内容简介:今年初
一、季度变化
- 在攻击源方面,中国仍排在第一。尽管在 2018 年 Q4 其份额大幅下跌,但在 2019 年 Q1 又回到了正常水平。
- 在攻击目标方面,前三名和攻击源的分布一模一样:中国( 59.85% )、美国( 21.28% )和中国香港( 4.21% )。
- 与前几个季度相比,攻击源 / 目标的地理分布 Top10 几乎没什么变化。
- DDoS 攻击数量的最高峰出现在 3 月后半月;最平静的时期则是 1 月。
- 一周中最危险的一天是周六,周日最为安全。
- 与上一季度相比, DDoS 攻击的最长持续时间减少了一天多,尽管超过 5 个小时的攻击增长至 21.34% ( 2018 年 Q4 是 16.66% )。
- SYN 泛洪增长至 84% ,导致 UDP 和 TCP 泛洪的份额下跌。 HTTP 和 ICMP 分别增长至 3.3% 和 0.6% 。
- Linux 僵尸网络的份额略微下降,但仍占主导地位( 95.71% )。
- 大多数 C&C 服务器仍位于美国( 34.10% ),其次是荷兰( 12.72% ),然后是俄罗斯( 10.40% )。值得注意的是韩国重返前十,尽管排在最后一名( 2.31% )。
二、新闻概览
新僵尸网络
今年初 DDoS 攻击者的武器库中出现了各种新工具,例如 2 月初出现了由 Qbot 、 Mirai 等公开恶意软件的组件构成的新僵尸网络 Cayosin 。该僵尸网络频繁更新漏洞利用库,并且不仅在暗网上打广告,还在 YouTube 上打广告,甚至在 Instagram 上出售(犯罪者显然正在最大化利用社交媒体的便利性)。在跟踪犯罪者的账户时,研究人员还发现了其它的恶意软件和僵尸网络,例如 Yowai 。
3 月中旬出现了另一个针对商业设备的 Mirai 变体 。该恶意软件现在不仅可以攻击网络入口点、路由器和网络摄像头,还可以攻击无线演示系统和数字标牌系统。
攻击事件
尽管如此,高调的 DDoS 攻击事件并不多。在 2 月 5 日至 3 月 1 日期间,美国 奥尔巴尼大学 ( UAlbany )共受到 17 次攻击,导致服务器至少宕机 5 分钟。
2 月初, 菲律宾 国家 记者联盟 的官网也遭到攻击。攻击流量的峰值达 468GB/s ,导致该网站在数个小时内无法访问。该攻击或与政治目的有关。
同样在 3 月中旬, Facebook 和 Instagram 用户发现自己无法登录账户,许多人认为该事件与 DDoS 有关,但 Facebook 官方并未承认。
警方行动
DDoS 新闻的缺乏伴随着警方对犯罪组织的逮捕、指控等行动的增长。
1 月初美国司法部 查获 了与去年 12 月的 DDoS 攻击有关的 15 个域名。根据 DoJ 的文件,这些域名被用于实施针对全球政府、 ISP 、大学、金融机构和游戏平台的攻击之中。
1 月底,美国法院因对 DDoS 两家医疗机构而对马萨诸塞州黑客判处 10 年 监禁 。还是在 1 月,一名黑客因破坏利比里亚和德国的移动网络而在英国 被捕 (在 2015 年他的犯罪生涯高峰期,该黑客使得整个利比里亚的网络离线)。
去年关闭 DDoS 服务网站 Webstresser.org 的冲击波还在延续。警方决定不仅追踪组织者,还追踪购买了 DDoS 服务的用户。 1 月底,欧洲刑警组织宣布在英国和荷兰 逮捕 了 250 多名用户。还有消息称针对更多用户的 调查 正在进行中( 20 个国家的 1.5 万 Webstresser 用户)。
三、季度趋势
上一季度卡巴斯基预测称全球的 DDoS 市场正在萎缩,并且对长期“智能”型攻击( HTTP 泛洪)的需求将增长。
第一个预测显然已经失败: 2019 年 Q1 的所有 DDoS 攻击指标都有所增长。总体攻击数量增长了 84% ,持续超过 60 分钟的 DDoS 攻击数量翻番。平均攻击时间延长了 4.21 倍,超长型攻击增长了 487% 。
2018 年 Q3 及 Q4 的报告中我们假设 DDoS 攻击的减少与挖矿的兴起有关,显然这一假设至少部分是错误的,我们被迫重新对这一情况进行评估。
一个可能性更大的解释是: 2018 年下半年我们观察到较少的僵尸网络被用于其它目的,而市场真空在扩大。最有可能的是,这一供应短缺与 DDoS 攻击的下滑、出售相关服务的网站被关闭以及主要成员被 逮捕 有关。显然现在市场真空已被填补:相关指标的爆炸式增长几乎可以肯定与新供应商及客户的出现有关。这使得即将到来的 Q2 的指标十分令人期待,指标会继续上涨,还是市场稳定在当前水平呢?
第二个预测要更为成功一些:长期、难以组织的攻击在数量和质量上都在增长。我们认为这种趋势在 Q2 不会持续下去。
四、统计分析
地理分布
攻击源
在攻击源方面,中国仍是第一,并且在经历了上一季度的下滑后回复至正常水平:从 50.43% 增长至 67.89% 。第二名是美国,其份额从 24.90% 下降至 17.17% 。然后是中国香港,从第七名冲到了第三,份额从 1.84% 增长至 4.81% 。
有趣的是,除了中国外,其它地区的份额都在下降。 2018 年 Q4 的第三名澳大利亚下滑至最后一名(从 4.57% 下降至 0.56% ,跌了 4 个百分点)。
英国的变化也很值得注意,它从第五名跌至第七名(从 2.18% 到 0.66% ,跌了 1.52 个百分点)。加拿大和沙特阿拉伯分别下跌了约 1 个百分点,但这并没有阻止加拿大( 0.86% )从第六攀升至第四,相反沙特阿拉伯( 0.58% )则跌至榜单边缘。
同时巴西跌出了 Top10 ,让位给新加坡,后者位列第五( 0.82 %,其份额也有下降,但非常轻微)。
曾经经常和美国争夺第二第三的韩国这一季度还是在 Top10 之外( 0.30 %)。虽然 Top10 看起来仍然有点奇怪,但过去三个季度并未重复出现意料之外的变化。
2018 年 Q4-2019 年 Q1 , DDoS 攻击源分布
攻击目标
攻击目标的地理分布和攻击源保持一致:中国继续第一(从 43.26% 增长至 59.85% ),美国第二(从 29.14% 下降至 21.28% ),中国香港第三(从 1.76% 攀升至 4.21% )。
沙特阿拉伯从第五下降至第六,略微下跌了 1 个百分点(从 2.23% 跌至 1.08% )。加拿大的数字差不多(从 2.21% 跌至 1.30% ),但从第六增长至第四。英国跌幅较大(从 2.73% 跌至 1.18% ),从第四跌至第五。
与此同时澳大利亚和巴西跌出了前十(上一季度分别是第三和第八)。取代者是新加坡(从 0.72% 增长至 0.94% ,第八名)和波兰(从 0.33% 增长至 0.90% ,第九名)。同往常一样,第十名是德国( 0.77 %)。
2018 年 Q4-2019 年 Q1 , DDoS 攻击目标分布
DDoS 动态
在 2019 年 Q1 中, 3 月份的 DDoS 攻击活动最多,尤其是后半月。最高峰出现在 3 月 16 日( 699 个攻击)。 1 月 17 日也有一个高峰,我们记录到 532 个攻击。 1 月初较为平静,没有高峰和低谷,但最平静的一天是 2 月 5 日,只有 51 个攻击。
2019 年 Q1 , DDoS 攻击动态
至于一周分布, DDoS 强度最高的一天是星期六( 16.65% ),其次是星期五( 15.39% )。星期天相对较为平静( 11.41% )。回想一下 2018 年 Q4 ,最激烈的一天是星期四( 15.74% ),而最平静的一天还是周日。(犯罪分子也需要休息, 233 )
2018 年 Q4-2019 年 Q1 , DDoS 攻击的星期分布
持续时间及类别
持续时间
在 2019 年 Q1 ,超长型攻击的份额几乎翻番 – 从 0.11 %增长至 0.21 %。然而,与 2018 年 Q4 的近 14 天( 329 个小时)相比,本季度持续时间最长的攻击也只有 12 天( 289 个小时)。
最重要的是,持续时间 >5 个小时的攻击大幅增长: 2018 年 Q4 是 16.66% ,现在已达 21.34% 。如下图所示,继续细分可以发现,除了持续时间在 100-139 个小时之间的 DDoS 攻击份额轻微下降之外(从 0.14 %降至 0.11 %),其它类别都有所增长。相对地,短持续时间的 DDoS 攻击份额下降了约 5 个百分点,至 78.66% 。
2018 年 Q4-2019 年 Q1 , DDoS 攻击的持续时间分布(单位:小时)
类别
一如既往, 2019 年 Q1 中 SYN 泛洪仍然占据最大的份额,其数字相比 2018 年 Q4 甚至有所增长,达 84.1% 。当然,如此大的增长(从 58.2% 增长了超过 20 个百分点)会导致其它类别的份额下降。
例如,虽然还是第二,但 UDP 泛洪本季度的份额只有 8.9% ,从 31.1% 大幅下跌。之前排在第三的 TCP 泛洪从 8.4% 下跌至 3.1% ,只能排在第四。 HTTP 泛洪有所增长(增长了 1.1 个百分点,达 3.3% ),排在第三。 ICMP 还是最后一名,尽管它的份额从 0.1% 增长到 0.6% 。
2019 年 Q1 , DDoS 攻击的类别分布
Linux 僵尸网络的数量仍然碾压 Windows ,尽管在 2019 年 Q1 这一差距略微缩小: Linux 僵尸网络从 97.11% 下跌至 95.71% ,相对的 Windows 僵尸网络增长了 1.5 个百分点,达 4.29% 。这一变化的原因并不是 Windows 设备变得更加流行,而是僵尸网络 Mirai 及其变体 Darkai 的 C&C 服务器数量的下滑。这两个僵尸网络的攻击数量也相应地减少了 3 倍和 7 倍。
2018 年 Q4-2019 年 Q1 , Windows/Linux 僵尸网络比例
僵尸网络
僵尸网络数量最多的国家仍然是美国( 34.10% )。荷兰则从 2018 年 Q4 的第三名上升至本季度的第二名( 12.72% )。第三名是俄罗斯( 10.40% ),从第七名爬升至第三。中国从榜末爬升至第四( 7.51% ),错失了回到 Top3 的机会。
希腊和德国离开了 Top10 榜单,为越南( 4.05% )和韩国让位( 2.31% )。尽管韩国曾长期处于靠前的位置,现在也只能排在第十。
2019 年 Q1 ,僵尸网络 C&C 服务器的地理分布
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 动态 | 数字资产金融服务商(C网)遭到黑客恶意攻击
- 动态 | 安全公司PeckShield:在RLPX协议上发现“Freether”漏洞 可被利用进行类似DDos攻击
- .net core3.1 abp动态菜单和动态权限(动态菜单实现和动态权限添加) (三)
- 动态代理三部曲(一):动态代理模式及实现原理
- 你必须会的 JDK 动态代理和 CGLIB 动态代理
- 彻底搞懂jdk动态代理并自己动手写一个动态代理
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
剑指Offer:名企面试官精讲典型编程题(第2版)
何海涛 / 电子工业出版社 / 2017-5 / 65.00
《剑指Offer:名企面试官精讲典型编程题(第2版)》剖析了80个典型的编程面试题,系统整理基础知识、代码质量、解题思路、优化效率和综合能力这5个面试要点。《剑指Offer:名企面试官精讲典型编程题(第2版)》共分7章,主要包括面试的流程,讨论面试每一环节需要注意的问题;面试需要的基础知识,从编程语言、数据结构及算法三方面总结程序员面试知识点;高质量的代码,讨论影响代码质量的3个要素(规范性、完整......一起来看看 《剑指Offer:名企面试官精讲典型编程题(第2版)》 这本书的介绍吧!