本文作者:李勤,雷锋网网络安全专栏作者。
关于 DDoS 攻击,最近我们发现了会让老司机震惊的几个特点。
攻击者再也不是兼职接单的“临时工”
他们有组织,有预谋
DDoS 成了一门生意
这门生意还有高峰期和“淡水期”
一年中的6-8月,是攻击者业务繁忙的日子
一天中的11点-16点,17点-21点发起的攻击最多
3点-7点攻击较少
攻击高峰期通常也是互联网业务在线用户数量最多的时间段
选在攻击目标业务使用高峰期发起攻击,往往会给被攻击目标带来巨大损失
攻击者想用有限的资源达到对目标的更精准的打击
使破坏力最大化
太鸡贼
大 boss 还要考虑投入产出比
大流量攻击凶猛而短暂,百 G 以上的攻击大约5个小时就结束了
小流量攻击持续不断,甚至可以持续数天
2016 DDoS 短时攻击增加,在30分钟以内结束的占51.4%。
你看,真的有人喜欢越快越好
2016年,全球Top 3的DDoS攻击均为反射攻击(按攻击次数统计)
依次为NTP、CHARGEN、SSDP反射,这三种反射攻击合计占比达 80%。
老板拨了拨小算盘
发现反射型攻击,隐蔽性高、成本低
好,一拍脑袋
很多老板选择了这种攻击方式
如果自己能力不足, DDoS 攻击者会进行资源整合
DDoS 攻击者常常利用木马,控制更大规模的僵尸网络
14%的台风DDoS控制端位于云端主机上
黑产者已经将DDoS 攻击平台化,任何人都可以购买攻击服务
“老板,来个三块钱的 DDoS ”
为了更大流量和隐蔽性,攻击者满世界地寻找可用资源
2016年,僵尸网络是控制者主要分布在中国、俄罗斯、美国、巴西、土耳其
除了瞅准了传统网络,攻击者还把目光投向了物联网
目前,僵尸网络已经渗透进了物联网
且已经被用于黑产牟利
2016 年上半年,我国境内发生 DDoS 攻击呈现波动上升的趋势
下半年攻击总量环比有大幅度上涨,大流量攻击事件频发
这与 Mirai 等物联网僵尸网络的大热不无关联
黑产之间也有尔虞我诈,互相厮杀
僵尸网络一旦被一个黑产组织掌握,就会被其他组织盯上
互相撕咬
黑产者甚至会攻击政府组织,管他什么CIA、FBI
老子一副天不怕地不怕的样子
他们还会用先进的勒索攻击的软件
互相绑架
最后,一个悲伤的事实是
在这些攻击中,中国依然是DDoS 攻击受控攻击源最多的国家
其次是美、俄,三者占据全球受控攻击源的72.2%。
受攻击最严重的国家也是中国,攻击占全部被攻击国家的48.9%,其次是美国,占20.5%。
中国哭晕在厕所
本文作者:李勤,雷锋网网络安全专栏作者。
本文数据来自中国电信云堤与绿盟科技发布的《2016 DDoS威胁报告》
关注雷锋网宅客频道微信公众号(letshome),输入“威胁报告”,即可获得完整报告