奇安信發(fā)布春節(jié)期間DDoS攻擊報(bào)告:受害者數(shù)量激增近40%

2021-02-23 14:35:03來(lái)源:威易網(wǎng)作者:

2021年2月22日,奇安信旗下羲和實(shí)驗(yàn)室發(fā)布了春節(jié)期間DDoS攻擊報(bào)告。報(bào)告顯示,春節(jié)期間奇安信星跡DDoS觀測(cè)系統(tǒng)累計(jì)觀測(cè)到反射放大DDoS 攻擊事件 65912 個(gè),涉及被攻擊 IP 57096 個(gè)。

2021年2月22日,奇安信旗下羲和實(shí)驗(yàn)室發(fā)布了春節(jié)期間DDoS攻擊報(bào)告。報(bào)告顯示,春節(jié)期間奇安信星跡DDoS觀測(cè)系統(tǒng)累計(jì)觀測(cè)到反射放大DDoS 攻擊事件 65912 個(gè),涉及被攻擊 IP 57096 個(gè)。與春節(jié)前一周相比,DDoS 攻擊事件數(shù)增加約 25%,被攻擊 IP 數(shù)增加 37%?梢(jiàn),春節(jié)期間DDoS攻擊呈顯著增加態(tài)勢(shì)。

\
圖1 被攻擊 IP 全球分布熱力圖

報(bào)告指出,反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式。 攻擊者只需要付出少量的代價(jià),即可對(duì)需要攻擊的目標(biāo)產(chǎn)生巨大的流量,對(duì)網(wǎng)絡(luò)帶寬資源(網(wǎng)絡(luò)層)、連接資源(傳輸層)和計(jì)算機(jī)資源(應(yīng)用層)造成巨大的壓力。2021年春節(jié)期間,奇安信在星跡平臺(tái)上觀測(cè)到了反射放大DDoS 攻擊事件 65912 個(gè),絕大部分被攻擊 IP 分布于中國(guó)香港和美國(guó)。

根據(jù)羲和實(shí)驗(yàn)室司南平臺(tái)統(tǒng)計(jì)的被攻擊 IP 地理分布顯示,被攻擊 IP 數(shù)量排名前五的國(guó)家或地區(qū)分別是中國(guó)香港、美國(guó)、英國(guó)、中國(guó)大陸及法國(guó)。絕大部分(約 68.3%)被攻擊 IP 分布于中國(guó)香港(被攻擊 IP 23731 個(gè),全球占比約 41.6 %)和美國(guó)(被攻擊 IP 15244 個(gè),全球占比約 26.7%)。中國(guó)大陸有 1770 個(gè)被攻擊 IP。與春節(jié)前一周相比,春節(jié)假期期間中國(guó)香港被攻擊 IP 數(shù)量激增20倍(從 1154 個(gè)增加至 23731 個(gè)),中國(guó)大陸被攻擊 IP 數(shù)略有下降(從 1981 個(gè)降至 1770 個(gè))。春節(jié)假期期間,大陸被攻擊 IP 主要分布于我國(guó)東部及南部省份,如圖2所示:

\
圖2 大陸被攻擊 IP分布熱力圖

從攻擊時(shí)長(zhǎng)統(tǒng)計(jì)來(lái)看,大部分反射放大 DDoS 攻擊事件持續(xù)時(shí)間較短,75% 的反射放大 DDoS 攻擊事件持續(xù)時(shí)間為 124 秒以下。最長(zhǎng)一次攻擊事件持續(xù)了 49.3 小時(shí)。

從被攻擊端口統(tǒng)計(jì)來(lái)看,受害者遭受反射放大 DDoS 攻擊的服務(wù)以 80 端口上的 Web 服務(wù)為主;部分受害者的 443 端口、53 端口及部分游戲服務(wù)器所開(kāi)放端口同樣遭受了攻擊。被攻擊端口對(duì)應(yīng)攻擊事件數(shù)統(tǒng)計(jì)如圖3所示(只顯示數(shù)量排名前十位的端口)。

\
圖3 被攻擊端口對(duì)應(yīng)攻擊事件數(shù)統(tǒng)計(jì)

而在攻擊手段統(tǒng)計(jì)方面,春節(jié)假期期間,在進(jìn)行反射放大 DDoS 攻擊時(shí),攻擊者傾向于利用有漏洞的 NTP 和 Memcached 服務(wù)進(jìn)行攻擊。在所觀測(cè)到的全部反射放大 DDoS 攻擊事件中,不同攻擊手段所對(duì)應(yīng)攻擊事件數(shù)如圖4所示:


圖4 不同攻擊手段所對(duì)應(yīng)攻擊事件數(shù)統(tǒng)計(jì)

奇安信技術(shù)研究院研發(fā)的星跡系統(tǒng)是一個(gè)大網(wǎng)威脅監(jiān)測(cè)系統(tǒng),該系統(tǒng)力求在“看見(jiàn)攻擊”的基礎(chǔ)上“看懂攻擊”:從單點(diǎn)的Passive DNS、Whois、蜜罐等數(shù)據(jù)走出去,聚焦僵尸網(wǎng)絡(luò)、黑產(chǎn)、APT,從攻擊團(tuán)伙、惡意程序家族、在野漏洞等視角切入,以提供更高層次的觀測(cè)維度。利用星跡系統(tǒng),安全人員可以對(duì)大網(wǎng)DDoS事件進(jìn)行實(shí)時(shí)監(jiān)測(cè),發(fā)現(xiàn)攻擊前的“風(fēng)吹草動(dòng)”并記錄過(guò)程中的攻擊行為,實(shí)現(xiàn)提前預(yù)警和事后溯源。

發(fā)布該報(bào)告的羲和實(shí)驗(yàn)室是奇安信旗下專注于互聯(lián)網(wǎng)基礎(chǔ)協(xié)議與基礎(chǔ)設(shè)施的安全研究、數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)威脅檢測(cè)與防御技術(shù)研究的技術(shù)團(tuán)隊(duì)。以該實(shí)驗(yàn)室成員為核心組成的戰(zhàn)隊(duì)曾獲得GeekPwn2018年第二名、GeekPwn2019年第一名的成績(jī),多個(gè)漏洞挖掘研究成果獲得微軟、Google、Apple等國(guó)際知名廠商致謝。羲和實(shí)驗(yàn)室研制的天罡安全基礎(chǔ)數(shù)據(jù)平臺(tái)和司南網(wǎng)絡(luò)空間威脅導(dǎo)航平臺(tái),擁有國(guó)內(nèi)最大規(guī)模的PassiveDNS與網(wǎng)絡(luò)主動(dòng)測(cè)量數(shù)據(jù),可結(jié)合大數(shù)據(jù)分析技術(shù)驅(qū)動(dòng)對(duì)大網(wǎng)威脅的分析、捕獲以及溯源。

注:本文攻擊數(shù)據(jù)來(lái)自于星跡 DDoS 觀測(cè)系統(tǒng),IP 相關(guān)信息來(lái)自于司南平臺(tái)。

關(guān)鍵詞:奇安信DDoS