信息來源：Freebuf  

分布式拒絕服務（DDoS）攻擊往往造成大面積的網(wǎng)絡癱瘓，導致企業(yè)業(yè)務中斷，因而被稱為攻擊中的核武器。近年來，DDoS攻擊數(shù)量呈幾何數(shù)級增長，給企業(yè)造成巨大的經(jīng)濟損失。

360威脅情報中心日前發(fā)布《DDoS攻擊商業(yè)破壞力研究報告》稱，2015年有超過77萬網(wǎng)站遭受DDoS攻擊。遭受攻擊的網(wǎng)站，1/4無法恢復運營。全球DDoS攻擊每年造成的經(jīng)濟損失高達200億元。

攻擊目標：被黑網(wǎng)站近八十萬，非法服務超三成

2015年，360威脅情報中心共監(jiān)測到全球網(wǎng)絡DDoS攻擊27489410次，被攻擊網(wǎng)站數(shù)量多達776095個，平均每個被攻擊的網(wǎng)站遭遇DDoS攻擊35.4次。

通過對2015年DDoS攻擊的抽樣分析顯示：從被攻擊次數(shù)來看，約33.7%（三分之一）的被攻擊網(wǎng)站為沒有ICP/IP備案的非法網(wǎng)站（不包括合法境外網(wǎng)站），數(shù)量占比最高。這些被攻擊的非法網(wǎng)站提供的服務主要是游戲私服、色情信息和網(wǎng)上賭博等。排在第二位的被攻擊網(wǎng)站類型是在線服務類網(wǎng)站，占比為27.5%，主要包括門戶網(wǎng)站、新聞網(wǎng)站和生活服務類網(wǎng)站等。排在第三至第五的網(wǎng)站類型分別是企業(yè)網(wǎng)站，網(wǎng)絡服務和生活娛樂。詳細信息參見表1。其中，網(wǎng)絡服務是指DNS、CDN、云服務、大數(shù)據(jù)服務等基礎網(wǎng)絡服務。

所屬行業(yè)	占比	說明
非法網(wǎng)站	33.7%	未備案的非法網(wǎng)站（主要為：游戲、色情、賭博等）
在線服務	27.5%	在線服務（門戶、新聞、生活服務）
企業(yè)網(wǎng)站	17.1%	企業(yè)網(wǎng)站（企業(yè)主頁）
網(wǎng)絡服務	9.2%	網(wǎng)絡服務（DNS、CDN、云服務、大數(shù)據(jù)服務）
生活娛樂	2.7%	生活娛樂（影視、音樂、游戲）
安全服務	3.1%	安全服務（網(wǎng)站防護、流量清洗）
公共服務	2.6%	公共服務（政府、教育、醫(yī)療）
銀行理財	1.9%	銀行理財（銀行、理財、證券）
個人網(wǎng)站	1.4%	個人網(wǎng)站（個人主頁、博客）
電子商務	0.8%	電子商務（電商、O2O）

DDoS攻擊網(wǎng)站類型分布

商業(yè)損失：四個網(wǎng)站死一家，損失接近兩百億

DDoS攻擊的死亡率

360威脅情報中心對部分遭遇DDoS攻擊的網(wǎng)站進行了流量追蹤抽樣分析。統(tǒng)計顯示，在遭遇DDoS攻擊之后的一周時間里，約有24%的被攻擊網(wǎng)站受到致命影響，日均流量較被攻擊前的平均水平下降超過70%；約18%的被攻擊網(wǎng)站受到嚴重影響，流量下降在40%-79%之間；受DDoS攻擊影響程度一般，流量下降在10%-40%的網(wǎng)站約占21%；被攻擊后僅受輕微影響，流量下降低于10%的網(wǎng)站約占37%。

為進一步分析網(wǎng)站的自救與自我恢復能力，360威脅情報中心又對部分被攻擊網(wǎng)站的流量進行了為期4周（約1個月）的持續(xù)觀測。結果顯示，在其間沒有遭遇新的DDoS攻擊的情況下，盡管絕大多數(shù)被攻擊網(wǎng)站的流量都呈現(xiàn)回升的態(tài)勢，但也僅有不到一半（49%）的網(wǎng)站能夠最終完全擺脫DDoS攻擊的影響，網(wǎng)站流量能恢復到正常水平或受影響輕微。而且還有部分網(wǎng)站會出現(xiàn)流量加速下滑，病情不斷惡化的情況，最終，仍有約近四分之一（23%）的網(wǎng)站無法擺脫DDoS攻擊的致命影響，流量損失超過70%并且無法恢復，基本無望重新復活?？傮w來看，DDoS攻擊過后，平均約每四家網(wǎng)站就會有一家被徹底打死。

下圖給出了DDoS攻擊過后的1-4周時間內(nèi)，被攻擊網(wǎng)站流量損失的比例分布情況。

DDOS攻擊商業(yè)損失

鑒于DDoS攻擊的主要原因是惡意競爭和敲詐勒索，所以被攻擊的網(wǎng)站，即便只是中小網(wǎng)站，通常也是具有相當程度的商業(yè)價值。因此，結合前述統(tǒng)計，我們可以大致通過以下兩個方面來評估DDoS攻擊給整個互聯(lián)網(wǎng)造成的經(jīng)濟損失。

1）  網(wǎng)站停服損失評估

若我們按照平均每個網(wǎng)站的搭建成本為1萬元（包括網(wǎng)站設計、制作、設備、運維、推廣等基本投入），商業(yè)價值為10萬元（由廣告收入、用戶繳費收入等評估的網(wǎng)站資本價值）的較低水平來估算，2015年遭到攻擊的網(wǎng)站數(shù)量為77.6萬個，約23%的網(wǎng)站被攻擊后受到致命影響，面臨停服風險，那么DDoS攻擊全年給這些網(wǎng)站的經(jīng)營者造成的經(jīng)濟損失至少為：

投入成本損失：1萬元×77.6萬×23%≈17.8億

商業(yè)價值損失：10萬元×77.6萬×23%≈178.5億

2）  流量收入損失評估

根據(jù)前述分析中網(wǎng)站遭遇DDoS攻擊后受影響程度的分析推算，網(wǎng)站在遭遇DDoS攻擊后第1周的平均流量下降程度應不低于26.1%。，第4周的平均下降程度也應不低于22.8%。

第1周流量下降平均程度（下限）：70%×24%+40%×18%＋10%×21%＝26.1%

第4周流量平均下降程度（下限）：70%×23%＋40%×13%＋10%×15%＝22.8%

若假設網(wǎng)站的日均收入與網(wǎng)站流量成正比，而被攻擊網(wǎng)站在被攻擊前的日均收入為1000元（較低估值），則在2015年，DDoS攻擊每天給所有被攻擊的網(wǎng)站造成的流量收入損失至少應在55.5萬元-45.8萬元之間。

第1周每天流量收入損失（下限）：1000元/天×26.1%×77.6萬÷365天≈55.5萬元

第4周每天流量收入損失（下限）：1000元/天×22.8%×77.6萬÷365天≈45.8萬元

據(jù)此推算，DDoS攻擊在2015年全年給網(wǎng)站經(jīng)營者造成的流量收入損失不會低于：

流量收入損失（下限）： 45.8萬元/天×365天=1.67億元。

攻擊強度：短時小量最多發(fā)，兩成打擊高精準

在360威脅情報中心監(jiān)測到的所有DDoS攻擊中，70.5%的攻擊帶寬小于1Mbps，而小于10Mbps的攻擊占比接近90%。100Mbps-1Gbps的攻擊僅占2.2%，而大于1Gbps的攻擊則僅占0.2%。

而從攻擊時長來看，近七成的DDoS攻擊持續(xù)時間小于10分鐘，而持續(xù)時間在10分鐘-1小時的攻擊占比約為30.5%，持續(xù)時間超過1小時的攻擊占比僅為0.1%?？傮w而言，短時、小量的攻擊仍然是DDoS攻擊的主流。下圖給出了DDoS攻擊的帶寬和時長分布統(tǒng)計。

 為了進一步分析DDoS攻擊的時間分布特性。我們對部分網(wǎng)站的業(yè)務流量峰值與DDoS攻擊發(fā)生的時間進行了抽樣比對分析。統(tǒng)計顯示：約有兩成（17%）的DDoS攻擊為高精準攻擊，攻擊時間與被攻擊網(wǎng)站的業(yè)務流量高峰時段高度重合，重合度在80%以上。另有73%的DDoS攻擊時間與網(wǎng)站的業(yè)務流量重合度在40%-70%之間。而業(yè)務重合度低于30%的DDoS攻擊，僅占比10%左右。由此可見，DDoS攻擊具有很強的策略性和針對性。

僵尸網(wǎng)絡：南美廣東常出沒，主控尸王一萬三

僵尸網(wǎng)絡地域分布

DDoS 攻擊主要由受控的僵尸網(wǎng)絡發(fā)動。統(tǒng)計顯示，在世界范圍內(nèi)（不含中國），南美洲的委內(nèi)瑞拉和美國是最為主要的僵尸網(wǎng)絡攻擊源，在攻擊源頭中占比分別高達33.4%和32.4%。其它的僵尸網(wǎng)絡則主要集中在印度尼西亞、日本、新加坡、泰國、越南、印度、馬來西亞等亞洲沿海國家。

下面兩圖給出了全球僵尸網(wǎng)絡的國家分布情況。

而從國內(nèi)的僵尸網(wǎng)絡情況來看，廣東是僵尸網(wǎng)絡最多的省級行政區(qū)，國內(nèi)占比高達14.5%。其次是浙江7.7%，河南6.3%，北京、四川緊隨其后。

下面兩圖給出了國內(nèi)僵尸網(wǎng)絡的地域分布情況。

僵尸網(wǎng)絡的操控

2015年全年，360威脅情報中心共監(jiān)測到僵尸網(wǎng)絡主控服務器13599個。這些主控服務器是大量僵尸網(wǎng)絡的控制者，可以稱得上是僵尸網(wǎng)絡中的僵尸王。

通過對僵尸網(wǎng)絡主控服務器的追蹤分析顯示：有45.0%主控服務器會使用固定IP地址，而另外的55.0%的主控服務器則會使用固定域名。此外，約有27.7%的主控服務器的生存周期不滿1天；生存周期在2天至一周的約占比15.9%；生存周期在一周以上，一個月一下的為22.1%。另有7%以上的主控服務器生存周期超過半年，更有1.2%的主控服務器生存周期超過一年?？傮w而言，主控服務器的生存周期比一般的木馬網(wǎng)站或釣魚網(wǎng)站（生存周期通常不超過48小時）要長得多，這也就為我們定位、追蹤僵尸網(wǎng)絡提供了更多的機會。

從端口來看，約有16.7%的僵尸網(wǎng)絡主控服務器選擇一些特殊端口號來進行自我身份偽裝。其中，偽裝成系統(tǒng)服務，即端口號在1-1024之間（不包括80，443）的主控服務器占比為9.5%，偽裝成網(wǎng)站的（80、8000、8080、443等）的為7.2%：80占2.9%，8000占1.1%，8080占1.0%，443（偽裝成加密網(wǎng)站）占2.3%。

從尸王級主控服務器的全球地域分布來看，中美俄排名前三：44.3%的主控服務器在中國境內(nèi)；美國則是最大的海外控制源，占比為19.8%；俄羅斯排第三，占比為6.8%。

從尸王級主控服務器的境內(nèi)分布來看，江蘇的主控服務器數(shù)量最多，占比為27.6%；廣東次之，占比為17.5%，香港位列第三，占比為8.3%。

此外，監(jiān)測還顯示，僵尸網(wǎng)絡之間也存在著“黑幫械斗”和“聯(lián)手結盟”的情況。我們即能看到幾個分屬不同派別的僵尸網(wǎng)絡有相互攻擊的明顯跡象，同時也能看到分屬不同派別的僵尸網(wǎng)絡會在一定時間內(nèi)突然同時對同一目標發(fā)動攻擊。

造成這種情況的主要原因有兩個方面，一個是黑產(chǎn)之間本來就存著相互競爭與合作的關系；二是黑產(chǎn)的攻擊行動往往取決于金主的需求和意圖：同一個金主同時雇傭了不同派系的DDoS黑幫，不同派系的僵尸網(wǎng)絡就會呈現(xiàn)出協(xié)同合作的態(tài)勢；而相互斗爭的金主分別雇傭不同派系的DDoS黑幫進行相互攻擊，就有可能出現(xiàn)不同派系的僵尸網(wǎng)絡相互攻擊的情況。

技術方法：SYN Flood是主流，DNS Flood在深夜

從技術角度看，SYNFlood、UDP Flood和DNS Flood是最主要的三種攻擊類型，從攻擊次數(shù)來看，總占比接近98.9%。SYN Flood攻擊仍然是最為主要的攻擊方式，占DDoS攻擊總量的55.6%，超過半數(shù)；其次是UDP Flood，占比為37.5%，其中絕大多數(shù)為AMP攻擊；DNS Flood占比為5.78%。

下圖給出AMP攻擊的一些細分類型的分布情況。其中，NTP攻擊占比最高，為45.0%，其次是SSD，占比為34.6%，兩者之和約占AMP攻擊總量的80%。

下圖給出了不同類型DDoS攻擊的24小時時間分布對比情況。其中可以看出，在2015年的DDoS攻擊中，SYN Flood與AMP（UDP Flood）攻擊在一天24小時中的分布都比較均勻，并沒有攻擊量特別突出的時段。但DNS Flood則比較明顯的主要集中在深夜和凌晨。

下圖給出了不同類型DDoS攻擊的攻擊時長分布對比?？傮w來看，不同類型的DDoS攻擊，攻擊時長的分布差異不大。

黑產(chǎn)分析：三十塊錢打死你，包月服務更便宜

為了更進一步深入了解DDoS攻擊的產(chǎn)業(yè)模式，360威脅情報中心對僵尸網(wǎng)絡及DDoS服務的黑產(chǎn)鏈條進行了長期監(jiān)測和追蹤分析。根據(jù)目前我們已經(jīng)掌握的情報線索來看，DDoS攻擊黑色產(chǎn)業(yè)鏈上，從業(yè)人員大致可以分為四類：木馬作者、網(wǎng)絡黑客、地下承包商以及網(wǎng)絡黑幫。而從DDOS攻擊的產(chǎn)品和服務層次來看，黑色產(chǎn)業(yè)鏈又大致可以分為DDoS后門、僵尸網(wǎng)絡、云交易平臺和銷售平臺等幾個不同的層次。

下圖給出了DDoS攻擊黑色產(chǎn)業(yè)鏈的基本模型分析。

木馬作者：研發(fā)用于DDoS攻擊的后門程序及網(wǎng)站滲透工具的人。這些人通常并不直接參與DDoS攻擊，而是直接把自己研發(fā)的木馬程序賣給專門從事各種網(wǎng)絡攻擊的其他黑客。

網(wǎng)絡黑客：此處特指那些專門通過入侵網(wǎng)站或其他網(wǎng)絡服務系統(tǒng)，并在其中植入 DDoS攻擊后門程序的黑客。這些黑客入侵網(wǎng)站的主要手段有兩種：一是通過傳播木馬程序逐步滲透，并最終獲取網(wǎng)站的控制權；二是利用網(wǎng)站漏洞，直接入侵網(wǎng)站并獲取控制權。而一旦DDoS后門植入成功，相關網(wǎng)站或網(wǎng)絡就成為了僵尸網(wǎng)絡。

地下承包商：這是專門將網(wǎng)絡黑客，以及黑客手中的僵尸網(wǎng)絡組織起來參與DDoS攻擊黑產(chǎn)活動的團伙。他們從下游的網(wǎng)絡黑幫手中承接任務，并分派給上游指定的網(wǎng)絡黑客，進而通過僵尸網(wǎng)絡發(fā)動DDoS攻擊。某些地下承包商還會搭建某種形式的交易平臺，用于協(xié)調和組織網(wǎng)絡黑客。

網(wǎng)絡黑幫：專門在互聯(lián)網(wǎng)上承攬各種DDoS攻擊業(yè)務并收取服務費的黑幫團伙。網(wǎng)絡黑幫收取服務費后還會進行洗錢及與上游各個環(huán)節(jié)進行分贓的工作。某些網(wǎng)絡黑幫甚至會公然搭建銷售平臺或相關網(wǎng)頁來承接各種用戶業(yè)務。

下圖就是我們在某個專門承攬DDoS攻擊業(yè)務的網(wǎng)站上下載的一份收費清單。從圖中可以看出，該平臺提供的服務非常細致，可以根據(jù)攻擊的帶寬和攻擊的天數(shù)來進行差異化的收費。最便宜的50M包日服務，僅需30元，100M包月服務也只有500元。但這樣的攻擊，已經(jīng)足以讓某些中小網(wǎng)站被打癱或打死。

同時，該平臺還能提供40G以上的超大流量攻擊，其包月服務價也只有16800元。而如果該平臺確實能夠提供40G帶寬攻擊的包月服務，那么可以說，絕大多數(shù)的中小網(wǎng)站，甚至是某些大型網(wǎng)站都一定會被打死。從這個意義上說，只要肯花16800元，你幾乎可以“雇兇”殺死任何一家網(wǎng)站。

結合上面報價單以及360威脅情報中心在2015年對所有DDoS攻擊的帶寬、時長、頻次分析，大致可以估算出DDoS攻擊的網(wǎng)絡黑產(chǎn)在2015年的基本收入或產(chǎn)業(yè)規(guī)模狀態(tài)（不包括敲詐勒索的收入所得）。詳見下表。

攻擊流量（M）	百分比	全年攻擊次數(shù)	包日價（元）	包月價（元）	全包日服務年收入估算	全包月服務年收入估算	折中年收入估算
小于1M	70.50%	19379438	30	500	145345785	80747658	132426160
1M-10M	19.27%	5298543	30	500	39739073	22077263	36206711
10M-100M	7.74%	2127826	100	500	53195650	8865942	44329708
100M-1G	2.25%	617175	100	900	15429375	4628813	13269263
1G-5G	0.24%	63861	300	2800	4789575	1490090	4129678
大于5G	0.00%	2567	300	9800	192525	209638	195948
總計					258691983	118019403	230557467

DDoS攻擊產(chǎn)業(yè)年收入規(guī)模分析

下面簡單說明一下全包日收入估算、全包月收入估算及折中收入估算的計算方法。

首先，統(tǒng)計顯示，若以“日”為統(tǒng)計周期，那么在同一日內(nèi)遭遇DDoS攻擊的網(wǎng)站中，平均每個網(wǎng)站被攻擊的次數(shù)約為4次。因此：

全包日服務年收入估算 ≈（全年攻擊次數(shù)÷4）×包日價

全包月服務年收入估算 ≈（全年攻擊次數(shù)÷4÷30）×包月價

再者，在實際市場中，肯定是有人購買包日服務，有人購買包月服務。但具體的比例分布，目前我們還不完全掌握。我們在上表中是使用了普遍適用的“二八原則”對黑產(chǎn)收入進行了估算，即，假設80%的金主會購買包日服務，而20%的金主會購買包月服務。因此：

折中年收入估算 ≈全包日收入估算×80%＋全包月收入估算20%。

在上面表格中可以看出，如果所有的DDoS攻擊都采用包日或包月的服務，那么，DDoS服務的購買者在2015年向黑產(chǎn)支付的資金成本，也就是DDoS黑產(chǎn)的年收入應當在1.18億元-2.59億元之間。平均而言（折中收入），DDoS黑產(chǎn)年收入應在2.3億元人民幣左右。

*本文作者：360安全衛(wèi)士，轉載須注明來自FreeBuf黑客與極客（FreeBuf.COM）