2018上半年DDoS攻击报告：流量峰值达1.7Tbps

时间 2019-11-17

标签上半年 ddos 攻击报告流量峰值 1.7tbps tbps 栏目网络爬虫繁體版

原文原文链接

欢迎你们前往腾讯云+社区，获取更多腾讯海量技术实践干货哦~shell

2018年上半年DDoS攻防仍如火如荼发展，以IoT设备为反射点的SSDP反射放大还没有平息，Memcached DDoS又异军突起，以最高可达5万的反射放大倍数、峰值可达1.7Tbps的攻击流量成为安全界关注的新焦点。DDoS这一互联网公敌，在各类防护设备围追堵截的状况下，攻击者夜以继日地钻研对抗方法、研究新的攻击方式；并且往平台化、自动化的方向发展，不断加强攻击能力。这里咱们从2018年上半年DDoS攻击状况的全局统计、DDoS黑色产业链条中的人员分工与自动化操做演进两个方面进行分析阐述。安全

1、全局统计分析

1. 2013~2018年DDoS流量峰值状况

DDoS攻击流量峰值每一年都不断地被超越，今年3月份针对某游戏攻击的Memcached DDoS，其峰值1.7Tbps达到了一个新的高度。虽然已经关闭了大量的Memcached的UDP端口，但其5万的反射放大倍数，仍使攻击者可利用少许未关停UDP端口的Memcached反射点，打出大流量攻击。因此短短的三个月，Memcached DDoS已成为反射放大的一股主要力量。服务器

2. DDoS攻击行业分类状况

随着各行各业的互联网化，DDoS的攻击面也愈来愈多，这里咱们列出了14种主要行业。游戏行业因其日流水量最大、变现快，一直站在利益的风口浪尖上，当仁不让地成为DDoS首选的攻击目标，也是上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后，也遭受到了不一样程度的攻击，且呈上升的趋势。微信

在游戏行业当中，手机游戏已超过了PC客户端游戏成为了DDoS攻击的主要目标。H5游戏的崛起，也成为了DDoS的关注点，占总体攻击的1.4%。这里咱们首次把游戏的第三方服务归结到游戏中，游戏的飞速发展催生了大量的第三方服务商，包括但不限于游戏虚拟财产买卖平台、数据分析、电竞、美术/音乐外包、游戏云服务、游戏资讯等各个环节。网络

3. DDoS攻击的类型占比统计

在攻击类型中，反射放大占比最多，约为55.8%。Memcached做为今年三月以来的新兴反射放大力量，迅速被DDoS黑产界利用，其在总体的占比中也至关大。反射放大占好比此之多的一个缘由是DDoS黑产的自动平台化，即无需人工干预，彻底自动流程可完成攻击的全部操做。运维

SYN Flood 排名第二，其一直是DDoS的主要攻击手法。随着DDoS黑产的平台化，SYN Flood的载体也发生了改变，由海量的肉鸡渐渐转移到了发包机上（以伪造源IP的SYN Flood为主）。工具

HTTP Flood做为7层攻击的主要方式，由于要创建完整的TCP链接，不可以伪造源IP，因此仍是以肉鸡侧发动攻击为主。但云鼎实验室监测发现，HTTP Flood也开始向代理服务器和发包机发展。在互联网上获取海量的代理服务器相比肉鸡的抓取容易不少，以代理服务器频繁地变换真实的IP，再加上交互的模拟，可使HTTP Flood很难被发现。而发包机的方式，虽不能变换IP，但能够频繁变换UserAgent的内容，以突破针对HTTP Flood的防护。性能

下图给出了几种反射放大的反射源地域分布状况，从抽样数据统计可见，LDAP、NTP、Memchached为主的反射源Top 10的国家重合度很高，以美国、中国、欧洲国家为主。SSDP反射源因IoT设备的问题，致使其地域分布有所不一样。测试

4. DDoS所对应的C2地域分布

近年来国内的互联网安全措施持续增强，经过监控发现，在国内的C2渐渐有外迁的现象。还有一些持有高性能肉鸡的黑客，看到了虚拟货币的逐利远远大于DDoS攻击，将一部分高性能肉鸡转去挖矿。鉴于以上缘由针对用于DDoS的C2监控难度愈来愈大。ui

5. 家族状况

经过对攻击家族的监控，主要以Xorddos，Billgates，Mayday，Dofloo，Nitol，Darkshell等家族为主。Xorddos是发起攻击最多的家族，甚至天天多达上万次的攻击；攻击类型多以SYN Flood为主、其余攻击类型为辅的组合攻击。Nitol家族是发起HTTP Flood攻击最多的家族，还会输出SYNFlood, ICMP Flood, TCP Flood等攻击。以上家族攻击的统计中，针对各个行业的攻击都有涉猎，游戏行业无疑是攻击的首选。

6. 被攻击IP的地域状况

DDoS攻击目标按地域分布统计中，国外受攻击最多的国家是美国，其次是韩国、欧洲国家为主，DDoS攻击的主要目标仍是汇集在互联网发达的国家中。

在国内各省的统计来看，受到DDoS攻击较多的省份在长三角、珠三角和京津片区，即中国的互联网发达省份，其中以江浙两省最多。

7. 每个月百G以上攻击流量状况

以每个月超过百Gbps的攻击次数统计来看，百Gbps流量分层占比相差很少。100-200Gbps占比最大，基本都在75%以上，而超过300Gbps的流量攻击次数较少。

8. 攻击流量带宽分布状况

在攻击流量的分层统计上，1-5G的攻击次数最多，占比约38%。经过统计可获得，大多数的攻击为100Gbps如下的流量攻击，超过百G的攻击累计占总攻击次数不到5%。总体的攻击流量的平均峰值约在5.2Gbps左右。

9. 攻击时长分布占比状况

在攻击时长来看，占比最可能是1min如下的攻击，约占38.7%。其主要攻击方式是瞬时攻击，以极大的流量直接瘫痪掉攻击的服务，致使大量用户掉线、延迟、抖动等。5-10min也占至关大比例，约28.7%。抽样统计得出，平均攻击时长约1h，单次攻击最长时长约54天。

2、DDoS黑色产业链条演进

咱们从黑产中的人员分工与自动化操做两个方面进行DDoS发展的阐述。

1. 传统DDoS攻击

早期的DDoS通常是黑客一我的的游戏，从工具开发、bot传播、接单、攻击等都独自完成。随着互联网经济的飞速发展，网络攻击获利愈来愈多，催生了DDoS攻击的大量需求，例如竞品的攻击、DDoS勒索等。高额的利益便会催生对应工做的精细化分工，DDoS的黑产也不例外，咱们针对传统DDoS攻击的专业化人员分工进行分析：

发单人：也能够称为金主，是DDoS攻击后的直接获利者，提出攻击需求。
担保商：也能够称为中间人，是DDoS黑产中较出名的人物，在各个不一样分工人员间作“信任”担保，与交易环节的资金中转工做。担保商也会本身架设接发单平台或即时通信工具群等形式来扩大本身的知名度，带来更多的DDoS攻击业务。
接单人：也能够称为攻击手，经过操做C2服务器或发包机直接发起DDoS攻击。
流量商：经过担保商或直接将国外购买的流量服务器，售卖给攻击手。
肉鸡商：手头拥有大量的肉鸡资源，经过担保商或直接将肉鸡售卖/出租给攻击手。
黑客软件做者：开发botnet程序，反射放大程序等各类DDoS工具。

这样的多种分工，使DDoS在技术难度上被拆解，技术门槛下降，部署更容易。同时给互联网安全人员的分析与溯源带来更大的困难。在分析中咱们发现，有一些人员也可能同时担当多个角色。

虽然这种比较早期的DDoS攻击分工已十分红熟，但仍是存在必定的不足之处：

成单难以保障：担保商、接单人都具备不肯定性，发单人付费后，可能会存在针对目标的攻击没有效果或根本没有发起攻击的状况，给发单人形成经济损失。
响应周期较长：从发单人提出需求到真正达到攻击效果，须要发单人、担保商(或其搭建的各类对接平台/即时通信工具群等)、接单人等几个环节，时间上须要几小时到几天不等。
攻击效果不能保证：攻击手通常手动远程操做C2服务器或发包机针对目标服务器进行攻击，攻击手所掌握的botnet或发包机规模不一样，攻击的流量达不到保证。

2. 目前DDoS攻击

鉴于传统DDoS攻击的不足，促使了DDoS的多个环节的自动化发展，页端DDoS攻击平台即是发展的结果之一。其高度集成管理，在成单率、响应时长、攻击效果方面都获得了可行的解决。在人员分工上，有了新的发展：

担保商淡出DDoS黑产圈，发单人可直接在页端DDoS攻击平台下单、支付费用；且能够根据本身的攻击目标的状况选择攻击方式与流量大小。保障了百分之百的成单率。

攻击手已被自动化的攻击平台取代，不须要手动操做攻击。从发起攻击命令，到真正开始攻击，通常延时在10s左右，不再用等几小时或几天了。

发包机提供人替代了流量商角色，且完成发包机的程序部署，测试，最终给出发包机的攻击类型、稳定流量、峰值流量等各类定量且稳定的攻击能力。稳定的攻击流量，保障了最终的攻击效果。

站长成为了页端DDoS攻击平台的核心人员，进行平台的综合管理、部署、运维工做。例如：DDoS攻击套餐管理、注册用户(金主)管理、攻击效果与流量稳定保障、及后续的升级等。

不一样的页端DDoS攻击平台也有不一样的实现，但其操做流程、核心攻能都很类似，下图给出了其技术的解读。今后图中可见，在用户注册、套餐付费、攻击发起，在用户侧均可以完成，不须要其余人员参与。相对比传统DDoS攻击来看，已完成了全自动的无人值守攻击方式。在图中的调用传统肉鸡的攻击形式不多，主要是调用发包机的攻击方式。发包机中主要配置的是反射放大的各类程序和其对应的反射源列表，偶尔会有伪造源IP的SYN Flood、动态变化UserAgent的HTTP Flood (如goldeneye工具)。

3、总结与趋势展望

综上所述，上半年的DDoS攻击，不管从流量仍是次数的角度，都上升了一个新的高度。

DDoS黑色产业链的人员与技术的演进下降了总体DDoS入门的门槛，在溯源监控中，有的DDoS黑产团伙平均年龄 20 岁左右，甚至有未满 16 周岁的学生也是其中的一员。

在DDoS的总体防护上，建议用户采用具有大带宽储备和BGP资源的云服务商防护方案。如腾讯云大禹拥有30线BGP IP接入资源，丰富的场景化防御方案。

随着智能AI设备与物联网的飞速发展，DDoS的新宿主平台不断出现，DDoS攻防战会愈来愈激烈。能够预期，2018年下半年DDoS会呈现出多样化的发展：

相似于Memcached DDoS的新反射放大方式会不断的被曝光与利用；
智能设备的发展会催生出新平台下的botnet产生，且这些平台基本防御措施薄弱，更成了DDoS的温床；
随着打击DDoS力度的不断加大，P2P式僵尸网络或半去中心化变种方式有望重回风口，让DDoS难于监控与溯源分析；
基于暗网的DDoS平台将逐渐替代目前流行的页端DDoS攻击平台，让其平台的存活时间更长。

问答

相关阅读

此文已由做者受权腾讯云+社区发布，原文连接：https://cloud.tencent.com/developer/article/1146994?fromSource=waitui

欢迎你们前往腾讯云+社区或关注云加社区微信公众号（QcloudCommunity），第一时间获取更多海量技术实践干货哦~