2017上半年DDoS与Web应用攻击态势报告.pdf
DDoS Web 与 态势报告 2017 上半年 DDoS Web 应用攻击 绿盟科技官方微信 © 2017 绿盟科技 应用攻击 攻击关于绿盟科技 北京神州绿盟信息安全科技股份有限公司 (简称绿盟科技) 成立于 2000 年 4 月, 总部位于北京 。在国内外设有 30 多个分支机构 ,为政府 、运营商 、金融 、能源 、 互联网以及教育、 医疗等行业用户, 提供具有核心竞争力的安全产品及解决方案, 帮助客户实现业务的安全顺畅运行。 基于多年的安全攻防研究 ,绿盟科技在网络及终端安全 、互联网基础安全 、 合规及安全管理等领域 ,为客户提供入侵检测 / 防护 、抗拒绝服务攻击 、远程安 全评估以及 Web 安全防护等产品以及专业安全服务。 北京神州绿盟信息安全科技股份有限公司于 2014 年 1 月 29 日起在深圳证券 交易所创业板上市交易。 股票简称:绿盟科技 股票代码:300369 特别声明 为避免合作伙伴及客户数据泄露 ,所有数据在进行分析前都已经过匿名化处理 ,不会在中 间环节出现泄露,任何与客户有关的具体信息,均不会出现在本报告中。DDoS Web 与 态势报告 2017 上半年 DDoS Web 应用攻击 绿盟科技官方微信 1. 前言 ····················································································································1 2. 2017 年上半年 DDoS 攻击关键趋势 ································································2 3. 2017 年上半年 Web 应用攻击态势概览 ··························································3 4. 2017 年上半年 DDoS 攻击趋势 ········································································4 4.1 DDoS 攻击次数和流量峰值情况 ··················································································· 5 4.1.1 DDoS 攻击次数和攻击流量 ·································································· ································· 5 4.1.2 攻击峰值各区间分布 ·································································· ············································ 5 4.1.3 单次攻击最高 / 平均峰值 ······································································································ 7 4.2 DDoS 攻击类型分析 ······································································································· 7 4.2.1 各攻击类型次数和流量占比 ································································································· 7 4.2.2 攻击类型各流量区间分布 ····································································································· 8 4.3 反射攻击活动放缓 ········································································································10 4.3.1 反射攻击次数和流量占比 ··································································································· 10 4.3.2 反射攻击趋势分析 ································································· ··············································· 10 4.3.3 NTP 活跃反射器分布 ··········································································································· 12 4.4 DDoS 攻击持续时间 ·····································································································13 4.4.1 DDoS 攻击持续时间占比 ·································································· ··································· 13 4.4.2 DDoS 攻击持续时间变化趋势····························································································· 14 4.4.3 DDoS 攻击持续时间与被攻击频次 ···················································································· 15 4.5 DDoS 攻击源 / 目标地理分布 ·························································· ····························15 4.5.1 全球 DDoS 攻击源国家分布 ·································································· ······························ 15 4.5.2 中国 DDoS 攻击源省份分布 ·································································· ······························ 16 4.5.3 全球 DDoS 攻击目标国家分布···························································································· 17 4.5.4 中国 DDoS 攻击目标省份分布···························································································· 17 4.6 僵尸网络 ·························································· ·······························································18 4.6.1 中国 BotMaster 省份分布 ··································································································· 18 4.6.2 中国 Bot 端省份分布 ·································································· ·········································· 18 4.6.3 物联网僵尸网络 ···················································································································· 19 5. 2017 上半年 Web 应用攻击态势 ····································································21 5.1 Web 应用攻击类型分析 ·······························································································22 5.2 被攻击与未被攻击站点比例 ························································································23 5.3 攻击源情况分析 ············································································································23 5.3.1 攻击源 IP 攻击广度与其 IP 信誉 ························································································ 23 5.3.2 攻击源主机数所在中国地区占比 ······················································································· 24 5.4 Web 应用各类攻击方式分析 ·······················································································25 5.4.1 注入类攻击常见 Payload 注入位置 ··················································································· 25 5.4.2 利用已知 Web 漏洞的攻击 ·································································· ································ 26 5.4.3 SQL 注入攻击常见 Payload ································································································ 27 5.4.4 路径穿越攻击常见 Payload ································································································ 28 5.4.5 XSS 攻击常见 Payload ········································································································ 29 5.4.6 远程命令执行攻击常见 Payload ························································································ 29 5.4.7 恶意扫描常见扫描器 Top 统计 ·································································· ························· 30 5.4.8 非法文件上传类型 Top 统计 ······························································································· 31 5.5 Struts2 CVE-2017-5638 高危漏洞 ··············································································31 5.5.1 攻击次数趋势 ························································································································ 33 5.5.2 受影响行业和地域 ································································· ·············································· 34 目录 2017 年上半年 DDoS 与 Web 应用攻击态势报告Web 特性 2017 上半年对比 2016 下半年平均攻击峰值 (平均攻击规模) 增长 47.5 % 2017 Q2 环比 Q1,攻击总次数增长 39.3 %,攻击总流量 增长 10.3%。 2017 Q2 环比 Q1,300Gbps 以上超大流量攻击呈上升趋 势,增幅 720 % SYN Flood 攻击总流量占主导地位,占比 56 % SYN Flood 大流量攻击明显增多 ,在 300Gbps 的 超大流量攻击中占比 91.3 % 短时攻击占主导位置,占比 53.5 % 2017 Q2 环比 Q1,小流量(峰值 <5Gbps ) 攻击占比下降 46 个百分点 反射攻击 活动放缓,活跃反射器 数量呈下降趋势 物联网僵尸网络 扫描活动 降温 上升 主导 下降 2017 年上半年 DDoS 与 Web应用 攻击态势报告 DDoS 特性 最多的攻击类别: SQL 注入攻击 + 已知 Web 漏洞攻击 常见注入类攻击: 攻击插入位置为 URL 中的参数列表 + Cookie 字段 威胁情报可探知: 攻击源 IP 越活跃, 其在 NTI 中的信 誉为高威胁的概率越大 及时修复已知漏洞, 可降低网站面临的安全威胁1 1. 前言 2017 年上半年 DDoS 与 Web应用 攻击态势报告 从攻击实施的难易程度来看 ,Web 应用层攻击对攻击者的 Web 相关知识和技 能要求更高 ,但正因为 DDoS 攻击技术门槛低 ,也使得 DDoS 攻击越发猖獗 。从 对攻击目标的威胁严重程度来看 ,DDoS 攻击一般是在攻击持续期间对目标网络 或系统资源的可用性造成严重影响 ,具有攻击影响面大 、直接损失严重等特点 , 如 :可造成网络大面积瘫痪 、各类服务不可用 ;而 Web 应用层攻击对目标可造成 持久的资源可用性、 可控性, 数据的机密性、 完整性的破坏, 其影响具有持久性、 隐密性等特点 。从很多案例我们看到 ,很多时候 DDoS 攻击被黑客用作实施 Web 应用攻击的烟雾弹 ,也即先发起 DDoS 攻击吸引安全团队精力 ,同时暗地里进行 Web 应用层攻击,最终达到篡改、窃取敏感信息、获取系统控制权限等目的。 D D o S 攻击和 W e b 应用攻击是当 今互联网面临的较为突出的两大 安全威胁。 12 2017 年上半年 DDoS 与 Web 应用攻击态势报告 1. DDoS 攻击总次数比 2016 下半年下降 30 %,攻击总流量下降 38.4 % 2. 单次 DDoS 攻击平均峰值为 32Gbps ,相比 2016 年下半年升高 47.5 % 3. 单次攻击平均攻击时长为 9 小时 ,相比 2016 年下半年呈 回升趋势 ,增长 28.6%,但略低于 2016 年上半年水平 4. 有 10.6 % 的目标 IP 曾经遭受过长达 24 小时以上的攻击 ,其中 38.3% 曾在 1 个季度内遭受过 2 次 或更多次 DDoS 攻击,最高达到 20 次 / 季度 5. 300Gbps 的超大流量 DDoS 攻击呈 增长趋势 ,共发生 46 次, Q2 比 Q1 增加了 720% 6. SYN Flood 大流量攻击明显增多 ,在攻击峰值大于 300Gbps 的超大流量攻击中占比高达 91.3 %, 相比去年增长 52.3 个百分点 7. 反射攻击整体活动放缓 ,Q2 总流量比 Q1 下降 80%,其中最明显的是 DNS 反射攻击 ,总流量下降 301 % 2. 2017 年上半年 DDoS 攻击关键趋势 2 0 1 7上半年我们监控到 DDoS 攻击 10 万余次, 其中:3 1. 有 82 % 的 Web 站点曾遭受 Web 应用攻击,单个站点日平均被攻击次数为 21 次 2. 有 19.6% 的攻击源 IP 曾经对 2 个及以上的 Web 站点发起过攻击,这部分攻击源 IP 中有 74.3% 在绿盟 科技威胁情报中心(NTI )中有不良 IP 信誉记录,且被标识为中、高危的占比 74.2 % 3. 有 79.3% 的网站遭受的攻击为已知 Web 漏洞攻击,其中利用率最高的漏洞为 Struts2 相关漏洞,占全部 已知 Web 漏洞攻击的 58.7 % 4. SQL 注入攻击占比 40.8%,从攻击 Payload Top10 来看,大部分攻击发生在攻击初期阶段,主要是 试探网站是否存在注入漏洞 5. Struts2CVE-2017-5638 高危漏洞爆发一周内平均每天发生 2,771 次攻击,教育(23%)、政府 (19%)、金融(17%)、互联网(10%)受该漏洞影响较大 3. 2017 年上半年 Web 应用攻击态势概览 2 0 1 7上半年 ,攻击者对 NSF OC U S 所 防 御 的 Web 站 点发起了 2,771 万 次 Web 应用层攻击 :4 2017 年上半年 DDoS 与 Web 应用攻击态势报告 4.1 DDoS 攻击次数和流量峰值情况 ········································ 5 4.2 DDoS 攻击类型分析 ····························································· 7 4.3 反射攻击活动放缓 ····························································· 10 4.4 DDoS 攻击持续时间 ··························································· 13 4.5 DDoS 攻击源 / 目标地理分布 ··········································· 15 4.6 僵尸网络 ·············································································· 18 4. 2017 年上半年 DDoS 攻击趋势 反射攻击活动放缓 ,物联网僵 尸网络扫描活动降温 ,基于 w i n d o w s 和数据库系统的僵 尸网络表现抢眼。5 4.1 DDoS 攻击次数和流量峰值情况 4.1.1 DDoS 攻击次数和攻击流量 2017 年上半年 ,我们监控到 DDoS 攻击约 10 万次 ,相比 2016 年下半年下降 30%;攻击总流量约 1.6 万 TBytes,相比 2016 年下半年下降 38.4%,我们认为,这与今年年初开始反射攻击活动减少有关。 2017 上半年相比 2016 年整体攻击趋势放缓 ,2017 Q2 季度有回升的趋势 。Q2 季度环比 Q1 季度总攻击次 数增长 39.3%,总流量增长 10.3%。这符合以往的“年初 DDoS 攻击放缓,年中攻击活跃”的趋势。 图 4.1 各月份攻击次数和流量图 Jan Feb Mar Apr May Jun 2017 Q1 2017 Q2 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM ) 4.1.2 攻击峰值各区间分布 2017 Q1 季 度,DDoS 攻击仍然以峰值在 5Gbps 以下的小流量攻击为主 ,这部分攻击占全部攻击峰值区间的 73.3%。相比 Q1 季 度,Q2 季度攻击峰值在 5Gbps 以下的小流量攻击明显减少 ,占比为 39.8%,而峰值在 5G 以 上的攻击占比均有所上升,尤其是 300G 以上的攻击明显增加。 攻击约 10 万次,相比 2016 年下半年下降 30 % 攻击总流量约1.6 万 TBytes,相比 2016 年下半年下降 38.4 % 2017 上半年攻击次数 2017 Q2 攻击流量 2017 Q1 攻击流量 整体攻击趋势放缓 ,这符合以往的 “ 年 初 DDoS 攻击放缓 ,年中攻 击活跃 ”的趋势6 2017 年上半年 DDoS 与 Web 应用攻击态势报告 图 4.2 攻击峰值区间各季度占比图 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% <5G 5-10G 10-20G 20-50G 50-100G 100-200G 200-300G 300G Jan Feb Mar Apr May Jun 2017 Q1 2017 Q2 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM ) 2017 上半年,攻击峰值在 200Gbps 以上的大流量攻击共发生 230 次,相比 2016 下半年下降 16.4%。 2017 上半年攻击总数量虽有减少 ,但峰值大于 300Gbps 的超大流量攻击呈增长趋势 ,共发生 46 次 ,相比 2016 年下半年增长 4.5%,2017 Q2 相比 Q1 增加了 720%。 图 4.3 各月份大流量攻击次数 4 4 0 0 0 27 3 6 36 29 15 72 46 33 2016 .7 2016 .8 5 2 20 19 30 16 52 69 15 2 2017.1 2017.2 2017.4 2017.3 2017.6 2017.5 2016 .12 2016 .11 2016 .10 2016 .9 200-300G 300G 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM )7 4.1.3 单次攻击最高 / 平均峰值 2016 至 2017 上半年单次攻击的平均攻击峰值呈整体上升的趋势, 在 2017 年 3 月份创新高, 达 42.1Gbps 。 虽然 2017 上半年攻击总量减少,但 Q2 季度的大流量攻击拉高了整体的平均攻击峰值走势。 从单次攻击峰值来看 ,2017 上半年单次最高攻击峰值为 418Gbps,相比 2016 年整体呈下降趋势 ;单独看 2017 上半年,最高攻击峰值有回升的趋势。 图 4.4 各月份攻击峰值趋势图 200 100 0 300 400 500 600 700 800 0 6 12 18 24 30 36 42 48最高攻击峰值(Gbps)线性 最高攻击峰值平均攻击峰值(Gbps) 线性 平均攻击峰值 755.0 417.6 23.3 36.6 42.1 11.8 223.9 615.1 Jan Mar Feb Jan Dec Nov Oct Sep Aug Jul Jun May Apr Jan May Apr Mar Feb 2016 Q1 2017 Q2 2017 Q1 2016 Q4 2016 Q3 2016 Q2 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM ) 4.2 DDoS 攻击类型分析 4.2.1 各攻击类型次数和流量占比 2017 上半年 ,Top 3(按攻击次数统计 )DDoS 攻击类型分别为 NTP Reflection Flood 、SSDP Reflection Flood 和 CHARGEN Reflection Flood, 均为反射类型,Top 3 合计占比达 81.7%。 但反射攻击整体活动有所放缓, 具体分析请见第 4.3 节。 从各类攻击流量大小占比来看 ,SYN Flood 和 UDP Flood 依然是流量最大的两种攻击类型 ,SYN Flood 流量 占比达 56%,UDP Flood 流量占比为 23.3%。与 2016 年相比,SYN Flood 流量占比明显增多, 上升 7 个百分点, UDP Flood 流量占比明显减少, 下降 6.3 个百分点。 这一趋势在大流量攻击中体现尤其明显, 详见下一小节分析。8 2017 年上半年 DDoS 与 Web 应用攻击态势报告 图 4.5 按 DDoS 攻击总次数 / 总流量统计各类型占比图 NTP Reflection Flood 46.7% 56.0% SSDP Reflection Flood 19.7% CHARGEN Reflection Flood 15.3% 6.9% SYN Flood SYN Flood ACK Flood ACK Flood UDP Flood UDP Flood DNS Request Flood DNS Reflection Flood NTP Reflection Flood SSDP Reflection Flood SNMP Reflection Flood CHARGEN Reflection Flood Other 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM ) 4.2.2 攻击类型各流量区间分布 2017 上半年 ,特别值得注意的是 ,SYN Flood 大流量攻击明显增多 ,其在大流量攻击中占比明显上升 。尤 其在大于 300Gbps 的超大流量攻击中,SYN Flood 占比高达 91.3%, 相比去年增长了 52.3 个百分点。 与此同时, UDP Flood 攻击在大于 300Gbps 的超大流量攻击占比 8.7%,相比去年下降 34.9 个百分点。 图 4.6 DDoS 攻击类型各流量区间分布图 45.2% 56.5% 52.1% 64.8% 76.4% 43.5% 30.5% 25.0% 35.6% 28.3% 16.9% 43.5% 0-5G 5-10G 10-20G 20-50G 50-100G 100-200G 200-300G 300G+ SYN Flood UDP Flood UDP Flood UDP Flood ACK Flood DNS Request Flood DNS Reflection Flood NTP Reflection Flood NTP Reflection Flood SSDP Reflection Flood SSDP Reflection Flood SNMP Reflection Flood CHARGEN Reflection Flood 91.3% 2.3% 7.6% 50.7% 21.4% 8.7% 16.8% SYN Flood SYN Flood CHARGEN Reflection Flood 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM ) 攻击总流量占比 攻击总次数占比9 2017 上半年 TOP 5 攻击峰值事件攻击手段均为 SYN Flood。我们进一步对这五起攻击事件进行溯源分析 , 发现攻击源大多数为 Web 服务器 ,占比为 37.5%,其次是数据库系统 ,占比为 12.9%。一般 Web 服务器或数据 库系统会被分配给较大的带宽 ,所以它们能发出的攻击流量也比普通 PC 要大 ,可见攻击者一直在寻求创造更高 效的 Botnet。 图 4.7 峰值 TOP 5 攻击事件攻击源业务类型统计 37.5% 12.9% 11.1% 38.6% Web 服务器 数据库服务器 FTP服务器 其他 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM ) 这些攻击的攻击源中 ,有 54.5% 为 Windows 系统 ,超过 Linux 系 统(44.5%) 。虽然 Mirai 等物联网僵尸 网络大量崛起 ,但在 2017 上半年的大流量攻击中基于 Windows 系统的攻击凸显 ,这与这段时间内某些基于 Windows 系统的僵尸网络活动频繁有关。 图 4.8 峰值 TOP 5 攻击事件攻击源系统类型统计 54.5% 44.5% W i n d o w s L i n u x /U n i x 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM )10 2017 年上半年 DDoS 与 Web 应用攻击态势报告 4.3 反射攻击活动放缓 4.3.1 反射攻击次数和流量占比 2017 上半年 ,攻击次数占比和流量大小占比情况如下图所示 。NTP Reflection Flood 和 SSDP Reflection Flood 攻击类型占比较大。 从攻击次数上来看,NTP Reflection Flood 仍霸占首位, 攻击次数占全部反射攻击次数的 57%, 其次是 SSDP Reflection Flood 和 CHARGEN Reflection Flood ,分别占 24%、18.6%。 从攻击流量大小上来看 ,NTP Reflection Flood 攻击流量占比仍最多 ,占全部反射攻击流量的 55.9%,其次 是 SSDP Reflection Flood,占 40.5%。 图 4.9 各类反射攻击流量、次数占比图 NTP Reflection Flood SSDP Reflection Flood 57.0% 55.9% 24.0% 40.5% SYN Flood ACK Flood UDP Flood DNS Request Flood DNS Reflection Flood NTP Reflection Flood SSDP Reflection Flood SNMP Reflection Flood CHARGEN Reflection Flood Other 攻击总流量占比 攻击总次数占比 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM ) 4.3.2 反射攻击趋势分析 2017 上半年 ,反射类攻击整体活动放缓 。从各类反射攻击总流量看 ,2017 Q1 季度相比 2016 Q4 反射攻击 总流量下降 71%;Q2 季度,相比 Q1 季度下降 80%。 其中,NTP 反射攻击相比 2016 Q4,在 Q1 季度其攻击总流量下降了 71.8%,Q2 季度相比 Q1 季度继续下降, 下降了 60.8%。DNS 反射攻击下降趋势较明显,Q2 季度比 Q1 季度下降了 301%。11 图 4.10 各季度反射攻击总流量趋势 (单位:TBytes ) NTP 反射攻击相比 2016 Q4 , 在 Q1 季度其攻击总流量下降了 71.8 % 3,037 857 336 1,521 602 261 667 45 11 0 500 1,000 1,500 2,500 3,000 2016 Q4 2017 Q1 2017 Q2 NTP SSDP SNMP CHARGEN DNS 2,000 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM ) 2017 上半年,大部分反射攻击的最高攻击峰值相比 2016 Q4 季度均明显下降。在 Q1 季度,CHARGEN 反射 攻击最高攻击峰值从 Q4 的 5.5Gbps 增长到 39.6Gbps;其余反射类均明显下降 ,虽在 Q2 季度略有增长 ,但仍然 低于 2016 Q4 季度。 图 4.11 各类反射攻击各季度单次攻击最高峰值 (单位:Gbps) 754 79.4 39.6 5.5 240 238.8 186.1 255 0 100 200 300 400 500 600 700 2016 Q4 2017 Q1 2017 Q2(6-16) NTP SSDP SNMP CHARGEN DNS 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM )12 2017 年上半年 DDoS 与 Web 应用攻击态势报告 各类反射攻击流量的减少 ,最高攻击峰值的降低 ,都跟各类反射攻击在全球范围内可用的反射器数量逐年 减少有关 。分析有两方面的原因 ,一方面 ,各运营商不断对反射攻击进行治理 ,如实施 uRPF (Unicast Reverse Path Forwarding)、BCP 38 等策略 ; 另一方面, 很多存在漏洞的服务器都已经被打了补丁或者升级到较新版本, 再或者直接关闭了本不需要开启的服务。 我们列出了 2016 年 Q4 到 2017 年 Q2 各类反射攻击活跃反射器数量情况 ,如下图所示 。可以看出 ,2017 上半年各类反射攻击活跃反射器数量均呈下降趋势。 图 4.12 各类反射攻击各季度活跃反射器数量 (单位:个) 35,781 561,378 12,265 4,035 84,505 23,762 232,242 4,044 1,759 11,244 13,809 638 903 7,523 0 100,000 200,000 300,000 400,000 500,000 NTP SSDP SNMP Chargen DNS 2016 Q4 2017 Q1 2017 Q2 157,686 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM ) 4.3.3 NTP 活跃反射器分布 NTP 的活跃反射器数量虽然远低于 SSDP 的活跃反射器数量 ,但由于 NTP 反射攻击最高放大倍数可达 550 多倍,是 SSDP 放大倍数(30)的 18.3 倍,因此 NTP 反射攻击的攻击总流量和攻击峰值普遍高于 SSDP 攻击。 我们以 NTP 反射攻击为例, 2017 年 Q1 和 Q2 季度, 全球活跃 NTP 反射器个数分别为 23762 个和 13809 个; NTP 反射器个数 Top 5 国家如图所示。13 图 4.13 活跃 NTP 反射器 Top 5 国家占比 4.8% 6.9% 12.3% 22.5% 4.5% 8.3% 10.1% 14.0% 22.2% 0% 5% 10% 20% 15% 2017 Q2 2017 Q1 14.6% 中国 美国 日本 韩国 越南 中国 美国 日本 韩国 越南 数据来源:绿盟科技全球 DDoS 态势感知系统(ATM ) 4.4
