDoS攻击中所占的份额从第三季度的11.90%上升到近三分之一(31.10%)。

排在第三位的是TCP flood，其份额也上升到了8.40%。通过HTTP进行攻击的份额下降到2.20%。ICMP Flood再次排在最后，其所占比例降至0.10%。

DDoS攻击的类型分布，2018年Q4

Windows和Linux僵尸网络的比例在第三季度几乎没有变化。Linux僵尸网络的份额略有上升，达到97.11%。因此，Windows僵尸网络的份额下降到2.89%。

2018年Q3和Q4 Windows/Linux僵尸网络攻击比率

僵尸网络地理分布

在僵尸网络C&C服务器分布方面，美国仍然领先，所占份额从37.31%扩大到43.48%。排在第七位的俄罗斯(4.08%)让位给了英国(7.88%)。第三名荷兰其所占份额从2.24%升至6.79%。值得注意的是，所有这些增长都归因于Mirai C&C服务器数量的增加。

中国所占比例(2.72%)继续下滑，在第四季度仍排在第十位。

僵尸网络C&C服务器的国家分布，2018年Q4

中国境内的攻击数据

本季度利用肉鸡发起DDoS攻击的控制端中，境外控制端最多位于美国；境内控制端主要位于贵州省，江苏省、广东省和浙江省，按归属运营商统计，电信占的比例最大。

境内肉鸡控制端所属省份及运营商分布，2018年Q4

本季度参与攻击较多的肉鸡地址主要位于山东省、江苏省、浙江省和福建省，其中大量肉鸡地址归属于电信运营商。2018年以来监测到的持续活跃的肉鸡资源中，位于山东省、江苏省、浙江省占的比例最大。

本季度被利用发起反射攻击境内反射服务器数量排名靠前的省份和主要运营商是：

Memcached反射攻击 – 河南省、广东省、山东省；电信

NTP反射攻击 – 河北省、河南省和山东省；联通

SSDP反射攻击 – 辽宁省、浙江省、广东省、吉林省；联通

结论

连续第三季度，根据攻击次数、目标数量和僵尸网络C&C服务器数量，排名前10位的国家排名继续波动。DDoS活动的增长趋势在以前相对较低的地方最为强劲，而曾经占主导地位的国家则出现了下滑。这很可能是他们成功执法和打击僵尸网络等举措的结果。

另一个原因可能是在DDoS攻击不可行的地区出现了更好的通信基础设施，导致这些地区攻击数量的攀升。

根据前文中2019年DDoS攻击活动的趋势预测，DDoS攻击将根据市场需求而进行技术升级，从而具有更高的技术含量，更加难以防护。因此对于互联网企业，防御难度将日趋增长；对于互联网安全服务提供商，也提出了更高的技术要求。

*参考数据来源：Kaspersky Lab、国家互联网应急中心CNCERT、ZDNet、DARKReading。青松编译，转载请注明。

—  E N D  —

安全之道，青松知道

您可信赖的互联网安全服务提供商