大数据文摘专栏
本文投稿自腾讯安全云鼎实验室
2018年上半年 DDoS 攻防仍如火如荼发展,以 IoT 设备为反射点的 SSDP 反射放大尚未平息,Memcached DDoS 又异军突起,以最高可达5万的反射放大倍数、峰值可达1.7 Tbps 的攻击流量成为安全界关注的新焦点。
DDoS 这一互联网公敌,在各种防御设备围追堵截的情况下,攻击者夜以继日地钻研对抗方法、研究新的攻击方式;而且往平台化、自动化的方向发展,不断增强攻击能力。腾讯安全云鼎实验室主要从2018年上半年 DDoS 攻击情况的全局统计、DDoS 黑色产业链条中的人员分工与自动化操作演进两个方面进行分析阐述。
一、全局统计分析
2013~2018年 DDoS 流量峰值情况
DDoS 攻击流量峰值每年都不断地被超越,上半年的一起Memcached DDoS攻击,其峰值1.7 Tbps 达到了一个新的高度。虽然已经关闭了大量的 Memcached 的UDP 端口,但其5万的反射放大倍数,仍使攻击者可利用少量未关停 UDP 端口的 Memcached 反射点,打出大流量攻击。所以在短短的三个月里,Memcached DDoS 已成为反射放大的一股主要力量。
△ 2013~2018年 DDoS 攻击流量峰值统计
DDoS攻击行业分类情况
随着各行各业的互联网化,DDoS 的攻击面也越来越多,这里我们列出了14种主要行业。游戏行业因其日流水量最大、变现快,一直站在利益的风口浪尖上,当仁不让地成为 DDoS 首选的攻击目标,也是上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后,也遭受到了不同程度的攻击,且呈上升的趋势。
在游戏行业当中,手机游戏已超过了 PC 客户端游戏成为了 DDoS 攻击的主要目标。H5 游戏的崛起,也成为了 DDoS 的关注点,占整体攻击的1.4%。这里我们首次把游戏的第三方服务归结到游戏中,游戏的飞速发展催生了大量的第三方服务商,包括但不限于游戏虚拟财产买卖平台、数据分析、电竞、美术/音乐外包、游戏云服务、游戏资讯等各个环节。
△ 2018上半年 DDoS 攻击行业分类情况
DDoS 攻击的类型占比统计
在攻击类型中,反射放大占比最多,约为55.8%。 Memcached 作为今年三月以来的新兴反射放大力量,迅速被 DDoS 黑产界利用,其在整体的占比中也相当大。反射放大占比如此之多的一个原因是 DDoS 黑产的自动平台化,即无需人工干预,完全自动流程可完成攻击的所有操作。
SYN Flood 排名第二,一直是 DDoS 的主要攻击手法。随着 DDoS 黑产的平台化,SYN Flood 的载体也发生了改变,由海量的肉鸡渐渐转移到了发包机上(以伪造源 IP 的 SYN Flood 为主)。
HTTP Flood 作为7层攻击的主要方式,因为要建立完整的 TCP 连接,不能够伪造源 IP,所以还是以肉鸡侧发动攻击为主。但云鼎实验室监测发现,HTTP Flood 也开始向代理服务器和发包机发展。在互联网上获取海量的代理服务器相比肉鸡的抓取容易很多,以代理服务器频繁地变换真实的IP,再加上交互的模拟,可以使 HTTP Flood 很难被发现。而发包机的方式,虽不能变换 IP ,但可以频繁变换 UserAgent 的内容,以突破针对 HTTP Flood 的防御。
△ 2018年上半年 DDoS 攻击的类型统计
下图给出了几种反射放大的反射源地域分布情况。从抽样数据统计可见,LDAP、NTP、Memcached 为主的反射源 Top 10的国家重合度很高,以美国、中国、欧洲国家为主。SSDP 反射源因 IoT 设备的问题,导致其地域分布有所不同。
△ 反射源地域分布抽样统计
DDoS 所对应的C2地域分布
近年来国内的互联网安全措施持续加强。通过监控发现,在国内的C2渐渐有外迁的现象。还有一些持有高性能肉鸡的黑客,看到了虚拟货币的逐利远远大于 DDoS攻击,将一部分高性能肉鸡转去挖矿。鉴于以上原因针对用于 DDoS 的 C2 监控难度越来越大。
△ C2服务器所在地域情况
家族情况
通过对攻击家族的监控,主要以 Xorddos、Billgates 、Mayday 、Dofloo、Nitol、Darkshell 等家族为主。Xorddos 是发起攻击最多的家族,甚至每天多达上万次的攻击,攻击类型多以 SYN Flood 为主、其他攻击类型为辅的组合攻击。Nitol 家族是发起 HTTP Flood 攻击最多的家族,还会输出 SYN Flood、ICMP Flood、TCP Flood 等攻击。以上家族攻击的统计中,针对各个行业的攻击都有涉猎,游戏行业无疑是攻击的首选。
被攻击IP的地域情况
DDoS 攻击目标按地域分布统计中,国外受攻击最多的国家是美国,其次是韩国、欧洲国家为主,DDoS 攻击的主要目标还是聚集在互联网发达的国家中。
△ 2018上半年国外遭受 DDoS 攻击地域分布
在国内各省的统计来看,受到 DDoS 攻击较多的省份是长三角、珠三角和京津片区,即中国的互联网发达省份,其中以江浙两省最多。
△ 2018上半年国内遭受 DDoS 攻击地域分布
每月百G以上攻击流量情况
以每月的超过百Gbps 的攻击次数统计来看,百Gbps 流量分层占比相差不多。100-200 Gbps 占比最大,基本都在75%以上,而超过300 Gbps 的流量攻击次数较少。
△ 2018上半年 DDoS 每月超过百 G 攻击占比情况
攻击流量带宽分布情况
在攻击流量的分层统计上,1-5G 的攻击次数最多,占比约38%。通过统计可得到,大多数的攻击均为100 Gbps 以下的流量攻击,超过百G 的攻击累计占总攻击次数不到5%。整体的攻击流量平均峰值约在5.2 Gbps 左右。
△ 2018上半年 DDoS 分层流量的攻击次数统计
攻击时长分布占比情况
在攻击时长来看,占比最多是1 min 以下的攻击,约占38.7%。其主要攻击方式是瞬时攻击,即以极大的流量直接瘫痪掉攻击的服务,导致大量用户掉线、延迟、抖动等。5-10 min 也占相当大比例,约28.7%。抽样统计得出,平均攻击时长约1 h,单次攻击最长时长约54天。
△ 2018上半年 DDoS 发起攻击的时长占比统计
DDoS 黑色产业链演进
我们从黑产中的人员分工与自动化操作两个方面进行 DDoS 发展的阐述。
传统DDoS攻击
早期的 DDoS 一般是黑客一个人的游戏,从工具开发、bot 传播、接单、攻击等都独自完成。随着互联网经济的飞速发展,网络攻击获利越来越多,催生了DDoS 攻击的大量需求,例如竞品的攻击、DDoS 勒索等。高额的利益便会催生对应工作的精细化分工,DDoS 的黑产也不例外。我们针对传统 DDoS 攻击的专业化人员分工进行分析:
发单人:也可以称为金主,是 DDoS 攻击后的直接获利者,提出攻击需求。
担保商:也可以称为中间人,是 DDoS 黑产中较出名的人物,在各个不同分工人员间做“信任”担保,与交易环节的资金中转工作。担保商也会自己架设接发单平台或即时通讯工具群等形式来扩大自己的知名度,带来更多的 DDoS 攻击业务。
接单人:也可以称为攻击手,通过操作 C2 服务器或发包机直接发起 DDoS 攻击。
流量商:通过担保商或直接将国外购买的流量服务器售卖给攻击手。
肉鸡商:手头上拥有大量的肉鸡资源,通过担保商或直接将肉鸡售卖/出租给攻击手。
黑客软件作者:开发 botnet 程序,反射放大程序等各种 DDoS 工具。
这样的多种分工,使 DDoS 在技术难度上被拆解,技术门槛降低,部署更容易。同时给互联网安全人员的分析与溯源带来更大的困难。在分析中我们发现,有一些人员也可能同时担当多个角色。
虽然这种比较早期的 DDoS 攻击分工已十分成熟,但还是存在一定的不足之处:
1.成单难以保障:担保商、接单人都具有不确定性,发单人付费后,可能会存在针对目标的攻击没有效果或根本没有发起攻击的情况,给发单人造成经济损失。
2. 响应周期较长:从发单人提出需求到真正达到攻击效果,需经过发单人、担保商(或其搭建的各种对接平台/即时通讯工具群等)、接单人等几个环节,时间上需要几小时到几天不等。
3. 攻击效果不能保证:攻击手一般手动远程操作 C2 服务器或发包机针对目标服务器进行攻击,攻击手所掌握的botnet 或发包机规模不同,攻击的流量达不到保证。
△ 传统 DDoS 的人员分工与攻击流程
目前 DDoS 攻击
鉴于传统 DDoS 攻击的不足,促使了 DDoS 多个环节的自动化发展,页端 DDoS 攻击平台便是发展的结果之一。其高度集成管理,在成单率、响应时长、攻击效果等方面都得到了可行的解决。在人员分工上,有了新的发展:
担保商淡出 DDoS 黑产圈,发单人可直接在页端 DDoS 攻击平台下单、支付费用,且可以根据自己的攻击目标的情况选择攻击方式与流量大小,保障了百分之百的成单率。
攻击手已被自动化的攻击平台取代,不需要手动操作攻击。从发起攻击命令到真正开始攻击,一般延时在10s 左右,再也不用等几小时或几天了。
发包机提供人替代了流量商角色,且完成发包机的程序部署、测试,最终给出发包机的攻击类型、稳定流量、峰值流量等各种定量且稳定的攻击能力。稳定的攻击流量保障了最终的攻击效果。
站长成为了页端 DDoS 攻击平台的核心人员,进行平台的综合管理、部署、运维工作。例如:DDoS 攻击套餐管理、注册用户(金主)管理、攻击效果与流量稳定保障、后续的升级等。
△ 页端 DDoS 攻击平台的人员分工与自动化流程
不同的页端 DDoS 攻击平台也有不同的实现,但其操作流程、核心功能都很相似。下图给出了其技术解读:从此图中可见,用户注册、套餐付费、攻击发起等在用户侧都可以完成,不需要其他人员参与。对比传统 DDoS 攻击来看,已完成了全自动的无人值守攻击方式。在图中调用传统肉鸡的攻击形式很少,主要是调用发包机的攻击方式。发包机中主要配置的是反射放大的各种程序和其对应的反射源列表,偶尔会有伪造源 IP 的 SYN Flood、动态变化 UserAgent 的 HTTP Flood (如 goldeneye 工具)。
△ 页端 DDoS 攻击平台
三、总结与趋势展望
综上所述,上半年的 DDoS 攻击无论从流量的角度还是从次数的角度来看,都上升了一个新的高度。
DDoS 黑色产业链的人员与技术的演进降低了整体 DDoS 入门的门槛,在溯源监控中发现,有的 DDoS 黑产团伙平均年龄 20 岁左右,甚至有未满 16 周岁的学生也是其中的一员。
在 DDoS 的整体防御上,建议用户采用具备大带宽储备和 BGP 资源的云服务商防御方案。如腾讯云大禹拥有30线 BGP IP 接入资源,丰富的场景化防护方案。
随着智能 AI 设备与物联网的飞速发展, DDoS 的新宿主平台不断出现,DDoS 攻防战会越来越激烈。可以预期,2018年下半年 DDoS 会呈现出多样化的发展:
1.类似于 Memcached DDoS 的新反射放大方式会不断的被曝光与利用;
2.智能设备的发展会催生出新平台下的 botnet 产生,且这些平台基本防护措施薄弱,更成了DDoS 的温床;
3.随着打击 DDoS 力度的不断加大, P2P 式僵尸网络或半去中心化变种方式有望重回风口,让 DDoS 难于监控与溯源分析;
4.基于暗网的 DDoS 平台将逐渐替代目前流行的页端 DDoS 攻击平台,使其平台的存活时间更长。
【今日机器学习概念】
Have a Great Definition