【IT168 资讯】在网络安全事件频发,破坏威力越来越大的当下,如何及早洞察DDoS趋势,了解其攻击手法并做出有效应对,成为人们的焦点。绿盟科技携手中国电信·云堤联合发布《2019年DDoS攻击态势报告》,针对当前高发的DDoS攻击态势进行了总结和盘点。
2019 vs 2018
1. 攻击次数增加了30.2%,攻击总流量下降了26.4%。
2. 1-5Gbps小规模攻击显著增加,300Gbps 以上的大规模攻击小幅增加。
3. 平均峰值小幅增长,达 42.9Gbps,中大规模攻击的技术成熟度在逐年提高。
4. UDP Flood、SYN Flood 和 ACK Flood 依然是 DDoS 的主要攻击手法,混合攻击在超大规模攻击中发挥重要作用。
5. 物联网设备的 DDoS 攻击参与度逐年提升。
6. IoT 家族的漏洞利用载荷组成与 2018 年类似,主要攻击物联网智能设备,同时攻击手段增多,在攻击链上的角色出现了分工态势。
重要观点
1. 成熟:攻击者的技术成熟度在稳步提升,攻击者在 DDoS 外存在更多获利选择。
2. 混合:12.5% 的 DDoS 攻击事件使用了多种攻击手法,在 300Gbps 以上的超大规模攻击中逾 3成攻击都采用了混合攻击模式,对清洗设备性能和清洗线路的稳定,以及防护运营提出了更大的挑战。
3. 惯犯:2019 年全年 DDoS 惯犯(攻击次数大于 20 次)达 130 万,其中 7% 的惯犯发起了 78%的攻击事件,惯犯行为值得持续关注。
4. 团伙:全年发现DDoS团伙60个,攻击资源数量大于1000的团伙达15个,最大攻击团伙包含8.8万攻击源,月均活跃 3.5 万攻击源,团伙行为和攻击团伙的治理值得持续关注。
5. 物联网:物联网设备参与 DDoS 攻击的情况值得持续关注,参与 DDoS 攻击的物联网设备逐年增加,DDoS 团伙中单一团伙最高物联网设备占比达 31%。
6. 恶意家族:IoT 平台家族攻击占比进一步扩大,Gafgyt 和 Mirai 贡献了大部分攻击行为,但整体上,在 DDoS 特征、攻击目标和 C&C 分布等方面没有明显变化。
7. 地域:国内,香港取代浙江成为受 DDoS 攻击最多的省份,其它依次是浙江、广东、北京、江苏。
2019 年,DDoS 这种古老的攻击方式依然焕发着强大的生命力。简单、直接和有效是它攻击特性最好的注解。DDoS 防护不再依赖设备和检测算法的堆积,更需要安全生态合作和防护协同。一个更好的 DDoS 防护业态需要依赖众多环节,包括漏洞挖掘与披露,网络测量与感知,威胁狩猎与情报共享,防护资源调度和应急响应。
从本报告也能看出,黑灰产的 DDoS 攻击能力在逐年加强,大规模攻击的组织能力也在不断提升,安全厂商和运营商需要更好地协同,完善“盾”的能力,同时也要加强“看见” 的能力,对漏洞的威胁面要有更好地预判,对攻击团伙的监控要有更深入而持续的跟踪。DDoS 攻击的演进是全球网络安全态势的缩影,黑灰产的趋利性是其不变的行为内核,在做好技战术层面上的防护和跟踪之外,更要做好获利渠道和攻击动机的监控。
知己知彼,方能百战不殆。