2019第三季度DDoS报告

上个季度发现攻击者利用Memcached协议进行攻击，正如推测的那样，攻击者试图使用相当奇特的协议来放大DDoS攻击。例如，通过WS-Discovery多播协议。据研究人员称，网络罪犯最近才开始使用这种方法，但已经达到了350 Gbps的攻击能力。

概述

Trend Micro的研究人员发现了DDoS另一个新工具，是通过数据搜索和分析工具Elasticsearch的后门分发的新负载。该恶意软件之所以危险，是因为它采用了多阶段的感染方法，并成功地逃过了检测，可以用来创建僵尸网络发动大规模的DDoS攻击。

如今网络犯罪者更倾向于使用成熟的技术，而不是尝试新的技术。例如，当去年联邦调查局（FBI）取缔了一些廉价的DDoS出租网站时，新的DDoS立即取代了他们的位置，据报道，本季度的袭击比上一季度增加了400%。九月初，针对魔兽世界的几波攻击很可能就是通过这样的服务发起的。但如果是这样，攻击者并不是一个黑客组织的成员，而是一个DDoS出租服务的客户。

另一种攻击方法（类似于Mirai的僵尸网络），7月份针对流媒体服务发起了为期13天的应用级攻击，每秒高达292000个请求。这次攻击涉及大约40万台设备，主要是家庭路由器。

今年夏天和秋天发生的另外两起袭击是出于政治原因。8月31日，LIKG论坛是香港使用的主要网站之一，用来协调他们的行动。据网站所有者称，该网站在16小时内收到15亿个请求，导致其暂时离线，移动应用出现故障。不久之后，WIKI遭到了攻击。它从9月6日晚开始无法供欧洲、非洲和中东各国的用户使用。WIKI经常受到攻击，但这次攻击在容量和持续时间（三天）是异乎寻常的。

季度趋势

第三季度通常会看到DDoS活动在夏季的几个月内较为活跃，然后在九月份出现高峰。今年也不例外。

根据卡巴斯基DDoS防护的数据，第三季度智能攻击（即技术更先进、更巧妙的攻击）数量较上一季度大幅下降，这一指标与去年同期相比，足足有两倍多的增长。

从全年的增长情况来看，智能攻击的平均持续时间自第二季度以来几乎没有变化，但与2018年第三季度相比几乎翻了一番。同时，所有攻击的平均持续时间略有下降。

智能DDoS攻击在一般网络攻击流中所占份额的变化如下：

智能攻击占攻击总数的比例与上季度相比几乎减半，但与2018年第三季度相比上升了7个百分点。

与去年一样，9月的时间点与DDoS攻击数量的大幅上升密不可分。今年初秋，60%的DDoS活动都是针对教育相关资源：电子书籍、大学网站等。去年也观察到类似的情况，主要原因是学生们返回学校。这些攻击大多是业余人士进行的，没有经济收益。

与2018年9月相比，2019年9月的攻击总数增加了35次，2019年第3季度的攻击总数与2018年第3季度相比上升了32次，虽然这些数字大致相同，但智能攻击数量指标的差异要大得多：智能攻击总数增长了58个百分点，但9月份的智能攻击数量仅增长了27个百分点，平均时长甚至下降了三个百分点。

因此，在2019年第三季度，第一次观察到智能攻击的数量总数下降。很有可能DDoS市将趋于饱和并停止增长。

然而，根据过去几年的经验，在第四季度，预计所有关键指标（攻击总数和智能攻击；攻击持续时间）都会增长，因为年底是假日较多，有更多的商业活动，从而导致犯罪活动。

季度总结

1、中国仍然是攻击次数最多的国家，与第二季度（62.97%对63.80%）相比，所占份额几乎没有变化。
2、在攻击地域分布排名的前十名中，南非此前从未出现在我们的排行榜上，此次它排在第四位（2.40%），。
3、从目标数量上看：前3名分别是中国（57.20%）、美国（22.16%）和香港（4.29%）。
4、在过去的一个季度中，7月份为DDOS僵尸网络活动高峰；最高的一天是星期一（17.53%的攻击），最低的是星期天（10.69%）。
5、最长的攻击持续了超过11天（279小时），几乎是第二季度的一半。
6、最常见的攻击类型仍然是SYN泛洪（79.7%），其次是UDP泛洪（9.4%）。
7、与第二季度相比，Windows和Linux僵尸网络的份额几乎没有变化；Linux僵尸网络仍然占绝大多数（97.75%）。
8、僵尸网络C&C服务器数量排名为美国（47.55%）、荷兰（22.06%）、中国（6.37%）。

地理分布

与前几个季度一样，攻击次数最多的地区仍是中国，其所占比例下降了0.83个百分点，至62.97%，美国仍然排在第二位：其份额略减至17.37%（上季度为17.57%），香港第三。

南非上升到前10名，占2.4%，上季度排名第19位。荷兰（0.69%）下降到第九名。韩国回归，但是并没有进入前3名，以0.71%排在第8位。

本季度目标的地理分布与攻击次数的分布有很多共同点，前3名为中国（57.20%）、美国（22.16%）和香港（4.29%）。

DDoS动态变化

第三季度相对平静，仅在7月份出现了明显的波峰和波谷。攻击最多的一天为22日，共发生457起袭击事件，其次7月8日369起。最平静的一天是8月11日，65次袭击。

第三季度按天计算攻击次数分布与第二季度相似。最安全的一天是周日（10.69%的攻击）。DDoS攻击大部分发生在周一（17.53%）。

DDoS攻击的持续时间和类型

上个季度最长的攻击持续了11.6天（279小时），是第二季度（509小时）的1.8倍。

持续140多小时的攻击比例下降了0.01%至0.12%，20-139小时攻击的比例略有上升，5-9小时攻击的比例下降了1.5%，短攻击（持续时间不超过4小时）的总比例上升到84.42%。

主要攻击类型仍然是SYN泛洪，从84%降至79.7%。排名第二的是UDP攻击（9.4%）。

Linux僵尸网络的份额继续增长：第三季度的为97.75%，Windows僵尸网络下降了1.75个百分点，至2.25%。

僵尸网络分布

美国的C&C服务器数量位居榜首，其份额从44.14%增至47.55%，第二位的是荷兰，俄罗斯以3.92%升至第五位。

总结

从统计数据来看，2019年第三季度与第二季度差别不大。从攻击和目标的地理分布来看，大多也与前一季度相同。

攻击的时间分布，第3季度与第2季度相似。按天计算的攻击的特征分布也几乎没有变化。与前一季度相比，最长攻击持续时间有所下降，但长攻击和短攻击所占比例的差异几乎不明显。

所有这些表明，DDOS攻击市场已经暂时稳定下来。

*参考来源： securelist ，由Kriston编译，转载请注明来自FreeBuf.COM