关键发现
本次报告包括以下关键观点:
政府网站依然是最主要的攻击对象,攻击者选择目标具有“潮流性”
广州、上海和浙江是最集中的受害区域,受攻击的地区有越来越集中的趋势
四成的受害者遭受2 次或以上DDoS 攻击,40位中会有1 位遭受10 次以上
DNS FLOOD 依然是最主要的DDoS 攻击方式,HTTP FLOOD 持续减少
30 分钟内的DDoS 攻击始终占总数的90% 左右大流量高速的攻击正越来越多
报告内容
观点1 :政府网站依然是最主要的攻击对象,攻击者选择目标具有“潮流性”
绿盟科技收集了2013 至2014 年全球发生的重大DDoS 攻击事件。在这些攻击事件中,2014上半年政府网站依然是DDoS 攻击最主要的目标,占总数的三分之一,其次则是针对商业公司的攻击。与2013 下半年相比,政府网站和在线游戏受到的攻击比例有所下降,而运营商和商业公司则有所上升。与2013上半年相比,最明显的区别是针对银行的DDoS 急剧减少。这体现了攻击者除了具有“逐利性”以外,对目标选择其实同其他商品一样具有“潮流性”。
观点2 :广州、上海和浙江是最集中的受害区域,受攻击的地区有越来越集中的趋势
2013 至2014 年DDoS 攻击目标在中国国内的地理分布变化明显。从图2 可以看出,2014上半年广州、上海和浙江是最集中的受害区域。受害区域有越来越集中的趋势,2013 前三位的地区共占攻击的65% 左右,而在2014上半年则上升到82%。其中变化最明显的是北京市,受害者数量逐年减少,2013上半年位列第三,到2014 就已经跌出了前十。
观点3 :四成的受害者遭受2 次或以上DDoS 攻击,每40 位中会有一位遭受10 次以上
图3 表现了2013 至2014 年DDoS 攻击目标每半年受到的DDoS 攻击次数。从中可以看出,2014上半年中四成的受害者(42.9%)遭受过2 次或以上的DDoS 攻击,而每40 个受害者中会有一位遭受10 次以上的攻击,半年内单一目标最多遭受过68 次攻击。整体现象与2013 下半年基本一致。而与2013上半年相比,情况已经有所改善,当时有超过三分之二的受害者遭受过2 次或以上DDoS 攻击。
观点4 :DNS FLOOD 依然是最主要的DDoS 攻击方式,HTTP FLOOD 持续减少
2014上半年绿盟科技的监测数据显示,DNS FLOOD 依然是最主要的DDoS 攻击方式,占总数的42%,数量有所减少,而TCPFLOOD 则大幅上升。与2013上半年相比,DNS FLOOD 的上升和HTTP FLOOD 的下降最为显著。
观点5 :30 分钟内的DDoS 攻击始终占总数的90%左右
2013 年以来的数据显示,DDoS 攻击时间的分布一直比较稳定,30 分钟内完成的攻击始终占90% 左右。由此可见,对于DDoS 的缓解而言,从检测发现攻击到启动清洗的响应速度会成为评判缓解效果的关键因素之一。此外,长期连续的DDoS 攻击虽然少见但依然存在,2014上半年绿盟科技监测到持续最久DDoS 长达228 个小时。
观点6: 大流量、高速率的攻击正越来越多
2013 年,大部分DDoS 的实际流量并不大,500M 以下的攻击占90% 以上。然而,2014上半年的数据显示,DDoS 的攻击流量开始整体上升,500M 以上的攻击已占总数的三分之一,4G 以上则超过了5%。绿盟科技在此期间内监测到的攻击流量最高达到45G。
与流量提升同步,DDoS 攻击的包速率也在全面加快。0.2Mpps 以上的已经超过一半,而在2013 下半年这个数字还仅为16%。超过3.2Mpps 的攻击也超过了2%,最快速率达到了23Mpps,高速攻击的时代正在来到。
DDoS攻击追踪
回顾四年来DDoS 的跟踪数据以及更早期的研究成果,我们会发现其发展并不平稳。从一些角度看,攻击者的行为在不断变化,例如受害行业和攻击方法;而从另一些角度,似乎存在比较明显的趋势,例如受害者的地域分布和攻击的流量时长。引发这些现象的原因包括了技术自身的发展,网络环境的演进,以及利益格局的变化。技术发展为攻击者提供了越来越多的工具选择,但这并不是关键的因素。网络环境的演进使得攻防的战场更为复杂,可用的战术多样化的同时,也有一些高效原则开始被普遍接受。
最后,也是最重要的,大部分DDoS 攻击者依然以获利为目的,网络中自身利益格局的变化,对攻击行为的影响是最大的。事实表明,这个观点正是得益于绿盟科技长期跟踪及分析DDoS 数据。相信这些观点对于大家预测未来的攻击形态,以及进一步完善企业及组织的解决方案,是有价值的。
下一篇:burp suite 使用