46

DDoS攻击惯犯图鉴

 6 years ago
source link: https://www.leiphone.com/news/201902/hb5GYofwhE9v3kUj.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

人们对于一般黑客的刻板印象是:单打独斗,神出鬼没。 事实上,还有一群黑客团伙作战。

僵尸网络近年来已经成为企业的大敌,雷锋网 (公众号:雷锋网) 宅客频道从绿盟科技发布的《 IP团伙行为分析报告》中发现,有这样一群僵尸机“捆绑销售”,常年坚持多渠道僵尸网络活动和 DDoS 攻击,“不抛弃”“不放弃”。

这群团伙中的“C位成员”(仅占攻击者中 2%)以一己之力发起了 20%的攻击,“核心成员”(仅占攻击者中的20%)发起了 80%的攻击,而且全员酷爱反射攻击,特别是大流量攻击。

安全研究者将 这样的团体称为“IP团伙”(IP Chain-Gang)。雷锋网了解到,每个 IP 团伙由某个或者一组黑客控制者,因此同一个团伙在不同的攻击中必然会表现出相似的行为。

绿盟科技根据近两年所搜集的 DDoS 攻击数据、多个 IP 团伙并研究了他们的团伙行为,推出了《IP团伙行为分析》,希望通过研究团伙的历史行为建立团伙档案,以便更准确地描述其背后一个或多个攻击控制者的行动方式,同时更有效地防御这些团伙未来可能发起的攻击,防患于未然。

攻击者

IP团队规模:千人团体占主导

下图展示了 IP 团伙规模的分布情况。大多数团伙成员不到1000人,但也有一个团伙的成员高达26000多人。

图1 IP团伙规模

UZrmamV.png!web

20/80法则,到哪里都适用

下图展示了各团伙发起的 DDoS 攻击事件的数量,按事件次数统计。毫不意外,大约 20%的团伙发起了 80%的攻击。

图2 攻击总次数(按各团伙攻击统计)

BnMnmmF.png!web

攻击事件次数

团伙最长总攻击时长超过 13“年”

下图展示了同一团伙所有成员的总累计攻击时长的分布情况。有些团伙的总攻击时长高达 5000 多天( >13“年”),但多数团伙不到 1000 天。

图3 团伙总攻击时长

eYvYBbB.png!web

更少的团员、更多攻击次数、更大攻击流量

人们一般觉得较大的团伙会发动较多攻击时间,且产生的攻击总流量也较大,但事实并非如此。

如下图所示,与更大规模的 IP 团伙相比,拥有较少成员的团伙可能会发动更多攻击并发出更多攻击流量。这说明,特定团伙中的攻击者可能拥有更多渠道可以利用。

下图展示了按总流量排名的前 10 个团伙,攻击总流量以不同大小的橙色气泡表示。

图4 团伙规模、攻击次数及攻击总流量对比

qE3a2uf.png!web

如上图所示,发动攻击次数最多(> 50K)的团伙仅拥有 274 名成员,超过了所有其他团伙,而最大的气泡(即攻击总流量最大)对应的团伙攻击次数竟然较少(<10K)。

攻击类型

NTP反射攻击由于出色的放大性能,在大流量攻击中最常使用。SYN Flood攻击方法较为简单,使用较为广泛。这两种攻击再加上UDP Flood和SSDP反射攻击构成了最主要的攻击类型。

图5 攻击类型与攻击总流量

yaAniuU.png!web

在混合攻击中,UDP flood是常用的一种攻击方式。下图展示了某一团伙采用的攻击方法,该团伙大多仅采用一种攻击方法(92.8%),在混合攻击中,75%的采取了两种攻击方法,4%的采取了四种方法。

图6混合攻击中各种攻击方法的组合(某一攻击团伙)

2Uvqqmb.png!web

图7 混合攻击中各种攻击方法的组合(某一攻击团伙)

r2MzQnA.png!web

反射攻击,特别是大流量攻击,是各团伙最青睐的攻击方法。从触发较大流量的能力来看,NTP反射攻击是一种更为强大的DDoS攻击。从攻击事件数量角度看,DNS反射攻击占比较大,占全部反射型攻击的57%。

图8 反射攻击流量与次数(某一攻击团伙)

ZjyaMbY.png!web

流量峰值:IP 团伙攻击的最大“潜力”

流量峰值的整体分布

根据统计大多数IP团伙的流量峰值都超过了2 Tbps,流量峰值(Tbps)是衡量某一团伙的攻击能力和恶意程度的关键参数,反映了攻击团伙对目标的最大攻击能力。

图9 IP团伙的流量峰值分布(按IP团伙统计)

jYfEzqM.png!web

单个团伙的攻击流量峰值

各团伙通常并未完全发挥其潜力,了解它们的能力极限对于规划防御非常重要。通过对某个团伙两个季度流量峰值的对比,我们发现该团伙最大攻击流量峰值比日常攻击流量高出很多倍,当其潜力完全释放出来时,破坏力是惊人的。

图10 单一攻击的流量峰值趋势(某一攻击团伙)

V3Q32qq.png!web

十大攻击团伙

绿盟科技统计了2018年1至9月期间的攻击流量,总结了排名前十的IP团伙的流量峰值起伏变化,最大流量峰值和平均流量峰值表示IP团伙的攻击能力和攻击时长,反映了这些团伙的攻击活跃程度。

图11 十大攻击团伙的流量峰值

2mMbaqF.png!web

雷锋网注:报告全文下载地址为http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/。

雷锋网版权文章,未经授权禁止转载。详情见 转载须知


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK