2019年第一季度DDoS攻击报告

前言

年初，DDoS攻击策划者的 工具 库中出现了各种各样的新工具。例如，在2月初，由Qbot、Mirai和其他公开可用的恶意软件组成的新僵尸网络Cayosin进入了人们的视野。安全专家更感兴趣的不是它的镶嵌结构和频繁更新的漏洞集，而是它的广告——作为DDoS服务，广告位不是在暗网上，而是摆上了YouTube。更重要的是，它将在Instagram上出售，僵尸网络显然在充分利用社交媒体提供的机会。通过追踪网络罪犯的账户，研究人员还发现了其他恶意软件和僵尸网络，包括已经发现的Yowai。

3月中旬又发现了一个新版本的Mirai，意在攻击商业设备。该恶意软件现在不仅能“僵尸化”接入点、路由器和网络摄像头，还能“僵尸化”无线演示系统和数字标牌系统。

尽管如此，使用僵尸网络进行高调攻击的数量并没有那么大。年初，美国UAlbany大学受到攻击：在2月5日至3月1日期间，该校遭受了17次攻击，服务器宕机至少5分钟。学生和教职工数据库没有受到影响，但一些服务无法提供；UAlbany的IT安全主管认为，这所大学是被特别盯上的。

二月初，菲律宾全国记者联盟的网站也受到攻击。由于一系列强大的攻击，该网站被关闭了数小时，最高流量为468 GB/s。该网站认为自己是政治压力的受害者。

同样在3月中旬，Facebook和Instagram用户无法登录其账户，导致其服务出现严重问题。安全观察员认为该事件与DDoS有关。然而，Facebook本身拒绝这种说法。

在缺乏关于严重DDoS攻击的新闻的同时，有关警方对攻击组织者采取重大行动的报道数量也在增加，同时还出现了逮捕和指控事件。

然而，尽管有执法部门的努力，DDoS攻击仍然对企业构成巨大威胁。诺斯达国际安全理事会对200名大型公司的高级技术人员进行的调查显示，现如今，大型公司认为DDoS攻击是一个严重的问题：52%的安全服务人员已经遇到过这种攻击，75%的人对此表示担忧。

季度趋势

根据数据显示，长时间、更难组织的攻击在定性和定量上的比例仍在增长。我们认为这种趋势将在第二季度持续下去。

本报告包含2019年第一季度DDoS情报统计。

季度总结

就发起攻击的地理分布而言，中国仍然处于领先地位。

攻击目标的地理分布大致为：前三名分别是中国(59.85%)、美国(21.28%)和香港地区(4.21%)。

DDoS攻击在3月下旬达到高峰；最平静的时期是一月份。

对于DDoS攻击来说，一周中最危险的一天是周六，而周日仍然是最平静的。

SYN Flood的比例上升到84%，UDP Flood和TCP Flood的比例下降，HTTP和ICMP攻击的比例分别上升到3.3%和0.6%。

Linux僵尸网络的份额略有下降，但仍然占主导地位(95.71%)。

大多数僵尸网络C&C服务器仍然位于美国(34.10%)，荷兰(12.72%)位居第二，俄罗斯(10.40%)位居第三。值得注意的是，曾经长期领先的韩国重新回到了前十名，尽管排在第十名(2.31%)。

攻击地理

中国仍然是发起袭击次数最多的国家。在经历了前几个季度的下跌之后，它甚至回到了之前的水平：份额从50.43%上升到了67.89%。排在第二位的是美国，尽管其份额从24.90%下降到了17.17%。香港从第七位上升至第三位，所占份额从1.84%升至4.81%。

有趣的是，除中国内地和香港外，其他所有国家的排名都下跌了。

2018Q4&2019Q1按国家划分的DDoS攻击分布

攻击目标的地理分布结果符合发起攻击本身的地理分布趋势：中国内地又一次在第一位置（从43.26%升到59.85%），美国在第二（从29.14%降到21.28%）和香港地区在第三（从1.76%升到4.21%）。

2018Q4&2019Q1按国家划分的DDoS攻击目标分布

距离DDoS攻击的持续时间和类型

在第一季度，持续攻击的比例几乎翻了一番，从0.11%上升到0.21%。然而，与2018年第四季度持续近14天(329H)不同，本季度持续时间最长的攻击仅略多于12天(289H)。

最重要的是，持续时间超过5小时的攻击所占比例显著增加；而在2018年底，这一比例为16.66%，目前为21.34%。从图中可以看出，如果将这一段分割成更小的片段，大部分长时间攻击的类别都有上升的趋势，而只有持续100-139小时的攻击比例略有下降(从0.14%下降到0.11%)。因此，短期攻击的比例下降了近5个百分点，至78.66%。

2018Q4&2019Q1 DDoS攻击的持续时间(小时)分布

和往年一样，SYN Flood在第一季度垃圾邮件流量中占据了最大份额。与2018年第四季度相比，其份额更大，攀升至84.1%。当然，如此大幅度的上涨对其他类型的占比也产生了影响。

举个例子，UDP Flood虽然排名第二，但第一季度的份额仅为8.9%（低于31.1%）。排在第三位的TCP Flood的份额也有所下降（从8.4%降至3.1%），仅排在第四位，仅次于HTTP Flood（增长了1.1个百分点，至3.3%）。尽管ICMP的份额从0.1%上升到0.6%，但仍排在最后。

2019年Q1 DDoS攻击的类型分布

Linux僵尸网络的数量仍然远远超过Windows僵尸网络，尽管在2019年第一季度，这一差距略有缩小：Linux僵尸网络现在占总数的95.71%，而Windows僵尸网络的份额分别上升了约1.5个百分点，达到4.29%。然而，这并不是因为Windows设备变得越来越受欢迎，而是因为Mirai机器人及其克隆产品Darkai的C&C服务器数量正在下降。相应地，这些机器人的攻击次数分别减少了3倍和7倍。

2018Q4&2019Q1 Windows/Linux僵尸网络攻击的比率

僵尸网络地理分布

在其国土上僵尸网络数量最多的国家仍然是美国(34.10%),荷兰从2018年第四季度的第三名升至第二名(12.72%),这次排名第三的是俄罗斯(10.40%)，从第七名一路攀升。中国(7.51%)的排名从垫底升至第四。

2019Q1僵尸网络C&C服务器的国家分布

中国境内的数据

控制端资源分析

根据CNCERT抽样监测数据，2019年第一季度，平均每月利用肉鸡发起DDoS攻击的控制端有230个，平均29个控制端位于我国境内，201个控制端位于境外。

位于境外的控制端主要分布在美国、法国和中国香港。

位于境内的控制端按省份统计，江苏省占的比例最大，占比20%以上，其次是广东省；按运营商统计，电信占的比例最大，占66.5%，联通和移动随后。

肉鸡资源分析

根据CNCERT抽样监测数据，2019年第一季度，平均每月有195694个肉鸡地址参与真实地址攻击（包含真实地址攻击与其它攻击的混合攻击）。

这些肉鸡资源按省份统计，广东省、江苏省、浙江省占的比例最大，其次是福建省和河南省；按运营商统计，电信占的比例最大，为74.5%，联通和移动随后。

反射攻击资源分析

（1）Memcached反射服务器资源

本季度境内反射服务器数量按省份统计，山东省的比例最大，其次是广东省、河南省和浙江省；按归属运营商或云服务商统计，电信占的比例最大，占31.3%，但与移动和联通相比差距不大。值得注意的是，阿里云平均占比7.5%。

（2）NTP反射服务器资源

本季度被利用发起NTP反射攻击的境内反射服务器数量按省份统计，山东省占的比例最大，其次是河北省、湖北省和河南省；按归属运营商统计，移动和联通占的比例最大，达到70%以上，电信占比较小。

（3）SSDP反射服务器资源

本季度被利用发起SSDP反射攻击的境内反射服务器数量按省份统计，辽宁省占的比例最大，占21.4%，其次是浙江省、吉林省和广东省；按归属运营商统计，联通占的比例最大，占62.0%，电信占比36.3%，移动占比1.3%。

结论

在前三个季度，我们看到几个排名前十的国家出现了一些意想不到的新情况——这些国家并没有成为DDoS威胁的主要来源。但2019年第一季度并没有什么特别的惊喜，除了沙特阿拉伯、荷兰和罗马尼亚等国保持着高水平的DDoS活动;换句话说，他们出现在前10名并不能归因于随机偏差。与此同时，韩国的DDoS活动策划者似乎潜伏了下来，并未出现高调活动。我们有可能将目睹一个新的僵尸网络的产生，并在各个国家“定居”下来。

同样值得注意的是，Mirai克隆体之一Darkai的僵尸网络活动显著下降。在它的帮助下，攻击次数减少了7倍。源于各国对僵尸网络的严厉打击，Mirai本身也受到重创，活动减少了三倍。因此，这个因素在某种程度上解释了DDoS攻击数量和持续时间的下降。

*参考数据来源：Kaspersky Lab、国家互联网应急中心CNCERT，青松编译，转载请注明来自Qssec.COM。