反射式DDoS攻擊��,2014年第四季度—2015年第四季度�。
如左軸所示,SSDP、NTP、DNS和CHARGEN一直是最常見的反射攻擊向量�����;如右軸所示�,自2014年第四季度以來��,反射攻擊的使用大幅增加�。
基礎(chǔ)架構(gòu)層(第3&4層)攻擊在多個(gè)季度均居于主導(dǎo)地位,并占2015年第四季度檢測(cè)到的攻擊總量的97%�����。在2015年第四季度��,21%的DDoS攻擊包含UDP Fragments攻擊���。這其中有一些是反射攻擊的放大因素所造成的直接效果,主要是由CHARGEN�����、DNS和SNMP協(xié)議的濫用所導(dǎo)致的�,所有這些均可能存在很大的有效負(fù)載�����。
與2015年第三季度相比��,NTP和DNS攻擊數(shù)量大幅增加����。由于惡意攻擊者試圖濫用具有內(nèi)置安全性的域(DNSSEC)�,且這些域通常提供更大的響應(yīng)數(shù)據(jù),DNS反射式攻擊因此增加了92%�����。盡管NTP反射資源隨著時(shí)間的推移已經(jīng)耗盡���,但與上一季度相比���,四季度的NTP更流行,增幅近57%���。
2015年第四季度的另一個(gè)趨勢(shì)是多向量攻擊的增加��。在2014年第二季度����,僅42%的DDoS攻擊是多向量的;但在2015年第四季度����,56%的DDoS攻擊是多向量。在第四季度檢測(cè)到的大多數(shù)的多向量攻擊僅使用了兩個(gè)向量(占所有攻擊的35%)�,而3%的攻擊使用了五到八個(gè)向量。
第四季度最大的攻擊峰值達(dá)到了309千兆每秒(Gbps)和2.02億個(gè)數(shù)據(jù)包每秒(Mpps)��。這種攻擊的目標(biāo)是軟件和技術(shù)行業(yè)的客戶���,使用了來源于XOR和BillGates僵尸網(wǎng)絡(luò)的SYN�、UDP和NTP攻擊的非常見組合�����。這種攻擊屬于持續(xù)攻擊活動(dòng)的一部分�,受害者在八天時(shí)間內(nèi)遭受了19次攻擊,并從一月初開始不斷遭到其他攻擊���。
第四季度超過一半的攻擊(54%)以游戲公司為目標(biāo),23%的攻擊以軟件和技術(shù)行業(yè)為目標(biāo)。
DDoS指標(biāo)
與2014年第四季度相比:DDoS攻擊總數(shù)增加148.85%����,基礎(chǔ)架構(gòu)層(第3 & 4層)攻擊增加168.82%,平均攻擊持續(xù)時(shí)間延長(zhǎng)49.03%由14.95小時(shí)增加至29.33小時(shí)�,超過100 Gbps的攻擊減少44.44%由9次降低至5次;
與2015年第三季度相比:DDoS攻擊總數(shù)增加39.89%���,基礎(chǔ)架構(gòu)層(第3 & 4層)攻擊增加42.38%�����,平均攻擊持續(xù)時(shí)間延長(zhǎng)20.74%由14.95小時(shí)增加至18.86小時(shí)��,超過100 Gbps的攻擊減少37.5%由8次降低至5次���。
Web應(yīng)用攻擊活動(dòng)
雖然Web應(yīng)用攻擊數(shù)量與上一季度相比增加了28%,但通過HTTP與HTTPS發(fā)送的Web應(yīng)用攻擊的百分比卻在兩個(gè)季度保持相對(duì)一致:第四季度通過HTTP發(fā)送的Web應(yīng)用攻擊為89%���,第三季度通過HTTP發(fā)送的為88%��。
本季度最常檢測(cè)到的攻擊向量是LFI(41%)�、SQLi(28%)和PHPi(22%)����,其次是XSS(5%)和Shellshock(2%)����。其余的2%由RFI��、MFU�����、CMDi和JAVAi攻擊構(gòu)成�����。除了PHPi以外����,通過HTTP與HTTPS發(fā)送的攻擊向量的相對(duì)分布很相似;PHPi僅占通過HTTPS發(fā)送的攻擊的1%�。
第四季度Web應(yīng)用攻擊有59%以零售商為目標(biāo),而第三季度此比例為55%����。媒體與娛樂、酒店與旅游行業(yè)是第二最常被攻擊的目標(biāo)�,各占攻擊的10%��。這表示與第三季度相比有所變化,在第三季度金融服務(wù)行業(yè)是第二最常被攻擊的行業(yè)(占攻擊的15%)�����,而2015年第四季度金融服務(wù)行業(yè)僅占攻擊的7%�。
美國(guó)是Web應(yīng)用攻擊的主要來源(56%)和最常被攻擊的目標(biāo)(77%),該趨勢(shì)自2015年第三季度起便在開始延續(xù)����。巴西是第二大攻擊源(6%)以及第二大最常被攻擊的國(guó)家(7%),這似乎與一個(gè)大型的云基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商在此處開設(shè)了新的數(shù)據(jù)中心相關(guān)��。自從開設(shè)數(shù)據(jù)中心以來���,Akamai便發(fā)現(xiàn)來自巴西的惡意流量開始大幅增長(zhǎng)���,特別是來自前面提及的數(shù)據(jù)中心。大部分此類攻擊針對(duì)的是零售行業(yè)中的巴西客戶���。
在2015年第四季度報(bào)告中���,我們通過ASN確定了10大Web應(yīng)用攻擊流量來源��,并分析了相關(guān)的攻擊類型��、有效負(fù)載和頻率�����。第3.6節(jié)描述了10個(gè)更有趣的攻擊以及其有效負(fù)載���。
Web應(yīng)用攻擊指標(biāo)
與2015年第三季度相比:Web應(yīng)用攻擊總數(shù)增加28.10%,通過HTTP發(fā)送的Web應(yīng)用攻擊增加28.65%�,通過HTTPS發(fā)送的Web應(yīng)用攻擊增加24.05%,SQLi攻擊增加12.19%��。
掃描與探測(cè)活動(dòng)
惡意攻擊者在發(fā)動(dòng)攻擊前依靠掃描設(shè)備和探測(cè)手段對(duì)攻擊目標(biāo)進(jìn)行偵察��。在分析中使用了來自Akamai智能平臺(tái)防御帶的防火墻數(shù)據(jù)����,發(fā)現(xiàn)用于偵察的最常見端口是Telnet(24%)、NetBIOS(5%)�、MS-DS(7%)、SSH(6%)以及SIP(4%)��。通過ASN確定了前三大掃描活動(dòng)的來源都位于亞洲��,同時(shí)還發(fā)現(xiàn)了濫用反射器的主動(dòng)掃描活動(dòng),其中包括NTP���、SNMP和SSDP���。
通過查看按ASN確定的最常見反射來源發(fā)現(xiàn)濫用程度最嚴(yán)重的網(wǎng)絡(luò)反射器位于中國(guó)和其他亞洲國(guó)家/地區(qū)���。大部分的SSDP攻擊往往是來自家庭連接�����,而NTP�、CHARGEN和QOTD通常來自運(yùn)行這些服務(wù)的云托管提供商��。SSDP和NTP反射器是最常被濫用的反射器���,各占41%�����;其次是CHARGEN(6%)和RPC(5%)�;再次是SENTINEL和QOTD����,各占4%����。
下載報(bào)告
如欲免費(fèi)下載《2015年第四季度互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報(bào)告》�����,敬請(qǐng)?jiān)L問www.stateoftheinternet.com/security-report��。
