卡巴斯基——2019年Q1 DDoS攻击动态

栏目: 编程工具 · 发布时间: 5年前

内容简介:今年初

卡巴斯基——2019年Q1 DDoS攻击动态

一、季度变化

  • 在攻击源方面,中国仍排在第一。尽管在 2018Q4 其份额大幅下跌,但在 2019Q1 又回到了正常水平。
  • 在攻击目标方面,前三名和攻击源的分布一模一样:中国( 59.85% )、美国( 21.28% )和中国香港( 4.21% )。
  • 与前几个季度相比,攻击源 / 目标的地理分布 Top10 几乎没什么变化。
  • DDoS 攻击数量的最高峰出现在 3 月后半月;最平静的时期则是 1 月。
  • 一周中最危险的一天是周六,周日最为安全。
  • 与上一季度相比, DDoS 攻击的最长持续时间减少了一天多,尽管超过 5 个小时的攻击增长至 21.34%2018Q416.66% )。
  • SYN 泛洪增长至 84% ,导致 UDPTCP 泛洪的份额下跌。 HTTPICMP 分别增长至 3.3%0.6%
  • Linux 僵尸网络的份额略微下降,但仍占主导地位( 95.71% )。
  • 大多数 C&C 服务器仍位于美国( 34.10% ),其次是荷兰( 12.72% ),然后是俄罗斯( 10.40% )。值得注意的是韩国重返前十,尽管排在最后一名( 2.31% )。

二、新闻概览

新僵尸网络

今年初 DDoS 攻击者的武器库中出现了各种新工具,例如 2 月初出现了由 QbotMirai 等公开恶意软件的组件构成的新僵尸网络 Cayosin 。该僵尸网络频繁更新漏洞利用库,并且不仅在暗网上打广告,还在 YouTube 上打广告,甚至在 Instagram 上出售(犯罪者显然正在最大化利用社交媒体的便利性)。在跟踪犯罪者的账户时,研究人员还发现了其它的恶意软件和僵尸网络,例如 Yowai

3 月中旬出现了另一个针对商业设备的 Mirai 变体 。该恶意软件现在不仅可以攻击网络入口点、路由器和网络摄像头,还可以攻击无线演示系统和数字标牌系统。

攻击事件

尽管如此,高调的 DDoS 攻击事件并不多。在 25 日至 31 日期间,美国 奥尔巴尼大学 UAlbany )共受到 17 次攻击,导致服务器至少宕机 5 分钟。

2 月初, 菲律宾 国家 记者联盟 的官网也遭到攻击。攻击流量的峰值达 468GB/s ,导致该网站在数个小时内无法访问。该攻击或与政治目的有关。

同样在 3 月中旬, Facebook Instagram 用户发现自己无法登录账户,许多人认为该事件与 DDoS 有关,但 Facebook 官方并未承认。

警方行动

DDoS 新闻的缺乏伴随着警方对犯罪组织的逮捕、指控等行动的增长。

1 月初美国司法部 查获 了与去年 12 月的 DDoS 攻击有关的 15 个域名。根据 DoJ 的文件,这些域名被用于实施针对全球政府、 ISP 、大学、金融机构和游戏平台的攻击之中。

1 月底,美国法院因对 DDoS 两家医疗机构而对马萨诸塞州黑客判处 10 监禁 。还是在 1 月,一名黑客因破坏利比里亚和德国的移动网络而在英国 被捕 (在 2015 年他的犯罪生涯高峰期,该黑客使得整个利比里亚的网络离线)。

去年关闭 DDoS 服务网站 Webstresser.org 的冲击波还在延续。警方决定不仅追踪组织者,还追踪购买了 DDoS 服务的用户。 1 月底,欧洲刑警组织宣布在英国和荷兰 逮捕 250 多名用户。还有消息称针对更多用户的 调查 正在进行中( 20 个国家的 1.5Webstresser 用户)。

三、季度趋势

上一季度卡巴斯基预测称全球的 DDoS 市场正在萎缩,并且对长期“智能”型攻击( HTTP 泛洪)的需求将增长。

第一个预测显然已经失败: 2019Q1 的所有 DDoS 攻击指标都有所增长。总体攻击数量增长了 84% ,持续超过 60 分钟的 DDoS 攻击数量翻番。平均攻击时间延长了 4.21 倍,超长型攻击增长了 487%

2018Q3Q4 的报告中我们假设 DDoS 攻击的减少与挖矿的兴起有关,显然这一假设至少部分是错误的,我们被迫重新对这一情况进行评估。

一个可能性更大的解释是: 2018 年下半年我们观察到较少的僵尸网络被用于其它目的,而市场真空在扩大。最有可能的是,这一供应短缺与 DDoS 攻击的下滑、出售相关服务的网站被关闭以及主要成员被 逮捕 有关。显然现在市场真空已被填补:相关指标的爆炸式增长几乎可以肯定与新供应商及客户的出现有关。这使得即将到来的 Q2 的指标十分令人期待,指标会继续上涨,还是市场稳定在当前水平呢?

第二个预测要更为成功一些:长期、难以组织的攻击在数量和质量上都在增长。我们认为这种趋势在 Q2 不会持续下去。

四、统计分析

地理分布

攻击源

在攻击源方面,中国仍是第一,并且在经历了上一季度的下滑后回复至正常水平:从 50.43% 增长至 67.89% 。第二名是美国,其份额从 24.90% 下降至 17.17% 。然后是中国香港,从第七名冲到了第三,份额从 1.84% 增长至 4.81%

有趣的是,除了中国外,其它地区的份额都在下降。 2018Q4 的第三名澳大利亚下滑至最后一名(从 4.57% 下降至 0.56% ,跌了 4 个百分点)。

英国的变化也很值得注意,它从第五名跌至第七名(从 2.18%0.66% ,跌了 1.52 个百分点)。加拿大和沙特阿拉伯分别下跌了约 1 个百分点,但这并没有阻止加拿大( 0.86% )从第六攀升至第四,相反沙特阿拉伯( 0.58% )则跌至榜单边缘。

同时巴西跌出了 Top10 ,让位给新加坡,后者位列第五( 0.82 %,其份额也有下降,但非常轻微)。

曾经经常和美国争夺第二第三的韩国这一季度还是在 Top10 之外( 0.30 %)。虽然 Top10 看起来仍然有点奇怪,但过去三个季度并未重复出现意料之外的变化。

卡巴斯基——2019年Q1 DDoS攻击动态

2018Q4-2019Q1DDoS 攻击源分布

攻击目标

攻击目标的地理分布和攻击源保持一致:中国继续第一(从 43.26% 增长至 59.85% ),美国第二(从 29.14% 下降至 21.28% ),中国香港第三(从 1.76% 攀升至 4.21% )。

沙特阿拉伯从第五下降至第六,略微下跌了 1 个百分点(从 2.23% 跌至 1.08% )。加拿大的数字差不多(从 2.21% 跌至 1.30% ),但从第六增长至第四。英国跌幅较大(从 2.73% 跌至 1.18% ),从第四跌至第五。

与此同时澳大利亚和巴西跌出了前十(上一季度分别是第三和第八)。取代者是新加坡(从 0.72% 增长至 0.94% ,第八名)和波兰(从 0.33% 增长至 0.90% ,第九名)。同往常一样,第十名是德国( 0.77 %)。

卡巴斯基——2019年Q1 DDoS攻击动态

2018Q4-2019Q1DDoS 攻击目标分布

DDoS 动态

2019Q1 中, 3 月份的 DDoS 攻击活动最多,尤其是后半月。最高峰出现在 316 日( 699 个攻击)。 117 日也有一个高峰,我们记录到 532 个攻击。 1 月初较为平静,没有高峰和低谷,但最平静的一天是 25 日,只有 51 个攻击。

卡巴斯基——2019年Q1 DDoS攻击动态

2019Q1DDoS 攻击动态

至于一周分布, DDoS 强度最高的一天是星期六( 16.65% ),其次是星期五( 15.39% )。星期天相对较为平静( 11.41% )。回想一下 2018Q4 ,最激烈的一天是星期四( 15.74% ),而最平静的一天还是周日。(犯罪分子也需要休息, 233

卡巴斯基——2019年Q1 DDoS攻击动态

2018Q4-2019Q1DDoS 攻击的星期分布

持续时间及类别

持续时间

2019Q1 ,超长型攻击的份额几乎翻番 0.11 %增长至 0.21 %。然而,与 2018Q4 的近 14 天( 329 个小时)相比,本季度持续时间最长的攻击也只有 12 天( 289 个小时)。

最重要的是,持续时间 >5 个小时的攻击大幅增长: 2018Q416.66% ,现在已达 21.34% 。如下图所示,继续细分可以发现,除了持续时间在 100-139 个小时之间的 DDoS 攻击份额轻微下降之外(从 0.14 %降至 0.11 %),其它类别都有所增长。相对地,短持续时间的 DDoS 攻击份额下降了约 5 个百分点,至 78.66%

卡巴斯基——2019年Q1 DDoS攻击动态

2018Q4-2019Q1DDoS 攻击的持续时间分布(单位:小时)

类别

一如既往, 2019Q1SYN 泛洪仍然占据最大的份额,其数字相比 2018Q4 甚至有所增长,达 84.1% 。当然,如此大的增长(从 58.2% 增长了超过 20 个百分点)会导致其它类别的份额下降。

例如,虽然还是第二,但 UDP 泛洪本季度的份额只有 8.9% ,从 31.1% 大幅下跌。之前排在第三的 TCP 泛洪从 8.4% 下跌至 3.1% ,只能排在第四。 HTTP 泛洪有所增长(增长了 1.1 个百分点,达 3.3% ),排在第三。 ICMP 还是最后一名,尽管它的份额从 0.1% 增长到 0.6%

卡巴斯基——2019年Q1 DDoS攻击动态

2019Q1DDoS 攻击的类别分布

Linux 僵尸网络的数量仍然碾压 Windows ,尽管在 2019Q1 这一差距略微缩小: Linux 僵尸网络从 97.11% 下跌至 95.71% ,相对的 Windows 僵尸网络增长了 1.5 个百分点,达 4.29% 。这一变化的原因并不是 Windows 设备变得更加流行,而是僵尸网络 Mirai 及其变体 DarkaiC&C 服务器数量的下滑。这两个僵尸网络的攻击数量也相应地减少了 3 倍和 7 倍。

卡巴斯基——2019年Q1 DDoS攻击动态

2018Q4-2019Q1Windows/Linux 僵尸网络比例

僵尸网络

僵尸网络数量最多的国家仍然是美国( 34.10% )。荷兰则从 2018Q4 的第三名上升至本季度的第二名( 12.72% )。第三名是俄罗斯( 10.40% ),从第七名爬升至第三。中国从榜末爬升至第四( 7.51% ),错失了回到 Top3 的机会。

希腊和德国离开了 Top10 榜单,为越南( 4.05% )和韩国让位( 2.31% )。尽管韩国曾长期处于靠前的位置,现在也只能排在第十。

卡巴斯基——2019年Q1 DDoS攻击动态

2019Q1 ,僵尸网络 C&C 服务器的地理分布


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

剑指Offer:名企面试官精讲典型编程题(第2版)

剑指Offer:名企面试官精讲典型编程题(第2版)

何海涛 / 电子工业出版社 / 2017-5 / 65.00

《剑指Offer:名企面试官精讲典型编程题(第2版)》剖析了80个典型的编程面试题,系统整理基础知识、代码质量、解题思路、优化效率和综合能力这5个面试要点。《剑指Offer:名企面试官精讲典型编程题(第2版)》共分7章,主要包括面试的流程,讨论面试每一环节需要注意的问题;面试需要的基础知识,从编程语言、数据结构及算法三方面总结程序员面试知识点;高质量的代码,讨论影响代码质量的3个要素(规范性、完整......一起来看看 《剑指Offer:名企面试官精讲典型编程题(第2版)》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

html转js在线工具
html转js在线工具

html转js在线工具