導語：在本報告中，將統計2018年第一季度的DDoS攻擊概況，其中包括攻擊方法、攻擊地理目標、數量變化、攻擊類型及趨勢。

　　1月初，一名業余黑客利用從黑客論壇收集到的信息，在華為路由器中利用零日漏洞創建了一個木馬程序并在線發布。不過，襲擊很快就在萌芽狀態被扼殺，幕后的網絡犯罪分子無法追查到。

　　另外，IoTroop僵尸網絡在上個季度首次被發現。還有，一種用于感染ARC CPU的Linux ELF惡意軟件——Mirai OkiruI也首次在一月被發現。此外，二月初，JenX僵尸網絡被發現，它不僅提供DDoS攻擊服務，還充當網游私服主機。另外，在二月有媒體報道，黑客正在構建一個獨特的僵尸網絡，第一次將兩個攻擊捆綁在一起，試圖繞過企業防火墻并感染設備。

　　至于DDoS的新方法和漏洞，除了Memcached中的multiget漏洞之外，上個季度的新聞還曝出了WordPress中的一個漏洞，使得Web服務器很容易被攻擊。幸運的是，目前還沒有發現野外攻擊的樣本。

　　盡管在過去三個月內影響很大的DDoS攻擊并不多，但利潤仍然是DDoS攻擊數量翻倍的主要原因，僅在2017年，俄羅斯的攻擊數量就翻了一倍。在2月初的三天時間里，最終幻想的玩家在登錄某些服務時遇到了問題。在大致同一時間，BusinessWire遇到了超過持續一周的類似攻擊，在此期間編輯和讀者都無法訪問新聞門戶。不過卻沒有關于贖金的報道，估計攻擊背后的動機與商業競爭有關。

　　在三月初發生一系列襲擊GitHub和針對一家不知名服務提供商的攻擊，這些攻擊產生了超過1TB/s的垃圾流量。這么大的流量是通過利用Linux服務器的流行緩存服務Memcached實現的，有趣的是，在其中一些攻擊中，垃圾流量本身在Monero中包含贖金要求。

　　最近發生的最突出的事件當然是在2月初破壞冬奧會開幕式的DDoS攻擊，在此之前，在1月底，美國國防部阻止了了大量垃圾郵件的攻擊。另外，專家報道，朝鮮的DDoS攻擊者正在擴大其影響范圍。

　　不過對荷蘭主要金融機構的DDoS攻擊事件最初被認為是有政治目的的，但經仔細分析后，這其實是純粹的流氓行為，因為荷蘭警方逮捕了一名青年犯罪嫌疑人，因為他對幾家銀行都實施了類似的攻擊。

　　作為個人報復手段，DDoS也越來越受歡迎。例如，加利福尼亞州的大衛?古德伊爾(David Goodyear)為了報復一個業余天文論壇將其列入黑名單，而發起一場DDoS攻擊。

　　本季度趨勢

　　Memcached是上一季度最具轟動性的攻擊的導火索，2月下旬，一家公司聯系了卡巴斯基DDoS研究部門。起初，研究人員根據對方提供的信息，發現對他們的攻擊確實類似于典型的DDoS攻擊：通信渠道堵塞，用戶無法訪問公司的服務。但是，通過調查，在其中一臺客戶端服務器上安裝了具有易受攻擊的Memcached服務的CentOS Linux服務器。網絡犯罪分子在攻擊期間使用的這項服務產生大量傳出流量，導致信道過載。換句話說，客戶端不是目標，而是DDoS攻擊中的道具：攻擊者使用其服務器作為放大器。

　　對Memcached來說，攻擊期間被攻擊的服務器的用戶會注意到負載增加，并且通過修復漏洞，以免受到更多的停機損失。因此，可用于此類易受攻擊的服務器數量正在迅速下降，因此Memcached攻擊可能很快就會消失。

　　盡管如此，第一季度的情況表明，“放大”的攻擊的數量似乎還在增多，除了Memcached之外，網絡犯罪分子可能會尋找其他非標準“放大”方法。例如，上個季度， LDAP服務被用作放大器。盡管可用的LDAP服務器數量相對較少，但這種類型的攻擊可能會在未來幾個月內造成一定影響。

　　DDoS攻擊統計

　　方法

　　在本報告中，如果僵尸網絡活動時間間隔不超過24小時，則認為事件是單獨的DDoS攻擊。例如，如果一個特定的網絡資源遭到同一僵尸網絡的攻擊，間隔時間為24小時或更長時間，則該事件被認為是兩次攻擊，來自不同僵尸網絡但針對一種資源的僵尸網絡請求也被視為單獨的攻擊。

　　用于發送命令的DDoS攻擊受害者和C＆C服務器的地理位置由其各自的IP地址決定。本報告中DDoS攻擊的唯一目標數量按季度統計中唯一IP地址的數量計算。

　　DDoS Intelligence統計僅限于卡巴斯基實驗室檢測和分析的僵尸網絡。請注意，僵尸網絡只是執行DDoS攻擊的工具之一，并且本報告中提供的數據不包括在審查期間發生的每一次DDoS攻擊。

　　統計結果

　　在2018年第一季度，針對79個國家的目標登記了DDoS攻擊。與以往一樣，絕大多數（95.14％）發生在前十位國家。

　　至于襲擊目標，中國的攻擊目標占了47.53％。

　　攻擊和目標的數量大幅增加，長期攻擊的數量也大幅增加。最長的DDoS攻擊歷時297小時（超過12天），成為近年來最長的一次。

　　Linux僵尸網絡的份額輕微下降至66％，而上一季度為71％。

　　在1月中旬和3月初觀察到網絡攻擊的數量和能力出現了明顯的高峰，而中期則相對平靜。

　　攻擊地理

　　中國所占的比重從59.18％上升到59.42％，而美國在17.83％的基礎上增加了1.83％，韓國則下降了2％，從10.21％下降到8％。

　　英國（1.30％）由第四位上升至第五位。在2018年第一季度中，第十位變為了俄羅斯，其份額從1.25％下降到0.76％。荷蘭和越南退出前十名，但香港和日本（1.16％）重新出現。

按國家分布的DDoS攻擊，2018年第1季度和2017年第4季度比較

　　至于攻擊目標的分布情況，頭把交椅仍然屬于中國，盡管其份額從51.84％下降到47.53％。第二的美國份額從19.32％上升到24.10％，韓國是第三位（9.62％）。法國的排名顯著變化，雖然本季度僅下降0.65％，從第五位下降到第九位。

　　受攻擊最嚴重的十個國家的名單里，不再有俄羅斯和荷蘭，但香港（4.76％）直接進入第四位，日本（1.6％）進入第六位?？傮w而言，本季度，排名前十位的國家的攻擊總量相比2017年底略有增長，達到94.17％。

按國家分布的DDoS攻擊目標，2017年第4季度和2018年第1季度的比較

　　DDoS攻擊數量的動態變化

　　第一季度的大多數活動發生在開始的一個月，1月19日（666次襲擊）和3月7日（687次襲擊）的攻擊次數達到頂峰。這可能與新年假期結束（1月第二周攻擊次數開始增加）和3月份銷售額（與國際婦女節有關）有關。

　　本季度最平靜的一天是星期天，僅占所有攻擊的11.35％。

按著攻擊日期，2017年第四季度和2018年第一季度的DDoS攻擊分布情況

　　DDoS攻擊的類型和持續時間

　　SYN-DDOS攻擊的比例略有增加（從55.63％增加到57.3％），但之前幾個季度沒有出現這種情況。ICMP攻擊份額幾乎翻了一番，從3.4％上升到6.1％。

按類型分布的DDoS攻擊，2018年第一季度

　　經過2017年底的短暫停歇之后，我們看到了持續攻擊的回歸，最長的持續297小時（12.4天）。盡管低于世界紀錄，但其攻擊規模仍然相當可觀。

　　其他持續攻擊（50小時或以上）的比例增加了六倍以上，從0.10％增加到0.63％。另一方面，最短的攻擊份額（9小時或更短）也在增長，如果上個季度它們占所有攻擊的85.5％，現在這一數字為91.47％。與此同時，最近一個季度持續10小時至3天的攻擊次數從14.85％減少到了7.76％。

DDoS攻擊的持續時間（小時），2017年第4季度和2018年第1季度的分布情況

　　上個季度，按照C＆C服務器數量排名前十位的國家進行了一次重大洗牌：加拿大，土耳其，立陶宛和丹麥不再榜上有名，而意大利，香港，德國和英國則持續攀升。前三名幾乎沒有變化：韓國（30.92％），美國（29.32％），中國（8.03％）。只有俄羅斯（2.01％）在2017年末滑落至第九名。

　　美國的份額幾乎翻了一番，此外，意大利（6.83％），荷蘭（5.62％）和法國（3.61％）的份額大幅增加。這一增長是由于Darkai（美國，意大利，荷蘭和法國）和AESDDoS（中國）攻擊的C＆C賬戶數量急劇增加。

按國家分布的僵尸網絡C＆C服務器，2018年第一季度

　　上一季度Linux僵尸網絡的份額與2017年底相比略有下降，從71％下降至66％。因此，基于Windows的僵尸網絡的份額從29％上升到34％。

基于Windows和Linux的僵尸網絡攻擊之間的關系，2018年第1季度

　　總結

　　在2018年第一季度，我們觀察到DDoS攻擊總數和持續時間在2017年第四季度顯著增加。新的基于Linux的僵尸網絡Darkai和AESDDoS負主要責任?，F在熟悉的Xor攻擊的數量也上升了?；赪indows的僵尸網絡也沒有被攻擊者放過，在攻擊總次數方面，Linux的數量所占份額也在增加。

　　涉及多個僵尸網絡的混合攻擊數量也有所增加，這個趨勢的明顯比以往增多了。根據研究人員的分析，為了讓利益最大化，攻擊者利用僵尸網絡中未使用的部分來產生垃圾流量，并將其重新部署到目標中。

　　放大的攻擊也成為了新趨勢，特別是通過Memcached服務器。雖然Memcached服務器的制造商能夠快速修補漏洞，但攻擊者可能會尋求其他放大方法，其中之一是利用LDAP服務器。在受攻擊的情況下，LDAP服務器的響應能夠達到非常高的帶寬，平均放大系數為46倍，而在攻擊高峰期，這個數值更是達到了55倍。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇