信息來源：E安全

近日卡巴斯基分析了2018年第2季度的DDos攻擊情況，因報告詳實縝密，篇幅較長，為便于閱讀，本文整理出了部分內(nèi)容。（報告原址：https://securelist.com/ddos-report-in-q2-2018/86537/）

總述

在2018年第二季度，網(wǎng)絡(luò)犯罪分子延續(xù)了上述在UDP傳輸協(xié)議中尋找異國漏洞的趨勢。不久其他復(fù)雜的攻擊擴增方法會相繼出現(xiàn)。值得注意的另一項技術(shù)發(fā)現(xiàn)是使用UPnP協(xié)議創(chuàng)建僵尸網(wǎng)絡(luò)的潛力;但幸運的是它們在野外仍然非常罕見。

Windows僵尸網(wǎng)絡(luò)活動減少：特別是Yoyo活動經(jīng)歷了多次下降，Nitol、Drive和技能也有所下降。與此同時，Xor對Linux的攻擊顯著增加，而另一個聲名狼藉的Linux僵尸網(wǎng)絡(luò)——Darka活動則略有減少。而最流行的攻擊類型是SYN泛濫。

2017 - 2018年DDoS攻擊力的變化

2018年上半年與2017年的下半年相比，平均和最大攻擊力顯著下降。這可以通過通常在年初觀察到的季節(jié)性減速來解釋。然而，2017年和2018年H1指標(biāo)的比較表明，自去年以來，攻擊力有了可觀的上升。

增加攻擊力的一種方法是第三方放大。黑客繼續(xù)尋找通過廣泛流行的軟件中新的（或遺忘的舊）漏洞來放大DDoS攻擊的方法。這一次，KDP團隊檢測并擊退了數(shù)百Gbit / s容量的攻擊，該攻擊利用了CHARGEN協(xié)議中的一個漏洞——這是一種非常簡單的舊協(xié)議，在1983年以RFC 864的方式出現(xiàn)。

CHARGEN被用于測試和測量，可以監(jiān)聽TCP和UDP套接字。在UDP模式下，CHARGEN服務(wù)器使用字符串長度為0到512個隨機ASCII字符的數(shù)據(jù)包響應(yīng)任何請求。攻擊者使用此機制向易受攻擊的CHARGEN服務(wù)器發(fā)送請求，其中傳出地址由受害者的地址替換。US-CERT估計放大因子為358.8倍，但這個數(shù)字有些隨意，因為響應(yīng)是隨機產(chǎn)生的。

盡管協(xié)議受到時代和內(nèi)容范圍的限制，但可以在Internet上找到許多開放的CHARGEN服務(wù)器。它們主要是打印機和復(fù)制設(shè)備，在這些設(shè)備中，軟件默認(rèn)啟用了網(wǎng)絡(luò)服務(wù)。

正如KDP和其他提供商（Radware，Nexusguard）報告中所提到，在UDP攻擊中使用CHARGEN可能表明，使用更方便的協(xié)議（例如，DNS或NTP）的攻擊效果正在減弱，因為打擊這種UDP泛濫的方案越來越完善。但因這種攻擊操作難度低，使得網(wǎng)絡(luò)犯罪分子不愿放棄它們; 相反，他們希望現(xiàn)代安全系統(tǒng)無法抵制過時的方法。雖然對非標(biāo)準(zhǔn)漏洞的搜索無疑會繼續(xù)下去，但由于易受攻擊的服務(wù)器缺乏補充資源（老式復(fù)印機連接到互聯(lián)網(wǎng)的頻率有多高？），CHARGEN型放大攻擊不太可能風(fēng)靡世界。

如果網(wǎng)絡(luò)犯罪分子在方法上變得復(fù)雜，那么當(dāng)談到目標(biāo)時，他們就會開辟新天地。針對家庭用戶的DDoS攻擊很簡單但不盈利，而對公司的攻擊則有利可圖的，但卻很復(fù)雜?，F(xiàn)在，DDoS規(guī)劃者已經(jīng)找到了一種方法來充分利用網(wǎng)絡(luò)游戲行業(yè)和流媒體的兩個世界。以日益流行的電子競技比賽為例，在這種比賽中，勝利者會贏得成千上萬的美元，有時甚至是幾十萬美元。最大的比賽通常在特殊的場地舉行，有專門設(shè)置的屏幕和看臺，但參加資格賽的人通常都在家參與。在這種情況下，一個精心策劃的DDoS攻擊能輕易使戰(zhàn)隊在比賽初期就出局。比賽服務(wù)器也可能成為攻擊目標(biāo)，而破壞的威脅可能會促使比賽組織方支付贖金。根據(jù)卡巴斯基實驗室客戶數(shù)據(jù)，DDoS攻擊電子競技游戲玩家和網(wǎng)站的目的是拒絕訪問，未來會趨于普遍。

同樣，網(wǎng)絡(luò)犯罪分子正試圖將視頻游戲流媒體渠道的市場貨幣化。流媒體專業(yè)人士展示了流行游戲的現(xiàn)場直播，觀眾捐贈了少量資金來支持他們。當(dāng)然，觀眾越多，流媒體每次播放獲得的錢就越多; 頂級球員可以賺取數(shù)百或數(shù)千美元，這基本上是他們的工作。這一細分市場的競爭非常激烈，DDoS攻擊使其能夠干擾直播，導(dǎo)致用戶尋找替代方案。與電子競技運動員一樣，家庭寬帶幾乎無法抵御DDoS攻擊。他們基本上依賴于他們的互聯(lián)網(wǎng)提供商。目前唯一的解決方案可能是建立專門的平臺，提供更好的保護。

季度“業(yè)績”

DDoS攻擊的暴風(fēng)雨期是本季度的開始，尤其是4月中旬。相比之下，5月下旬和6月初相當(dāng)平靜。

中國保持了攻擊次數(shù)最高點（59.03％），其次是香港（17.13％）。中國的DDoS攻擊目標(biāo)數(shù)量也居首位。

SYN攻擊的比例急劇上升至80.2％; 第二名是10.6％的UDP攻擊。

Linux僵尸網(wǎng)絡(luò)的攻擊份額顯著增加到所有單一家庭攻擊的94.47％。

詳情

中國的份額幾乎沒有變化(59.03%，第一季度為59.42%)。然而，自監(jiān)管開始以來，香港首次躋身前三，從第四名上升至第二名:其份額增長了近五倍，從3.67%增至17.13%，擠掉了美國(12.46%)和韓國(3.21%)的份額，這兩個國家的股價分別下跌了約5%。此外，馬來西亞令人意外，它的排名迅速上升至第五位，目前占DDoS攻擊總數(shù)的1.30%。澳大利亞(1.17%)和越南(0.50%)也躋身前十，而日本、德國和俄羅斯則退出了榜單。英國(0.50%)和加拿大(0.69%)分別進入第八和第七。

DDos攻擊目標(biāo)的領(lǐng)土分布大致與攻擊數(shù)量的分布一致:中國占比最大(52.36%)，比上一季度增加了5個百分點。第二名是美國(17.5%)，第三名是香港(12.88%)，取代韓國(4.76%)。英國從第4位下降到第8位，現(xiàn)在只占目標(biāo)的0.8%。

結(jié)論

自上一季度以來總攻擊持續(xù)時間變化不大，但中期攻擊的比例增加，而較短攻擊的占比減少。攻擊的強度也在不斷增加。網(wǎng)絡(luò)犯罪分子最賺錢的目標(biāo)似乎是加密貨幣，但我們很快就會看為獲得小額贖金發(fā)起針對電子競技比賽和流媒體的DDOS攻擊愈發(fā)普遍。因此，市場需要的個人防御DDoS攻擊方案。