2019年DDoS攻击态势报告.pdf

阿里云安全DDoS攻击态势报告年20192020.012019年, 阿里云安全团队监测到云上DDoS攻击发生近百万次，日均攻击2000余次，与2018年整体持平，但相比2019年上半年有所下降。同时，应用层DDoS（CC攻击）成为常见的攻击类型，与2018年相比，攻击手法也更为多变复杂。阿里云为全球上百万客户提供了基础安全防御。本报告中将以多个维度对2019年全年发生的DDoS攻击进行全方位分析，希望能够为政府、企业客户及科研机构提供一定的参考价值。相比2018年DDoS攻击数量持平。经过分析发现，百G以上攻击呈现成倍增长，成为标准攻击流量，相比于2018年上升了103%。500G攻击相比2018年增长了50%，并出现持续2个月的近Tb级攻击。同时利用Memcached反射攻击相比2018年增长40%，在2019年1月达到峰值，经过有关部门以及企业的联合治理，目前已经呈现明显下降趋势，下降至峰值的20%。应用层DDoS的攻击同样猛烈，半数以上的攻击QPS超过2W，20%的攻击QPS超过10W，峰值突破数百万QPS的攻击事件也屡屡出现。01概述SUMMARY1ALIBABA CLOUD概述02攻击态势ATTACK根据阿里云安全团队监测到的攻击数据分析，2019年全年，100Gbps以上大流量攻击事件达到了1.8万余次，相比于2018年上升了103%，与此同时，持续2个月最高攻击流量达900Gbps，单次流量超百G呈现快速增长趋势，成为了标准攻击流量，如图2-1所示。应用层DDoS的攻击同样猛烈，半数以上的攻击QPS超过2W，20%的攻击QPS超过10W，最近半年每个月最高攻击QPS均超过百万。攻击类型中UDP反射攻击仍然为主要攻击手段，得益于国家安全部门、运营商、云厂商和IDC对于反射源治理，大流量攻击的整体情况呈现下降趋势，如图2-2所示。1. 攻击趋势2ALIBABA CLOUD攻击态势图2-1 2019年峰值流量大于100Gbps事件分布100-200G 200-300G 300-500G 大于 500G50010001500200025003000350001月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月互联网服务及游戏行业，在2019年依旧为主要的攻击目标，二者遭受了60%以上的攻击，如图2-3所示。2. 攻击行业分布图2-3 DDoS事件行业分布互联网服务游戏计算机软件服务通讯和运营商电子商务金融服务媒体 网站物联网技术和服务计算机硬件设备1020304050600单位（%）3ALIBABA CLOUD攻击态势图2-2 2019年大流量攻击峰值流量趋势100200300400500600700800900100001月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月当前检测到的大流量DDoS攻击类型中，分布最多的分别是 UDP Flood、SYN Flood、以及Memcached、NTP 等反射攻击，如图2-4所示。3. 大流量攻击种类分布从全年的整体攻击趋势来看，Memcached反射放大攻击次数在1月达到了顶峰，随后有了明显的降低，下半年攻击次数相比于上半年，整体呈下降趋势，原因与全国范围内的网络安全治理有关，如图2-5所示。图2-4 2019 年 大流量DDoS攻击种类分布UDP_FloodMemcachedNTPSYN_FloodSSDPRSTCLDAPDNSACK_FloodPSH_Flood10203040500单位（%）4图2-5 2019年Memcached反射放大攻击事件数1000200030004000500060007000800001月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月ALIBABA CLOUD攻击态势应用层DDoS的攻击手法在2019年变化极大，且不同的攻击手法对防御能力要求均不相同。下面列举几个2019年常见攻击手法：4. 应用层DDoS攻击手法及演变同时NTP反射攻击在6月份达到峰值7000余次，后续逐月降低，目前稳定在千余次，如图2-6所示。被挂马设备植入攻击脚本调用系统浏览器发起攻击此类攻击方式相对传统，设备被植入木马沦为肉鸡。但由于攻击脚本调用的是系统浏览器，往往可以简单粗暴地绕过一些简单的人机校验手段，这要求防御系统要更为智能地精准判断恶意流量，并直接做出阻断或采用更严格的校验手段，在压制攻击的同时避免对正常用户的打扰。热门网页嵌入攻击代码大量用户在相近的时间浏览了一些不正规网站的热门网页，页面被攻击者事先嵌入了攻击代码。用户浏览网页的过程中，页面会不断请求目标网站的资源，对目标网站发起攻击。年初特别频繁的利用HTML5的ping特性发起的攻击就属于此类攻击方式。由于浏览网页的用户不断进入、离开，传统拉黑IP的方式无法完全压制攻击流量，要求持续的安全攻防研究，以及智能的防护手段。山寨APP植入攻击代码大量用户在手机上安装了某些伪装成正常应用的恶意APP，该APP在动态接收到攻击指令后便对目标网站发起攻击。此类攻击方式使得海量移动设备成为新的攻击源，黑灰产无需让单个源IP高频攻击，同时由于攻击源多为大型出口IP，传统的防御方法简单粗暴的将攻击IP拉黑，这些IP背后的大量正常用户也将无法访问。此类攻击方式打破了“限速+黑名单就能一招制敌”的幻想，要求更为纵深、智能的防护手段。通过高匿代理发起攻击该方式本身比较传统，但通过高匿代理发起的攻击，攻击调度快，成本较低，更易控制攻击节奏及攻击量。2019年此类攻击手法发起的攻击，有明显的攻击量大、攻击复杂多变的特性，要求更为智能、体系化的防御系统。1）2）3）4）5图2-6 2019年NTP反射放大攻击事件1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月100020003000400050006000700080000ALIBABA CLOUD攻击态势与2018年相比，2019年DDoS攻击的数量虽然持平，但DDoS攻击的攻击强度变化更为激烈。百G以上攻击成倍增长，同时Tb级别流量，千万级并发攻击出现，让DDoS攻击对抗更为激烈。得益于云计算原生的资源弹性可扩展优势，云上企业在应对DDoS攻击时不会受到传统带宽资源的限制，只要采取合理正确的防护措施，都能成功应对攻击。5. 核心观点上述这些攻击手法除了挂马设备攻击，均在2019年存在明显的阶段性热度。2019年年初热门网页嵌入攻击代码的占比较高，并逐步出现山寨APP植入攻击代码这一攻击方式，后者在第二季度初热度到达巅峰，之后此类攻击出现频率下降。2019年下半年通过高匿代理攻击变得极为常见，此类攻击在2019年上半年占比不到10%，该比例在下半年急剧攀升至60%+。从攻击时长看，2019年下半年单次攻击的攻击时长明显下降，从平均单次攻击数个小时缩短至不到一小时，并 开始出现针芒状的应用层DDoS攻击，如图2-7所示。同时，在更短的攻击时间内，出现多种攻击手法混合。法律法规：得益于政府、运营商等对于网络安全的重视，以及对互联网环境的治理，对于大流量DDoS攻击有着显著的抑制作用；攻击手法：随着防护手段的演进，黑客们的攻击手法也同样地发生变化。去年有效的防护方式，在今年可能已经不再具备防护效果。人工调整策略在当前的攻击态势下越来越无法抵御住攻击，防御系统需要自动化地快速区分恶意和正常访问，并从中提取出攻击模式，快速下发，压制攻击。与此同时，更快的攻击节奏也使得默认防御能力日趋重要，需要对攻击手法、攻击源进行自动化分析，在此基础上构建信誉系统，默认压制攻击流量；攻击对象：互联网上的攻击，不仅仅是基于对利益的追逐。互联网的基础设施也不会因为只是提供基础服务不存在利益冲突就会免遭攻击。由于各种原因，例如是炫耀、误伤、甚至是故意为之等因素，互联网基础设施也同样会成为间接或者直接的攻击目标对象；攻击团队：通过对部分DDoS攻击进行溯源，我们发现海外团伙发起的DDoS占比呈现上升趋势，其中以东南亚地区分布较为集中；攻击地域：从全球的攻击态势来看，随着国内业务出海趋势的增多，东南亚地区遭受的攻击最为密集。图2-7 针芒状应用层DDoS攻击170000 031500003000220000193000750001500002250003000000QPS6ALIBABA CLOUD攻击态势03DDoS僵尸网络分析ANALYSIS在TOP10的木马家族中，2019年除了之前常见的Mirai和Gafgyt之外，DDoSTF也进入前三，三者的总占比达到了65%左右，如图3-1所示。1. 木马家族分布图3-1 DDoS木马家族分布MiraiDDoSTFDoflooGafgytTrojan/Linux.GafgytTyphoon_AESNitolServStartMaydayMrBlack102030400单位（%）7ALIBABA CLOUDDDoS僵尸网络分析在僵尸网络分布情况方面，有53%来自中国大陆，相比于2018年，下降了近20%，与此同时，来自美国和中国香港的僵尸网络分别占比21%和8%，相比于2018年，都有不同程度的上升。由此可见，僵尸网络的控制端在逐渐向大陆以外的地区进行转移，详情见图3-2。2. CnC国家及地区分布通过对CnC存活时间进行分析和整理，存活一周以上的CnC占到了33%，相比于上半年下降了14%，对比整个2018年度，有小幅度上升。3. CnC存活时间分布图3-2 CnC 国家及地区分析中国 美国中国香港荷兰 德国俄罗斯英国意大利法国新加坡韩国加拿大1020305060040单位（%）图3-3 CnC 存活时长分布小于7 天 7-15天 15-30天 30-60天 60-90天 90-180天 180天以上102030507004060单位（%）8ALIBABA CLOUDDDoS僵尸网络分析04DDoS肉鸡分析ANALYSIS2019年，UDP反射源主要还是来自于国内，俄罗斯和美国分别占5%和4%，相比于2018年，俄罗斯和美国的反射源数量有所降低，而国内反射攻击源大幅增加。1. UDP反射源国家及地区分布图4-1 UDP 反射源国家及地区分布中国俄罗斯美国 巴西中国台湾墨西哥 意大利 加拿大 乌克兰韩国 日本 越南马来西亚印度尼西亚泰国10203050800407060单位（%）9ALIBABA CLOUDDDoS肉鸡分析