压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2018年，阿里云安全團(tuán)隊(duì)監(jiān)測(cè)到云上DDoS攻擊發(fā)生近百萬(wàn)次，日均攻擊2000余次。目前阿里云承載著中國(guó)40%網(wǎng)站，為全球上百萬(wàn)客戶提供基礎(chǔ)安全防御?？梢哉f(shuō)，阿里云上的攻防態(tài)勢(shì)是整個(gè)中國(guó)攻防態(tài)勢(shì)的縮影。阿里云安全團(tuán)隊(duì)基于2018.1.1-12.31阿里云上的DDoS攻擊數(shù)據(jù)，從DDoS攻擊事件、僵尸網(wǎng)絡(luò)中控、DDoS肉雞等多個(gè)維度做了統(tǒng)計(jì)分析，希望為政府和企業(yè)客戶提供參考價(jià)值。

概述

經(jīng)過(guò)有關(guān)部門以及企業(yè)的聯(lián)合整治，相比2017年DDoS攻擊次數(shù)降低了約22%。雖然DDoS攻擊在數(shù)量上有減緩的態(tài)勢(shì)，但經(jīng)過(guò)數(shù)據(jù)分析發(fā)現(xiàn)，DDoS的攻擊手法更加多樣，針對(duì)同一用戶DDoS攻擊的平均次數(shù)有所增加。

2018年針對(duì)企業(yè)用戶的DDoS攻擊中，單一攻擊流量的DDoS攻擊比例減少10%，應(yīng)用層的攻擊比例增加了30%。更多的DDoS攻擊使用混合流量，表明攻擊者企圖通過(guò)組合攻擊的方式找到防護(hù)方的弱點(diǎn)，任意一種流量的漏過(guò)都可能導(dǎo)致防護(hù)層后面的服務(wù)癱瘓。同時(shí)，攻擊者增加應(yīng)用層的攻擊流量，這要求應(yīng)用層流量分析必須準(zhǔn)確且自動(dòng)化的產(chǎn)出清洗策略，這給流量清洗服務(wù)帶來(lái)更大的挑戰(zhàn)。DDoS攻擊手法的變化，對(duì)流量清洗服務(wù)的準(zhǔn)確性和自動(dòng)化能力提出更高的要求，是企業(yè)和DDoS防護(hù)廠商需要提高注意的地方。

另外，2018年針對(duì)同一用戶的DDoS攻擊次數(shù)增加了21%，表明攻擊者更有恒心達(dá)到其訴求，所以在遭到DDoS攻擊時(shí)需要及時(shí)識(shí)別到風(fēng)險(xiǎn)并做好風(fēng)險(xiǎn)管理預(yù)案。抱有僥幸心理接受風(fēng)險(xiǎn)的做法可能意味著承受比以前更大的損失。

1. 攻擊態(tài)勢(shì)

1.1 攻擊趨勢(shì)

阿里云安全團(tuán)隊(duì)統(tǒng)計(jì)了2018年峰值流量超過(guò)50Gbps以上的DDoS事件分布，如圖2-1所示；同時(shí)統(tǒng)計(jì)了2018年DDoS攻擊月度峰值流量趨勢(shì)，如圖2-2所示。從圖中可以看出，2018年DDoS峰值流量大于50Gbps事件有1.6萬(wàn)次，與2017年相比有大幅度降低。2018年，阿里云安全團(tuán)隊(duì)為某游戲客戶成功抵抗了峰值流量超過(guò)1Tbps的DDoS攻擊，DDoS攻擊進(jìn)入Tbps 時(shí)代。

由此不難看出，雖然DDoS大流量攻擊數(shù)量有所下降，但攻擊強(qiáng)度和目的性有所增強(qiáng)。

圖1-1 2018年峰值流量大于50Gbps事件分布

圖1-2 2018年DDoS攻擊峰值流量趨勢(shì)

1.2 攻擊行業(yè)分布

網(wǎng)站和游戲行業(yè)是主要的DDoS攻擊目標(biāo)，兩者共占據(jù)DDoS攻擊目標(biāo)的46.85%。網(wǎng)站因?yàn)榛鶖?shù)大占比最高，游戲由于對(duì)網(wǎng)絡(luò)質(zhì)量要求高,也容易成為被攻擊的目標(biāo)。另外統(tǒng)計(jì)還發(fā)現(xiàn)DDoS攻擊更容易發(fā)生在16:00-20:00的時(shí)間段，游戲行業(yè)更容易在周一遭到攻擊。

圖1-3 DDoS事件行業(yè)分布

1.3 攻擊種類分布

當(dāng)前存量反射源最多的攻擊類型分別是SSDP、DNS、CLDAP、Memcached。UDP Flood仍然是最常見的攻擊類型，但是由于UDP Flood 易清洗已經(jīng)有下降的趨勢(shì)。Memcached反射攻擊因?yàn)榉糯蟊稊?shù)大，存量反射源多已經(jīng)成常見的攻擊手法。

圖1-4 2018 DDoS攻擊種類分布

1.4 攻擊目的端口分布

Web服務(wù)和游戲端口的DDoS攻擊仍是主要的攻擊目標(biāo)，分別占比23%和13%，分布情況整體與行業(yè)DDoS攻擊事件相符合。

圖1-5 DDoS攻擊目的端口分布

1.5 核心觀點(diǎn)

相比去年，2018年DDoS攻擊的事件數(shù)趨于緩和，但DDoS攻擊帶來(lái)的挑戰(zhàn)卻越來(lái)越大。主要表現(xiàn)在以下幾個(gè)方面：

1). TCP類型的攻擊在DDoS攻擊威脅中占據(jù)著更重要的比重。得益于運(yùn)營(yíng)商、云廠商、IDC等各方對(duì)于DDoS反射源的治理加強(qiáng)，UDP反射類型攻擊在整個(gè)DDoS攻擊中的占比有下降的趨勢(shì)，而基于肉雞的TCP類型的攻擊方式則得到了加強(qiáng)。這種變化將使得攻防雙方的對(duì)抗變得更為激烈。

2). 應(yīng)用層攻擊對(duì)抗越來(lái)越激烈。應(yīng)用層攻擊變化越來(lái)越多，攻擊者也通過(guò)變化攻擊特征和手法，來(lái)繞過(guò)傳統(tǒng)DDoS防御規(guī)則，因此若完全依靠于DDoS防御專家手工分析攻擊報(bào)文來(lái)調(diào)整防御策略，那專家疲于救火，根本無(wú)法滿足響應(yīng)時(shí)間要求，導(dǎo)致用戶業(yè)務(wù)恢復(fù)時(shí)間長(zhǎng)。此時(shí)，智能防護(hù)能力顯得愈發(fā)重要，能夠基于用戶業(yè)務(wù)歷史情況產(chǎn)生符合用戶業(yè)務(wù)的基線，同時(shí)智能判斷攻擊情況，根據(jù)攻擊特征自動(dòng)調(diào)整策略，確保快速防護(hù)，使用戶業(yè)務(wù)得到秒級(jí)恢復(fù)，并確保不影響用戶業(yè)務(wù)連續(xù)性。

3). 游戲等行業(yè)依然是攻擊發(fā)生最頻繁的區(qū)域。利潤(rùn)豐厚、對(duì)網(wǎng)絡(luò)質(zhì)量要求高、同質(zhì)競(jìng)爭(zhēng)激烈是這些行業(yè)的特點(diǎn)。為了贏得更多的用戶，賺取更多的利潤(rùn)，行業(yè)內(nèi)部激烈的惡意競(jìng)爭(zhēng)使得DDoS攻擊長(zhǎng)盛不衰。

4). 攻擊峰值已經(jīng)以T為單位。隨著新的DDoS攻擊方式涌現(xiàn)，DDoS已經(jīng)進(jìn)入了T級(jí)峰值時(shí)代，并且在不斷刷新記錄。

5).DDoS攻擊中，IoT設(shè)備的數(shù)量明顯提升。隨著物聯(lián)網(wǎng)的普及，越來(lái)越多的智能硬件走進(jìn)千家萬(wàn)戶。但是不管是生產(chǎn)廠家，還是普通民眾，信息安全意識(shí)都還相對(duì)薄弱。智能硬件的聯(lián)網(wǎng)為黑客發(fā)起更大規(guī)模的攻擊創(chuàng)造了絕佳機(jī)會(huì)。我們相信在未來(lái)比較長(zhǎng)的一段時(shí)間內(nèi)，這一趨勢(shì)不會(huì)有明顯的改變。

2. DDoS僵尸網(wǎng)絡(luò)分析

2.1 木馬家族分布

隨著移動(dòng)互聯(lián)網(wǎng)的普及，在TOP10的木馬家族中，Mirai、Dofloo和Gafgyt是針對(duì)IoT的木馬病毒，已經(jīng)占據(jù)DDoS木馬的的44%。

圖2-1 DDoS木馬家族分布

2.2 CnC地區(qū)分布

針對(duì)國(guó)內(nèi)進(jìn)行DDoS攻擊的僵尸網(wǎng)絡(luò)中，71%來(lái)自中國(guó)大陸，來(lái)自美國(guó)和香港地區(qū)的分別占13%和6%。

圖2-2 CnC國(guó)家和地區(qū)分析

2.3 CnC存活時(shí)間分布

通過(guò)對(duì)CnC的存活時(shí)間進(jìn)行分析發(fā)現(xiàn)，CnC的更新很頻繁。63%的CnC存活時(shí)間不超過(guò)1周。

圖2-3 CnC存活時(shí)長(zhǎng)分布

3. DDoS肉雞分析

3.1 UDP反射源國(guó)家分布

當(dāng)前針對(duì)中國(guó)進(jìn)行攻擊的UDP反射源有50%來(lái)自中國(guó)大陸，俄羅斯和美國(guó)分別占15%和9%。主要因?yàn)檫@三個(gè)國(guó)家的互聯(lián)網(wǎng)行業(yè)相對(duì)發(fā)達(dá)，能做UDP反射攻擊的資源更多。

圖3-1 UDP反射源國(guó)家及地區(qū)分布

3.2 肉雞國(guó)家分布

在2018年對(duì)國(guó)內(nèi)發(fā)起DDoS攻擊的肉雞IP中，62%來(lái)自中國(guó)大陸。2018年12月300G以上攻擊事件中，43%都有一定比例海外攻擊流量。阿里云安全團(tuán)隊(duì)建議當(dāng)遭到大流量DDoS攻擊時(shí)，可以結(jié)合攻擊流量的運(yùn)營(yíng)商來(lái)源進(jìn)行海外流量的封堵，以緩解大流量攻擊。

圖3-2 肉雞國(guó)家分布

3.3 肉雞省份分布

2018年共發(fā)現(xiàn)國(guó)內(nèi)肉雞IP 100萬(wàn)以上。由于互聯(lián)網(wǎng)行業(yè)比較發(fā)達(dá)，上海和杭州占據(jù)國(guó)內(nèi)肉雞總量的41%。

圖3-3 肉雞省份分布

3.4 DDoS攻擊運(yùn)營(yíng)商流量分布

2018年發(fā)生的DDoS攻擊中有29%的流量來(lái)自海外，其中19%的攻擊流量來(lái)源是美國(guó)。在國(guó)內(nèi)的DDoS攻擊流量中，中國(guó)電信是主要的DDoS攻擊流量來(lái)源。

圖3-4 DDoS 流量運(yùn)營(yíng)商分布

4. 典型案例

4.1 DDoS事件匯總

DDoS主要是針對(duì)互聯(lián)網(wǎng)服務(wù)可用性的攻擊，由于越來(lái)越多的企業(yè)開始基于互聯(lián)網(wǎng)提供服務(wù)，因此DDoS攻擊帶來(lái)的影響也越來(lái)越大。2018年幾乎每個(gè)月都有影響巨大的DDoS攻擊事件發(fā)生。表4-1匯總了2018年影響較大的DDoS攻防事件：

表4-1 2018 DDoS大事件匯總

4.2 流量最大案例

2018年9月，阿里云云盾高防產(chǎn)品接入了一個(gè)游戲客戶。業(yè)務(wù)上線后不久，該客戶就頻繁遭到DDoS攻擊，平均每天要遭受兩次10G左右的DDoS攻擊，在阿里云DDoS高防的防護(hù)下，對(duì)業(yè)務(wù)并未產(chǎn)生影響。

10月13日，阿里云監(jiān)測(cè)到該客戶遭受的攻擊峰值流量達(dá)到了430Gbps；3天后，攻擊者調(diào)動(dòng)了更多資源，希望一次性將業(yè)務(wù)置于死地；10月16日凌晨，該客戶再次遭受DDoS攻擊，流量峰值達(dá)到1.022Tbps，pps峰值則達(dá)到了6.9億。收到攻擊告警之后，阿里云安全團(tuán)隊(duì)檢查攻擊情況及客戶業(yè)務(wù)狀況，云盾高防運(yùn)行平穩(wěn)，攻擊流量在可控范圍內(nèi)，攻擊手法為大流量SYN_flood攻擊，含SYN畸形包、SYN小包等，與此同時(shí)，大流量攻擊還未停止。后續(xù)3天，又發(fā)生了幾次600G左右攻擊，均未對(duì)業(yè)務(wù)造成威脅。

圖4-2 2018年阿里云遭受的最大攻擊峰值

圖4-3 2018年阿里云遭受的最高包速率峰值

4.3 連接最大案例

游戲行業(yè)一直是DDoS攻擊的重災(zāi)區(qū)，阿里云上的游戲客戶同樣面臨著大流量攻擊和連接耗盡型攻擊的威脅。2018年7月14日11:47，某游戲客戶遭受到大規(guī)模的四層連接耗盡型攻擊，云盾高防通過(guò)智能防護(hù)模塊檢測(cè)到四層業(yè)務(wù)攻擊并啟動(dòng)自動(dòng)防護(hù)功能，通過(guò)高頻次肉雞處置模塊和惡意內(nèi)容檢測(cè)模塊下發(fā)處置，CC攻擊流量被完全壓制，客戶業(yè)務(wù)恢復(fù)正常。收到攻擊告警之后，從攻擊數(shù)據(jù)看，黑客動(dòng)用了20萬(wàn)+的肉雞資源，攻擊手法為建連之后向服務(wù)器發(fā)起高頻率的惡意請(qǐng)求，并帶有隨機(jī)Payload，攻擊新建峰值超過(guò)了170Wcps。

圖4-4 2018年阿里云遭受攻擊的最高包速率峰值

圖4-5 CC攻擊Payload

圖4-6 CC攻擊Payload

4.4 專家觀點(diǎn)

DDoS攻擊防護(hù)的形勢(shì)在發(fā)生著變化。一方面是反射源的治理，防護(hù)手段的演進(jìn)；另一方面物聯(lián)網(wǎng)大軍正逐漸加入到DDoS的這個(gè)戰(zhàn)場(chǎng)，攻擊手法也日趨復(fù)雜化，攻守雙方的勢(shì)力一直保持著動(dòng)態(tài)平衡。如何打破這種平衡，贏取這場(chǎng)戰(zhàn)爭(zhēng)的勝利，阿里云安全專家給出的建議如下：

1). 抵抗住第一波攻擊，這很重要。從攻防對(duì)抗的經(jīng)驗(yàn)來(lái)看，抵抗住黑客的第一波攻擊至關(guān)重要。如果第一次攻擊得手能夠給攻擊方帶來(lái)更多信心，反之多次攻占不下，則會(huì)使攻擊方信心逐漸喪失。通過(guò)尋求專業(yè)的DDoS防御團(tuán)隊(duì)，永遠(yuǎn)是被攻擊者成本最低、最有效的選擇。

2). 防守方需要有更成熟的流量調(diào)度機(jī)制和應(yīng)對(duì)方案。DDoS攻擊峰值越來(lái)越大，不斷地刷新記錄，這對(duì)于防護(hù)方是一個(gè)嚴(yán)峻的考驗(yàn)。僅僅依靠單個(gè)節(jié)點(diǎn)來(lái)化解動(dòng)則上T的攻擊已經(jīng)變得越來(lái)越不現(xiàn)實(shí)。這時(shí)就需要新的應(yīng)對(duì)方案和更成熟的流量調(diào)度機(jī)制，通過(guò)近源清洗、流量壓制等技術(shù)手段，降低威脅，來(lái)力保城門不失。

3). 防守方需要思考如何更快速地恢復(fù)業(yè)務(wù)。防守方是被動(dòng)的，因?yàn)楣粽哂肋h(yuǎn)在暗處。也許通過(guò)事后溯源追查能夠找到幕后真兇，但是在攻防對(duì)抗過(guò)程中，我們不清楚攻擊者會(huì)通過(guò)何種方式利用服務(wù)的何種弱點(diǎn)發(fā)起攻擊。這時(shí)防守方就需要考慮如何扭轉(zhuǎn)這種被動(dòng)局面。隨著大數(shù)據(jù)技術(shù)的發(fā)展，機(jī)器學(xué)習(xí)的引入，也許能夠給我們帶來(lái)一些機(jī)會(huì)。通過(guò)對(duì)正常業(yè)務(wù)進(jìn)行建模，來(lái)快速檢測(cè)異常，以及采用智能化的技術(shù)手段，快速識(shí)別惡意行為并進(jìn)行處置。通過(guò)一系列自動(dòng)化、智能化的手段，快速恢復(fù)業(yè)務(wù)，也是防護(hù)方努力的方向。

黑客發(fā)起DDoS攻擊，往往是通過(guò)侵害別人的正當(dāng)利益，來(lái)使得自己獲益。阿里云DDoS團(tuán)隊(duì)誕生之初就致力于消滅互聯(lián)網(wǎng)上的DDoS攻擊，只有真正的防御住DDoS攻擊，才能消滅互聯(lián)網(wǎng)的DDoS，這也是我們一直努力追求的目標(biāo)。

作者：阿里云安全實(shí)驗(yàn)室