威脅報告|Nexusguard發布2017年Q1DDoS威脅報告

Nexusguard本次的調查數據源自于對全球企業及服務提供商面臨的實時威脅的觀測和整合,數據是通過僵尸網絡掃描、蜜罐、ISP和攻擊者和目標之間的流量移動來收集的,由Nexusguard和attackscape.com合作完成。

攻擊和黑客活動對網絡安全產生了相當大的影響。 Nexusguard全面、全球性的數據集和觀察使得其評估DDoS事件不受任何單一客戶或行業的偏見影響,許多零日威脅都是首次在其全球研究網絡中發現的,并發布在其季度報告中。

https://news.nexusguard.com/threat-advisories/q1-2017-ddos-threat-report


2017Q1要點總結

l 2017年第一季度,Nexusguard觀察到的DDoS攻擊數量同比增長了380%,表明DDoS攻擊比一年前發生的頻率更高。 可以得出結論,季節因素對攻擊頻率的影響已經不太明顯。

l 在2017年第一季度觀察到了非常激烈的攻擊,遠遠高于前幾個季度。 情人節發生了巨大的275Gbps攻擊,農歷新年發生了4060分鐘的長時間攻擊。

l 大規模攻擊(大于10Gbps)的天數大幅增長,1月份的48.39%漲到3月份的64.29%。

l HTTP攻擊次數和總攻擊次數分別比2016年第四季度上升了147.13%和37.59%。

季節特征:攻擊者無休假

正如我們在2016年第四季度的報告中指出的那樣,200 + Gbps的攻擊已經變得司空見慣了。這種大規模的攻擊在本季度持續,特別是隨著針對應用層的HTTP GET / POST flood攻擊的增加,攻擊頻率更高、持續時間更長、復雜度更高。高級持續威脅(APT)形式的多向量攻擊也變得越來越普遍。 第一季度,攻擊者連任何假期的都不放過。

l 假期不再和平

2017年之前,第一季度的攻擊并不常見,然而今年一季度攻擊的數量和頻率達到前所未有的水平,亞太地區和西方的假期內都發生了最大規模和持續時間的兩次攻擊。

l 新年噩夢

在亞太地區農歷新年1月28日至31日發生了一起漫長的攻擊,持續2天19小時40分鐘。它是一個普遍的、破壞性的事件,讓工作人員不得不厭倦而疲憊不堪的加班。

l 浪漫之日的重擊

在西方情人節(2月14日至15日),高達275.77Gbps的攻擊持續了21小時31分鐘。這是一個不尋常的事件,情人節以前沒有發生過攻擊。

l 攻擊頻率變化

與2015年和2016年的相應季度相比,2017年第一季度DDoS攻擊頻率增加,攻擊數量比2015年第一季度增長了231.12%,同比2016第一季度增長了379.84%。轉折點似乎是2016年第四季度,大規模連續攻擊開始肆虐,反映出今年第四季度發生的僵尸網絡活動增加的波動效應。




DDoS活動

l 向量類型

在2017年第一季度,共發現了16641起攻擊事件,含有21種攻擊向量。HTTP Flood是主要類型,占24.36%。TCP Flag無效攻擊排第二占20.28%。TCP SYN攻擊和UDP攻擊分別是第三和第四占17.17%和13.85%。

DDoS攻擊載體的分布

2017年第一季度的總攻擊數量比2016年第四季度增長了37.59%。HTTP攻擊激增,本季度增長了147.13%。 包括HTTP Flood(86.77%)和HTTPS Flood(13.23%)的應用層攻擊如2016年第四季度的威脅報告所料飆升。93.75%的攻擊混合了容量和應用兩方面,只有6.25%是純應用攻擊。這些攻擊需要多層次的防御機制,花費較大,因此,目標企業需升級其DDoS攻擊防護解決方案以?;に塹腦諳咦試疵饈懿歡顯黽擁畝嘞蛄緿DoS攻擊的威脅。

比較攻擊-2016年第四季度和2017年第一季度

l 攻擊載體數量

多矢量攻擊在2017年第一季度發揮了主導作用。31.08%的攻擊是單向量,其余的是多向量攻擊。

2017年第一季度攻擊載體的分布

l 攻擊持續時間

超過48%的攻擊持續時間超過90分鐘:22.97%在91到240分鐘之間,而在241到420分鐘之間則為12.16%,4.05%的攻擊超過了1400分鐘。

攻擊持續時間的分布

l 攻擊尺寸分布

在本季錄得的襲擊中,超過22%的攻擊是大規模的(大于10Gbps),其中20%介于10Gps到200Gps之間,比200Gps大的占2.67%。

攻擊規模的分布

l 全球攻擊源分布

美國是主要的攻擊來源,占第一季度的23.75%,中日兩國隨后,分別為17.83%和15.35%,德法也位于前五名,分別為7.78%和6.69%。

全球攻擊源比例

l APAC攻擊源

在亞太地區,中國排名第一,占該地區襲擊源的44.84%,日本為38.61%,俄羅斯聯邦和越南分別貢獻了9.36%和1.62%。

亞太地區攻擊源比例

l 自治系統號碼(ASN)的反射式DDoS攻擊

AS-PNAPTOK以30.58%的占比位于所有網絡ASN中排名第一,第二和第三是PROXAD和CHINANET-BACKBONE,分別為11.96%和11.17%。

ASN排名與攻擊大小


趨勢

DDoS攻擊不再集中在可預測的時期,不管是不是假期或長周末——攻擊者全年無休。攻擊模式更不規則,技術更復雜,攻擊持續時間更長,傾向于針對多個向量。 2017年第一季度,像HTTP GET / POST Flood這樣的應用層攻擊為主要的手段,超過了大容量攻擊。

此外,在過去幾年中,物聯網(IoT)日益普及導致了大量的防護不全的設備,由此導致的漏洞推動了僵尸網絡的快速增長,從而給攻擊者提供了無數可劫持的IP地址,使他們能夠發起更持久復雜的攻擊。

雖然傳統的用戶側DDoS防護設備瓶頸在于各廠家的技術實力差異,本地化防護設備幫助客戶更能夠了解當前網絡的DDoS威脅狀況,并快速采取靈活可控的定制化防護策略。但用戶側硬件設備通用局限性在于用戶的鏈路帶寬,當攻擊流量超過用戶帶寬時,本地的單一硬件設備則幾乎無計可施。

各大運營商也在大力推廣自己的流量清洗服務,通過硬件設備堆砌,可以在主干網通過Flow等方式檢測攻擊實現大流量清洗。但為了保障可用性,策略多是采用粗顆粒,攻擊緩解的同時往往伴隨著業務流量的損耗,導致客戶無法完全依賴于運營商清洗。

近年來一些DDoS云清洗服務商勢頭正猛,依靠Cname引流等方式把攻擊流量引導云端,但云端實際清洗能力讓人堪憂;很多云清洗廠商的轉發技術依賴于代理服務器,導致游戲服務類客戶業務因為無法識別真實客戶端源IP,產生業務中斷的困擾;同時,單一的云清洗服務,并不能完全解決混合的DDoS攻擊,敲詐勒索事件(2017年6-7月份“無敵艦隊”)頻頻發生。


解決方案


中新金盾抗拒絕服務攻擊“云+端”立體防御平臺

中新網安具備十五年的DDoS攻擊防護經驗及技術積累,擁有覆蓋全國90%以上的IDC及互聯網客戶DDoS防護服務。為應對日益復雜的DDoS攻擊,尤其是同時通過多個向量的攻擊,提出了新型態的立體協同防護體系-新一代中新金盾抗拒絕服務攻擊“云+端”立體防御平臺-“安道者”。

中新金盾抗拒絕服務攻擊“云+端”立體防御平臺-“安道者”區別于傳統的云清洗服務產品,方案設計之初,中新網安就站在用戶和廠商的雙重視角,既深度了解IDC及互聯網企業客戶真實DDoS防護需求與實踐痛點,亦深知傳統DDoS設備廠商和云防護提供商在DDoS防護領域的瓶頸與不足,開拓創新。采用“云+端”的立體協同技術,安道者平臺初期具備2T的DDoS云清洗防護能力, 并且持續不斷的提升,采用分布式智能清洗技術,在不改變客戶端真實源IP情況下,滿足業務服務器數據交互需求同時提供不同業務所需的本地精細化策略部署。

安道者平臺核心競爭力:

l 以用戶的視角解決客戶的實際問題

根據中新金盾在大量用戶群體間調研結果顯示,并非所有用戶都愿意把自己的業務流量全天候的牽引到云端清洗。至少有65%的客戶,希望在遭受攻擊的時候,可自動的將流量牽引到云端,當攻擊結束時,業務流量可以繼續通過本地傳輸。而中新金盾安道者獨具的自動按需牽引模式,恰恰滿足了大部分用戶的核心訴求。

l 突破傳統廠商的方案局限性

根據中新金盾在業界各類抗D廠商間的調研結果顯示,目前沒有一家DDoS解決方案提供商可以完美解決DDoS攻擊防護需求:單一的本地硬件防護,受限于硬件功能深度及用戶側鏈路帶寬瓶頸;單一的運營商防護,受限于清洗策略的粗顆粒及業務流量損耗限制;單一的云清洗廠商,無法針對特定的客戶實現定制化靈活的應用層防護策略。中新金盾安道者,通過“云+端+應急響應中心”一體化的防護方案,創新性打破業界廠商抗DDoS局限性。

l 防護能力與防護深度業界第一

中新金盾安道者平臺,當前具備2T的防護能力,防護節點不斷擴充中,未來預期防護能力將突破5T,這是國內任何一家做DDoS清洗服務提供商所不具備的清洗防護能力。同時,安道者平臺的核心組件全部是由中新金盾自主知識產權的產品和技術實現。用戶側本地硬件防護設備,是中新金盾十五年的DDoS防護經驗在用戶實踐中不斷打磨的硬件防護產品,具備多項自主知識產權,在防護應用層各類DDoS攻擊具備深厚的技術積累。

l 應急響應專家團隊7*24h值守

中新網安在抗DDoS領域擁有15年技術積累及應急支撐響應經驗的專家團隊,為中新金盾安道者平臺提供7*24小時不間斷的專家團隊響應支持。當本地端設備監測到攻擊流量超過閾值以后,自動將流量牽引到云端;云端應急響應中心專家團隊實時監控攻擊態勢,為客戶提供專家級策略防護建議以及其他應急響應支持。