信息來(lái)源：Freebuf  

分布式拒絕服務(wù)（DDoS）攻擊往往造成大面積的網(wǎng)絡(luò)癱瘓，導(dǎo)致企業(yè)業(yè)務(wù)中斷，因而被稱為攻擊中的核武器。近年來(lái)，DDoS攻擊數(shù)量呈幾何數(shù)級(jí)增長(zhǎng)，給企業(yè)造成巨大的經(jīng)濟(jì)損失。

360威脅情報(bào)中心日前發(fā)布《DDoS攻擊商業(yè)破壞力研究報(bào)告》稱，2015年有超過(guò)77萬(wàn)網(wǎng)站遭受DDoS攻擊。遭受攻擊的網(wǎng)站，1/4無(wú)法恢復(fù)運(yùn)營(yíng)。全球DDoS攻擊每年造成的經(jīng)濟(jì)損失高達(dá)200億元。

攻擊目標(biāo)：被黑網(wǎng)站近八十萬(wàn)，非法服務(wù)超三成

2015年，360威脅情報(bào)中心共監(jiān)測(cè)到全球網(wǎng)絡(luò)DDoS攻擊27489410次，被攻擊網(wǎng)站數(shù)量多達(dá)776095個(gè)，平均每個(gè)被攻擊的網(wǎng)站遭遇DDoS攻擊35.4次。

通過(guò)對(duì)2015年DDoS攻擊的抽樣分析顯示：從被攻擊次數(shù)來(lái)看，約33.7%（三分之一）的被攻擊網(wǎng)站為沒(méi)有ICP/IP備案的非法網(wǎng)站（不包括合法境外網(wǎng)站），數(shù)量占比最高。這些被攻擊的非法網(wǎng)站提供的服務(wù)主要是游戲私服、色情信息和網(wǎng)上賭博等。排在第二位的被攻擊網(wǎng)站類(lèi)型是在線服務(wù)類(lèi)網(wǎng)站，占比為27.5%，主要包括門(mén)戶網(wǎng)站、新聞網(wǎng)站和生活服務(wù)類(lèi)網(wǎng)站等。排在第三至第五的網(wǎng)站類(lèi)型分別是企業(yè)網(wǎng)站，網(wǎng)絡(luò)服務(wù)和生活?yuàn)蕵?lè)。詳細(xì)信息參見(jiàn)表1。其中，網(wǎng)絡(luò)服務(wù)是指DNS、CDN、云服務(wù)、大數(shù)據(jù)服務(wù)等基礎(chǔ)網(wǎng)絡(luò)服務(wù)。

所屬行業(yè)	占比	說(shuō)明
非法網(wǎng)站	33.7%	未備案的非法網(wǎng)站（主要為：游戲、色情、賭博等）
在線服務(wù)	27.5%	在線服務(wù)（門(mén)戶、新聞、生活服務(wù)）
企業(yè)網(wǎng)站	17.1%	企業(yè)網(wǎng)站（企業(yè)主頁(yè)）
網(wǎng)絡(luò)服務(wù)	9.2%	網(wǎng)絡(luò)服務(wù)（DNS、CDN、云服務(wù)、大數(shù)據(jù)服務(wù)）
生活?yuàn)蕵?lè)	2.7%	生活?yuàn)蕵?lè)（影視、音樂(lè)、游戲）
安全服務(wù)	3.1%	安全服務(wù)（網(wǎng)站防護(hù)、流量清洗）
公共服務(wù)	2.6%	公共服務(wù)（政府、教育、醫(yī)療）
銀行理財(cái)	1.9%	銀行理財(cái)（銀行、理財(cái)、證券）
個(gè)人網(wǎng)站	1.4%	個(gè)人網(wǎng)站（個(gè)人主頁(yè)、博客）
電子商務(wù)	0.8%	電子商務(wù)（電商、O2O）

DDoS攻擊網(wǎng)站類(lèi)型分布

商業(yè)損失：四個(gè)網(wǎng)站死一家，損失接近兩百億

DDoS攻擊的死亡率

360威脅情報(bào)中心對(duì)部分遭遇DDoS攻擊的網(wǎng)站進(jìn)行了流量追蹤抽樣分析。統(tǒng)計(jì)顯示，在遭遇DDoS攻擊之后的一周時(shí)間里，約有24%的被攻擊網(wǎng)站受到致命影響，日均流量較被攻擊前的平均水平下降超過(guò)70%；約18%的被攻擊網(wǎng)站受到嚴(yán)重影響，流量下降在40%-79%之間；受DDoS攻擊影響程度一般，流量下降在10%-40%的網(wǎng)站約占21%；被攻擊后僅受輕微影響，流量下降低于10%的網(wǎng)站約占37%。

為進(jìn)一步分析網(wǎng)站的自救與自我恢復(fù)能力，360威脅情報(bào)中心又對(duì)部分被攻擊網(wǎng)站的流量進(jìn)行了為期4周（約1個(gè)月）的持續(xù)觀測(cè)。結(jié)果顯示，在其間沒(méi)有遭遇新的DDoS攻擊的情況下，盡管絕大多數(shù)被攻擊網(wǎng)站的流量都呈現(xiàn)回升的態(tài)勢(shì)，但也僅有不到一半（49%）的網(wǎng)站能夠最終完全擺脫DDoS攻擊的影響，網(wǎng)站流量能恢復(fù)到正常水平或受影響輕微。而且還有部分網(wǎng)站會(huì)出現(xiàn)流量加速下滑，病情不斷惡化的情況，最終，仍有約近四分之一（23%）的網(wǎng)站無(wú)法擺脫DDoS攻擊的致命影響，流量損失超過(guò)70%并且無(wú)法恢復(fù)，基本無(wú)望重新復(fù)活?？傮w來(lái)看，DDoS攻擊過(guò)后，平均約每四家網(wǎng)站就會(huì)有一家被徹底打死。

下圖給出了DDoS攻擊過(guò)后的1-4周時(shí)間內(nèi)，被攻擊網(wǎng)站流量損失的比例分布情況。

DDOS攻擊商業(yè)損失

鑒于DDoS攻擊的主要原因是惡意競(jìng)爭(zhēng)和敲詐勒索，所以被攻擊的網(wǎng)站，即便只是中小網(wǎng)站，通常也是具有相當(dāng)程度的商業(yè)價(jià)值。因此，結(jié)合前述統(tǒng)計(jì)，我們可以大致通過(guò)以下兩個(gè)方面來(lái)評(píng)估DDoS攻擊給整個(gè)互聯(lián)網(wǎng)造成的經(jīng)濟(jì)損失。

1）  網(wǎng)站停服損失評(píng)估

若我們按照平均每個(gè)網(wǎng)站的搭建成本為1萬(wàn)元（包括網(wǎng)站設(shè)計(jì)、制作、設(shè)備、運(yùn)維、推廣等基本投入），商業(yè)價(jià)值為10萬(wàn)元（由廣告收入、用戶繳費(fèi)收入等評(píng)估的網(wǎng)站資本價(jià)值）的較低水平來(lái)估算，2015年遭到攻擊的網(wǎng)站數(shù)量為77.6萬(wàn)個(gè)，約23%的網(wǎng)站被攻擊后受到致命影響，面臨停服風(fēng)險(xiǎn)，那么DDoS攻擊全年給這些網(wǎng)站的經(jīng)營(yíng)者造成的經(jīng)濟(jì)損失至少為：

投入成本損失：1萬(wàn)元×77.6萬(wàn)×23%≈17.8億

商業(yè)價(jià)值損失：10萬(wàn)元×77.6萬(wàn)×23%≈178.5億

2）  流量收入損失評(píng)估

根據(jù)前述分析中網(wǎng)站遭遇DDoS攻擊后受影響程度的分析推算，網(wǎng)站在遭遇DDoS攻擊后第1周的平均流量下降程度應(yīng)不低于26.1%。，第4周的平均下降程度也應(yīng)不低于22.8%。

第1周流量下降平均程度（下限）：70%×24%+40%×18%＋10%×21%＝26.1%

第4周流量平均下降程度（下限）：70%×23%＋40%×13%＋10%×15%＝22.8%

若假設(shè)網(wǎng)站的日均收入與網(wǎng)站流量成正比，而被攻擊網(wǎng)站在被攻擊前的日均收入為1000元（較低估值），則在2015年，DDoS攻擊每天給所有被攻擊的網(wǎng)站造成的流量收入損失至少應(yīng)在55.5萬(wàn)元-45.8萬(wàn)元之間。

第1周每天流量收入損失（下限）：1000元/天×26.1%×77.6萬(wàn)÷365天≈55.5萬(wàn)元

第4周每天流量收入損失（下限）：1000元/天×22.8%×77.6萬(wàn)÷365天≈45.8萬(wàn)元

據(jù)此推算，DDoS攻擊在2015年全年給網(wǎng)站經(jīng)營(yíng)者造成的流量收入損失不會(huì)低于：

流量收入損失（下限）： 45.8萬(wàn)元/天×365天=1.67億元。

攻擊強(qiáng)度：短時(shí)小量最多發(fā)，兩成打擊高精準(zhǔn)

在360威脅情報(bào)中心監(jiān)測(cè)到的所有DDoS攻擊中，70.5%的攻擊帶寬小于1Mbps，而小于10Mbps的攻擊占比接近90%。100Mbps-1Gbps的攻擊僅占2.2%，而大于1Gbps的攻擊則僅占0.2%。

而從攻擊時(shí)長(zhǎng)來(lái)看，近七成的DDoS攻擊持續(xù)時(shí)間小于10分鐘，而持續(xù)時(shí)間在10分鐘-1小時(shí)的攻擊占比約為30.5%，持續(xù)時(shí)間超過(guò)1小時(shí)的攻擊占比僅為0.1%。總體而言，短時(shí)、小量的攻擊仍然是DDoS攻擊的主流。下圖給出了DDoS攻擊的帶寬和時(shí)長(zhǎng)分布統(tǒng)計(jì)。

 為了進(jìn)一步分析DDoS攻擊的時(shí)間分布特性。我們對(duì)部分網(wǎng)站的業(yè)務(wù)流量峰值與DDoS攻擊發(fā)生的時(shí)間進(jìn)行了抽樣比對(duì)分析。統(tǒng)計(jì)顯示：約有兩成（17%）的DDoS攻擊為高精準(zhǔn)攻擊，攻擊時(shí)間與被攻擊網(wǎng)站的業(yè)務(wù)流量高峰時(shí)段高度重合，重合度在80%以上。另有73%的DDoS攻擊時(shí)間與網(wǎng)站的業(yè)務(wù)流量重合度在40%-70%之間。而業(yè)務(wù)重合度低于30%的DDoS攻擊，僅占比10%左右。由此可見(jiàn)，DDoS攻擊具有很強(qiáng)的策略性和針對(duì)性。

僵尸網(wǎng)絡(luò)：南美廣東常出沒(méi)，主控尸王一萬(wàn)三

僵尸網(wǎng)絡(luò)地域分布

DDoS 攻擊主要由受控的僵尸網(wǎng)絡(luò)發(fā)動(dòng)。統(tǒng)計(jì)顯示，在世界范圍內(nèi)（不含中國(guó)），南美洲的委內(nèi)瑞拉和美國(guó)是最為主要的僵尸網(wǎng)絡(luò)攻擊源，在攻擊源頭中占比分別高達(dá)33.4%和32.4%。其它的僵尸網(wǎng)絡(luò)則主要集中在印度尼西亞、日本、新加坡、泰國(guó)、越南、印度、馬來(lái)西亞等亞洲沿海國(guó)家。

下面兩圖給出了全球僵尸網(wǎng)絡(luò)的國(guó)家分布情況。

而從國(guó)內(nèi)的僵尸網(wǎng)絡(luò)情況來(lái)看，廣東是僵尸網(wǎng)絡(luò)最多的省級(jí)行政區(qū)，國(guó)內(nèi)占比高達(dá)14.5%。其次是浙江7.7%，河南6.3%，北京、四川緊隨其后。

下面兩圖給出了國(guó)內(nèi)僵尸網(wǎng)絡(luò)的地域分布情況。

僵尸網(wǎng)絡(luò)的操控

2015年全年，360威脅情報(bào)中心共監(jiān)測(cè)到僵尸網(wǎng)絡(luò)主控服務(wù)器13599個(gè)。這些主控服務(wù)器是大量僵尸網(wǎng)絡(luò)的控制者，可以稱得上是僵尸網(wǎng)絡(luò)中的僵尸王。

通過(guò)對(duì)僵尸網(wǎng)絡(luò)主控服務(wù)器的追蹤分析顯示：有45.0%主控服務(wù)器會(huì)使用固定IP地址，而另外的55.0%的主控服務(wù)器則會(huì)使用固定域名。此外，約有27.7%的主控服務(wù)器的生存周期不滿1天；生存周期在2天至一周的約占比15.9%；生存周期在一周以上，一個(gè)月一下的為22.1%。另有7%以上的主控服務(wù)器生存周期超過(guò)半年，更有1.2%的主控服務(wù)器生存周期超過(guò)一年?？傮w而言，主控服務(wù)器的生存周期比一般的木馬網(wǎng)站或釣魚(yú)網(wǎng)站（生存周期通常不超過(guò)48小時(shí)）要長(zhǎng)得多，這也就為我們定位、追蹤僵尸網(wǎng)絡(luò)提供了更多的機(jī)會(huì)。

從端口來(lái)看，約有16.7%的僵尸網(wǎng)絡(luò)主控服務(wù)器選擇一些特殊端口號(hào)來(lái)進(jìn)行自我身份偽裝。其中，偽裝成系統(tǒng)服務(wù)，即端口號(hào)在1-1024之間（不包括80，443）的主控服務(wù)器占比為9.5%，偽裝成網(wǎng)站的（80、8000、8080、443等）的為7.2%：80占2.9%，8000占1.1%，8080占1.0%，443（偽裝成加密網(wǎng)站）占2.3%。

從尸王級(jí)主控服務(wù)器的全球地域分布來(lái)看，中美俄排名前三：44.3%的主控服務(wù)器在中國(guó)境內(nèi)；美國(guó)則是最大的海外控制源，占比為19.8%；俄羅斯排第三，占比為6.8%。

從尸王級(jí)主控服務(wù)器的境內(nèi)分布來(lái)看，江蘇的主控服務(wù)器數(shù)量最多，占比為27.6%；廣東次之，占比為17.5%，香港位列第三，占比為8.3%。

此外，監(jiān)測(cè)還顯示，僵尸網(wǎng)絡(luò)之間也存在著“黑幫械斗”和“聯(lián)手結(jié)盟”的情況。我們即能看到幾個(gè)分屬不同派別的僵尸網(wǎng)絡(luò)有相互攻擊的明顯跡象，同時(shí)也能看到分屬不同派別的僵尸網(wǎng)絡(luò)會(huì)在一定時(shí)間內(nèi)突然同時(shí)對(duì)同一目標(biāo)發(fā)動(dòng)攻擊。

造成這種情況的主要原因有兩個(gè)方面，一個(gè)是黑產(chǎn)之間本來(lái)就存著相互競(jìng)爭(zhēng)與合作的關(guān)系；二是黑產(chǎn)的攻擊行動(dòng)往往取決于金主的需求和意圖：同一個(gè)金主同時(shí)雇傭了不同派系的DDoS黑幫，不同派系的僵尸網(wǎng)絡(luò)就會(huì)呈現(xiàn)出協(xié)同合作的態(tài)勢(shì)；而相互斗爭(zhēng)的金主分別雇傭不同派系的DDoS黑幫進(jìn)行相互攻擊，就有可能出現(xiàn)不同派系的僵尸網(wǎng)絡(luò)相互攻擊的情況。

技術(shù)方法：SYN Flood是主流，DNS Flood在深夜

從技術(shù)角度看，SYNFlood、UDP Flood和DNS Flood是最主要的三種攻擊類(lèi)型，從攻擊次數(shù)來(lái)看，總占比接近98.9%。SYN Flood攻擊仍然是最為主要的攻擊方式，占DDoS攻擊總量的55.6%，超過(guò)半數(shù)；其次是UDP Flood，占比為37.5%，其中絕大多數(shù)為AMP攻擊；DNS Flood占比為5.78%。

下圖給出AMP攻擊的一些細(xì)分類(lèi)型的分布情況。其中，NTP攻擊占比最高，為45.0%，其次是SSD，占比為34.6%，兩者之和約占AMP攻擊總量的80%。

下圖給出了不同類(lèi)型DDoS攻擊的24小時(shí)時(shí)間分布對(duì)比情況。其中可以看出，在2015年的DDoS攻擊中，SYN Flood與AMP（UDP Flood）攻擊在一天24小時(shí)中的分布都比較均勻，并沒(méi)有攻擊量特別突出的時(shí)段。但DNS Flood則比較明顯的主要集中在深夜和凌晨。

下圖給出了不同類(lèi)型DDoS攻擊的攻擊時(shí)長(zhǎng)分布對(duì)比?？傮w來(lái)看，不同類(lèi)型的DDoS攻擊，攻擊時(shí)長(zhǎng)的分布差異不大。

黑產(chǎn)分析：三十塊錢(qián)打死你，包月服務(wù)更便宜

為了更進(jìn)一步深入了解DDoS攻擊的產(chǎn)業(yè)模式，360威脅情報(bào)中心對(duì)僵尸網(wǎng)絡(luò)及DDoS服務(wù)的黑產(chǎn)鏈條進(jìn)行了長(zhǎng)期監(jiān)測(cè)和追蹤分析。根據(jù)目前我們已經(jīng)掌握的情報(bào)線索來(lái)看，DDoS攻擊黑色產(chǎn)業(yè)鏈上，從業(yè)人員大致可以分為四類(lèi)：木馬作者、網(wǎng)絡(luò)黑客、地下承包商以及網(wǎng)絡(luò)黑幫。而從DDOS攻擊的產(chǎn)品和服務(wù)層次來(lái)看，黑色產(chǎn)業(yè)鏈又大致可以分為DDoS后門(mén)、僵尸網(wǎng)絡(luò)、云交易平臺(tái)和銷(xiāo)售平臺(tái)等幾個(gè)不同的層次。

下圖給出了DDoS攻擊黑色產(chǎn)業(yè)鏈的基本模型分析。

木馬作者：研發(fā)用于DDoS攻擊的后門(mén)程序及網(wǎng)站滲透工具的人。這些人通常并不直接參與DDoS攻擊，而是直接把自己研發(fā)的木馬程序賣(mài)給專門(mén)從事各種網(wǎng)絡(luò)攻擊的其他黑客。

網(wǎng)絡(luò)黑客：此處特指那些專門(mén)通過(guò)入侵網(wǎng)站或其他網(wǎng)絡(luò)服務(wù)系統(tǒng)，并在其中植入 DDoS攻擊后門(mén)程序的黑客。這些黑客入侵網(wǎng)站的主要手段有兩種：一是通過(guò)傳播木馬程序逐步滲透，并最終獲取網(wǎng)站的控制權(quán)；二是利用網(wǎng)站漏洞，直接入侵網(wǎng)站并獲取控制權(quán)。而一旦DDoS后門(mén)植入成功，相關(guān)網(wǎng)站或網(wǎng)絡(luò)就成為了僵尸網(wǎng)絡(luò)。

地下承包商：這是專門(mén)將網(wǎng)絡(luò)黑客，以及黑客手中的僵尸網(wǎng)絡(luò)組織起來(lái)參與DDoS攻擊黑產(chǎn)活動(dòng)的團(tuán)伙。他們從下游的網(wǎng)絡(luò)黑幫手中承接任務(wù)，并分派給上游指定的網(wǎng)絡(luò)黑客，進(jìn)而通過(guò)僵尸網(wǎng)絡(luò)發(fā)動(dòng)DDoS攻擊。某些地下承包商還會(huì)搭建某種形式的交易平臺(tái)，用于協(xié)調(diào)和組織網(wǎng)絡(luò)黑客。

網(wǎng)絡(luò)黑幫：專門(mén)在互聯(lián)網(wǎng)上承攬各種DDoS攻擊業(yè)務(wù)并收取服務(wù)費(fèi)的黑幫團(tuán)伙。網(wǎng)絡(luò)黑幫收取服務(wù)費(fèi)后還會(huì)進(jìn)行洗錢(qián)及與上游各個(gè)環(huán)節(jié)進(jìn)行分贓的工作。某些網(wǎng)絡(luò)黑幫甚至?xí)淮罱ㄤN(xiāo)售平臺(tái)或相關(guān)網(wǎng)頁(yè)來(lái)承接各種用戶業(yè)務(wù)。

下圖就是我們?cè)谀硞€(gè)專門(mén)承攬DDoS攻擊業(yè)務(wù)的網(wǎng)站上下載的一份收費(fèi)清單。從圖中可以看出，該平臺(tái)提供的服務(wù)非常細(xì)致，可以根據(jù)攻擊的帶寬和攻擊的天數(shù)來(lái)進(jìn)行差異化的收費(fèi)。最便宜的50M包日服務(wù)，僅需30元，100M包月服務(wù)也只有500元。但這樣的攻擊，已經(jīng)足以讓某些中小網(wǎng)站被打癱或打死。

同時(shí)，該平臺(tái)還能提供40G以上的超大流量攻擊，其包月服務(wù)價(jià)也只有16800元。而如果該平臺(tái)確實(shí)能夠提供40G帶寬攻擊的包月服務(wù)，那么可以說(shuō)，絕大多數(shù)的中小網(wǎng)站，甚至是某些大型網(wǎng)站都一定會(huì)被打死。從這個(gè)意義上說(shuō)，只要肯花16800元，你幾乎可以“雇兇”殺死任何一家網(wǎng)站。

結(jié)合上面報(bào)價(jià)單以及360威脅情報(bào)中心在2015年對(duì)所有DDoS攻擊的帶寬、時(shí)長(zhǎng)、頻次分析，大致可以估算出DDoS攻擊的網(wǎng)絡(luò)黑產(chǎn)在2015年的基本收入或產(chǎn)業(yè)規(guī)模狀態(tài)（不包括敲詐勒索的收入所得）。詳見(jiàn)下表。

攻擊流量（M）	百分比	全年攻擊次數(shù)	包日價(jià)（元）	包月價(jià)（元）	全包日服務(wù)年收入估算	全包月服務(wù)年收入估算	折中年收入估算
小于1M	70.50%	19379438	30	500	145345785	80747658	132426160
1M-10M	19.27%	5298543	30	500	39739073	22077263	36206711
10M-100M	7.74%	2127826	100	500	53195650	8865942	44329708
100M-1G	2.25%	617175	100	900	15429375	4628813	13269263
1G-5G	0.24%	63861	300	2800	4789575	1490090	4129678
大于5G	0.00%	2567	300	9800	192525	209638	195948
總計(jì)					258691983	118019403	230557467

DDoS攻擊產(chǎn)業(yè)年收入規(guī)模分析

下面簡(jiǎn)單說(shuō)明一下全包日收入估算、全包月收入估算及折中收入估算的計(jì)算方法。

首先，統(tǒng)計(jì)顯示，若以“日”為統(tǒng)計(jì)周期，那么在同一日內(nèi)遭遇DDoS攻擊的網(wǎng)站中，平均每個(gè)網(wǎng)站被攻擊的次數(shù)約為4次。因此：

全包日服務(wù)年收入估算 ≈（全年攻擊次數(shù)÷4）×包日價(jià)

全包月服務(wù)年收入估算 ≈（全年攻擊次數(shù)÷4÷30）×包月價(jià)

再者，在實(shí)際市場(chǎng)中，肯定是有人購(gòu)買(mǎi)包日服務(wù)，有人購(gòu)買(mǎi)包月服務(wù)。但具體的比例分布，目前我們還不完全掌握。我們?cè)谏媳碇惺鞘褂昧似毡檫m用的“二八原則”對(duì)黑產(chǎn)收入進(jìn)行了估算，即，假設(shè)80%的金主會(huì)購(gòu)買(mǎi)包日服務(wù)，而20%的金主會(huì)購(gòu)買(mǎi)包月服務(wù)。因此：

折中年收入估算 ≈全包日收入估算×80%＋全包月收入估算20%。

在上面表格中可以看出，如果所有的DDoS攻擊都采用包日或包月的服務(wù)，那么，DDoS服務(wù)的購(gòu)買(mǎi)者在2015年向黑產(chǎn)支付的資金成本，也就是DDoS黑產(chǎn)的年收入應(yīng)當(dāng)在1.18億元-2.59億元之間。平均而言（折中收入），DDoS黑產(chǎn)年收入應(yīng)在2.3億元人民幣左右。

*本文作者：360安全衛(wèi)士，轉(zhuǎn)載須注明來(lái)自FreeBuf黑客與極客（FreeBuf.COM）