压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2015年3月1日至5月7日，Incapsula公司對(duì)1572個(gè)網(wǎng)絡(luò)層和2714個(gè)應(yīng)用層攻擊進(jìn)行了數(shù)據(jù)分析并總結(jié)出了這份報(bào)告。

DDoS攻擊的流量通常參差不齊，所以我們要研究DDoS攻擊案例，就要從單一攻擊的構(gòu)成開(kāi)始。該報(bào)告中的攻擊統(tǒng)一理解成是對(duì)同一目標(biāo)IP地址/域名發(fā)動(dòng)的持續(xù)性DDoS攻擊。

說(shuō)明

該報(bào)告從兩種不同的DDoS攻擊類(lèi)型進(jìn)行分析：網(wǎng)絡(luò)層攻擊和應(yīng)用層攻擊（參考OSI模型）

OSI是Open System Interconnection的縮寫(xiě)，意為開(kāi)放式系統(tǒng)互聯(lián)。國(guó)際標(biāo)準(zhǔn)化組織（ISO）制定了OSI模型。這個(gè)模型把網(wǎng)絡(luò)通信的工作分為7層，分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。

網(wǎng)絡(luò)層面的攻擊主要針對(duì)的是網(wǎng)絡(luò)層和傳輸層，即OSI模型的第三、第四層。像這種大流量的攻擊完全有能力利用現(xiàn)有的帶寬資源使目標(biāo)網(wǎng)站的網(wǎng)絡(luò)飽和。網(wǎng)絡(luò)層的攻擊是以Gbps計(jì)量的。

應(yīng)用層攻擊針對(duì)的是OSI模型的第七層——應(yīng)用層。和網(wǎng)絡(luò)層面不同的是，應(yīng)用層的攻擊可以通過(guò)發(fā)送大量的請(qǐng)求占用CPU資源。最終使服務(wù)器掛掉。應(yīng)用層攻擊是以RPS（每秒發(fā)送的請(qǐng)求數(shù)）計(jì)量的。通常所說(shuō)的僵尸網(wǎng)絡(luò)就屬于這一層攻擊，通過(guò)發(fā)送大量請(qǐng)求致使服務(wù)器掛掉。

網(wǎng)絡(luò)層攻擊

概述

在2015年第二季度中，DDoS攻擊還在持續(xù)增長(zhǎng)，流量峰值甚至超過(guò)253Gbps。從2014年到2015年第二季度的統(tǒng)計(jì)中，網(wǎng)絡(luò)層攻擊的最長(zhǎng)時(shí)間超過(guò)64天，并且有20.4%的攻擊時(shí)長(zhǎng)超過(guò)了5天。

從攻擊向量類(lèi)型來(lái)說(shuō)，危害程度最大的是SYN flood，其次是UDP flood。UDP flood比較常見(jiàn)，在對(duì)Incapsula網(wǎng)絡(luò)進(jìn)行檢測(cè)階段，有55%的攻擊類(lèi)型都是UDP flood，可能是由于SSDP攻擊數(shù)量上升的緣故吧。

攻擊持續(xù)時(shí)間

如下圖中顯示的那樣，在報(bào)告期間大部分的網(wǎng)絡(luò)層DDoS攻擊都有所緩和，比如攻擊時(shí)間變短等。有將近71%的DDoS攻擊時(shí)間在3小時(shí)以內(nèi)，20.4%的攻擊時(shí)間超過(guò)了5天。

在上面圖表中很難分析出平均的攻擊時(shí)間，然而卻能看出來(lái)2種常見(jiàn)的DDoS攻擊類(lèi)型：

1.短期單一向量攻擊：通常持續(xù)在30分鐘以內(nèi)，其目的可能是探測(cè)目標(biāo)的防御策略，或者是實(shí)施“打了就跑”的策略。這種類(lèi)型的攻擊只有沒(méi)有經(jīng)驗(yàn)的攻擊者或者DDoS租用服務(wù)平臺(tái)才會(huì)發(fā)動(dòng)。

2.長(zhǎng)期多向量攻擊：網(wǎng)絡(luò)犯罪者首先會(huì)在目標(biāo)防護(hù)措施上找到一個(gè)突破口，然后結(jié)合使用多種攻擊向量給予目標(biāo)重重的一擊。只有熟練的網(wǎng)絡(luò)黑客才會(huì)采用這種類(lèi)型。

攻擊向量

UDP flood和SYN flood是目前為止最常見(jiàn)的DDoS攻擊類(lèi)型，有超過(guò)56%的攻擊都屬于這兩種類(lèi)型，其中有8%的DDoS攻擊屬于SSDP類(lèi)型。

多向量攻擊

通常，我們一看到多向量攻擊就會(huì)自然的想到非常老練的攻擊者，似乎已經(jīng)默認(rèn)了多向量攻擊是老練攻擊者的標(biāo)志。然而比較有趣的是，在網(wǎng)絡(luò)層攻擊中只有56%的攻擊是屬于多向量攻擊。

從圖中可以看出，15年多向量攻擊數(shù)量有所下降，但是這種下降趨勢(shì)也暗示了僵尸網(wǎng)絡(luò)服務(wù)的上升。

租用僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)租賃服務(wù)給不懂技術(shù)的小白們提供一種發(fā)動(dòng)DDoS攻擊的可能性，只要你愿意支付服務(wù)費(fèi)，僵尸網(wǎng)絡(luò)租賃服務(wù)平臺(tái)就能幫你做到。

僵尸網(wǎng)絡(luò)租賃平臺(tái)還有一種訂閱服務(wù)，購(gòu)買(mǎi)者可以訂購(gòu)僵尸網(wǎng)絡(luò)的攻擊時(shí)限，比如每個(gè)月累計(jì)攻擊時(shí)間不超過(guò)60分鐘。這樣一來(lái)不懂DDoS的人也可以通過(guò)這種簡(jiǎn)單的方式發(fā)動(dòng)DDoS攻擊。通過(guò)統(tǒng)計(jì)僵尸網(wǎng)絡(luò)租用平臺(tái)上訂購(gòu)情況，發(fā)現(xiàn)1小時(shí)/月的平均價(jià)格是38美元，其中最低甚至只有19.99美元。

應(yīng)用層攻擊

概要

在2015年第二季度中，設(shè)備感染的主要惡意程序有：MrBlack、Nitol、PCRat、Cyclone，其中有15%的攻擊來(lái)自于中國(guó)。應(yīng)用層攻擊中，最大的請(qǐng)求量每秒高達(dá)179747次，最長(zhǎng)的攻擊時(shí)間段為8天，平均值為2天半。一旦某個(gè)網(wǎng)站被攻擊者盯上，那之后平均每隔10天就會(huì)被攻擊一次。

攻擊持續(xù)期間和頻率

大部分的應(yīng)用層攻擊（98%）的攻擊時(shí)間在24小時(shí)以內(nèi)，其中52%的攻擊時(shí)長(zhǎng)不超過(guò)1小時(shí)。

和網(wǎng)絡(luò)層攻擊不同的是，應(yīng)用層攻擊事件通常可以精確的針對(duì)某個(gè)目標(biāo)進(jìn)行攻擊。也就是說(shuō)可以同時(shí)對(duì)同一個(gè)目標(biāo)發(fā)動(dòng)大量的請(qǐng)求。

在這72天的數(shù)據(jù)搜集中，有將近50%的網(wǎng)站受到不止一次的應(yīng)用層攻擊，超過(guò)17%的網(wǎng)站受到5次以上的攻擊，10%的網(wǎng)站受到10次以上的攻擊。

僵尸網(wǎng)絡(luò)攻擊活動(dòng)及其地理位置

在網(wǎng)絡(luò)層攻擊中，IP地址欺騙是最常見(jiàn)的攻擊方式，它可以幫助網(wǎng)絡(luò)犯罪者們掩蓋真實(shí)的IP地址和地理位置。然而，應(yīng)用層攻擊并不會(huì)采用IP地址欺騙（需要完成一個(gè)完整的TCP三次握手）的手段，而是使用真實(shí)的IP地址。

對(duì)應(yīng)用層攻擊的源頭進(jìn)行追蹤發(fā)現(xiàn)，有將近15%的DDoS攻擊流量來(lái)源于中國(guó)，其次是越南、美國(guó)、巴西、泰國(guó)。而泰國(guó)還被認(rèn)為是MrBlack惡意程序家園，因?yàn)榇蟛糠指腥綧rBlack的路由器均位于泰國(guó)。

在下圖中還可以看出，MrBlack是DDoS攻擊中最常用的一種惡意程序，其次是Nitol、PCRat、Cyclone、DirtJumper。

然而MrBlack感染的設(shè)備數(shù)量卻非常的少，只有不到5%的IP地址被檢測(cè)感染了該種惡意程序。因?yàn)槠涓腥镜穆酚善鞅容^多，所以它能產(chǎn)生更高的攻擊量。

DDoS僵尸網(wǎng)絡(luò)的攻擊能力和“身份”

在互聯(lián)網(wǎng)安全中，DDoS僵尸進(jìn)化史已成為了一個(gè)非常熱門(mén)的話題，也標(biāo)志著是僵尸網(wǎng)絡(luò)持有者（網(wǎng)絡(luò)犯罪者）與安全廠商之間的一種激烈競(jìng)爭(zhēng)。在2015年第二季度的數(shù)據(jù)統(tǒng)計(jì)中，發(fā)現(xiàn)本季度的原始僵尸網(wǎng)絡(luò)數(shù)量和上一季度的數(shù)量基本相同。

對(duì)HTTP頭部的分析發(fā)現(xiàn)，本季度的DDoS類(lèi)型和上一季度相比有著很大的變化，而且現(xiàn)在的僵尸網(wǎng)絡(luò)在逐漸的放棄使用搜索引擎載體。2014年的攻擊流量中，有高達(dá)57.7%的流量來(lái)自于“百度、谷歌”，而2015年卻只有0.91%。

這一轉(zhuǎn)變可能是廣泛采用了基于IP的緩解技術(shù)的結(jié)果。還有一個(gè)比較有趣的轉(zhuǎn)變是，在統(tǒng)計(jì)的數(shù)據(jù)中只有43%的攻擊采用了排名前10的用戶代理，也從側(cè)面說(shuō)明了DDoS僵尸網(wǎng)絡(luò)的用戶代理也越來(lái)越多樣化。上一季度中有90%的攻擊用了排名前10的用戶代理。

結(jié)論

DDoS僵尸網(wǎng)絡(luò)租用服務(wù)給小白們提供了一種發(fā)動(dòng)攻擊的可能性，從而也導(dǎo)致了大量短時(shí)間攻擊的出現(xiàn)——發(fā)動(dòng)一次DDoS攻擊可能只需38美元，而給企業(yè)帶來(lái)的損失巨大，每小時(shí)企業(yè)損失甚至可達(dá)40000美元。當(dāng)然金錢(qián)的損失還不是最嚴(yán)重的，最嚴(yán)重的是企業(yè)服務(wù)受到影響、失去顧客的信任等。