2016年第二季度DDoS态势报告

据绿盟科技全球DDoS态势感知平台监控数据分析显示,Q2发生DDoS攻击事件有所下降,平均攻击峰值也有所降低,但攻击手段呈现复杂化,因此总体攻击态势依然严峻。

一、 总览

DDOS1

二、全球攻击态势

本季度,全球范围内我们监控到50988次DDoS攻击,受攻击最严重的国家是中国,占全部被攻击国家的53.2%,其次是美国,占比22.6%。

DDOS2

三、攻击趋势

3.1 DDoS攻击峰值

Q2季度的DDoS平均攻击峰值有所下降,Q2平均攻击峰值为16.7Gbps,相比Q1的27Gbps下降38.1%。
本季度DDoS攻击累计的最高流量峰值为1.8Tbps,比Q1季度的1.2Tbps增长600Gbps。

Q1和Q2季度全球DDoS攻击累计总流量趋势图

Q1和Q2季度全球DDoS攻击累计总流量趋势图

本季度DDoS攻击单次最高峰值为445.7Gbps,相比Q1季度的615.1Gbps峰值有所下降。

 Q1和Q2季度单次DDoS攻击事件周峰值趋势图

Q1和Q2季度单次DDoS攻击事件周峰值趋势图

本季度拥有最高攻击峰值的DDoS攻击发生在5月中旬,引人注意的不仅是该次DDoS攻击的高峰值,还有此次攻击是利用TCP(含SYN、RST ACK、RST、TCP Flag Misuse等)和 UDP流量发起的混合攻击,主要针对TCP和UDP 53端口,攻击高峰持续了将近一个小时。针对同一目标的DDoS攻击,从4月初就已经开始,断断续续直到6月底才彻底结束。除了上述混合攻击外,针对该目标,攻击者还多次采用了DNS Request Flood和UDP Flood 混合的脉冲攻击,脉冲波峰和波谷持续时间不断变换,有时半小时1次波峰,有时10分钟一次波峰,攻击者试图探测该目标流量处理能力的极限。

对这些攻击进行溯源分析,我们看到,攻击者轮流调用分布在全球范围约3万4千个僵尸主机发起DDoS攻击。该僵尸网络主要为Billgates botnet的一个变种,被控的主机大部分为带有高危漏洞或者弱口令的服务器,攻击峰值较大的肉鸡主要来自云端,另外少部分是被控制的网络监控摄像头。

3.2 DDoS攻击次数

Q2季度发生的DDoS攻击总数相比Q1季度有所下降。4月份共发生DDoS攻击18451次,相比3月份下降了55.8%。5月份发生的DDoS攻击继续下降,相比前一个月下降20.9%,6月份攻击有17947次,有所上升。

Q1 vs Q2 季度各月份DDoS攻击次数图

Q1 vs Q2 季度各月份DDoS攻击次数图

3.3 大流量DDoS攻击次数

Q2季度DDoS攻击峰值在50Gbps以上的大流量攻击共发生5254次,峰值在300Gbps以上的攻击共发生16次。

 Q1和Q2季度各月份大流量 攻击次数图

Q1和Q2季度各月份大流量 攻击次数图

3.4 攻击流量各区间大小占比

Q2季度仍然是峰值在10Gbps以下的小流量攻击最多,占比达50%,相比Q1季度的40%其所占比例继续上升,可见攻击者越来越多地使用小流量攻击方式,只是攻击手段更加复杂。

Q2季度攻击流量区间占比图

Q2季度攻击流量区间占比图

四、攻击持续时间

Q2季度平均攻击时长为1.6小时,攻击时长在30分钟以下的攻击继续增长,占总数的77.6%,比Q1季度增加21.6%。本季度攻击时长超过1天的攻击占总攻击次数的3.2%,比上一季度下降了8.7%。我们监控到最长的一次DDoS攻击持续了16天3个多小时,累计总攻击流量达71TBytes。

以上几点变化反映了Q2季度DDoS攻击更趋于短时攻击。其主要原因在于本季度反射攻击、混合攻击、脉冲攻击更加活跃,攻击者选择的攻击手段趋于复杂化,使用更短的时间就达到更好的攻击效果。

Q2季度攻击持续时间占比图

Q2季度攻击持续时间占比图

五、攻击类型分布

从攻击次数和攻击总流量占比来看,SYN Flood攻击依然在所有攻击类型中占比重较大,分别为15.8%、54.7%。另外,Q2季度各类型反射攻击比较活跃。

从攻击次数占比来看,Q2季度反射类型的攻击占总攻击次数的62.1%,其中NTP反射、CHARGEN反射、SSDP 反射攻击较多。

DDOS3

六、混合攻击分析

Q2季度的DDoS攻击次数和大流量DDoS攻击事件相比Q1有所下降,但攻击手段更加复杂,我们观测到很多利用几种流量混合发起的攻击,这类攻击相比单类型攻击,对攻击目标网络破坏能力更强。从攻击总流量占比看,利用混合攻击手段发起的攻击流量占总类型分布的33.7%。

 Q2季度混合与非混合攻击手段占比图

Q2季度混合与非混合攻击手段占比图

我们对使用混合攻击手段发起的攻击进行分析,统计其混合攻击使用的种类数占比情况,如下图所示,发现混合攻击中2至3种攻击类型的混合较为常见,占总体分布的97.4%。

混合DDoS攻击种类数占比图

混合DDoS攻击种类数占比图

另外,对攻击者最常使用的混合类型做了统计,其占比如图所示。

DDOS4

七、反射攻击分析

Q2季度反射类型攻击比较活跃,我们对各类反射攻击的次数和流量分别进行了统计。

从攻击流量上来看,NTP Reflection Flood攻击流量占比最多,为36.1%,其次是DNS Reflection Flood攻击,攻击流量占比为24.8%。
从攻击次数上看,本季度CHARGEN Reflection Flood攻击最为活跃,攻击次数占比38.1%,其次是NTP和SSDP Reflection Flood。

DDOS5

据我们最新统计,目前全球范围内NTP反射器累计达365万个,全球分布情况如下图所示,其中美国、俄罗斯、中国、韩国、日本,还有德国等欧洲地区NTP反射器分布最多。

DDOS6

特别声明

为避免客户数据泄露,所有数据在进行分析前都已经匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息,均不会出现在本报告中。

威胁情报

威胁情报的获取及响应都体现了防御能力的建设程度,威胁情报服务体系至少包含了威胁监测及响应、数据分析及整理、业务情报及交付、风险评估及咨询、安全托管及应用等各个方面,涉及研究、产品、服务、运营及营销的各个环节,绿盟科技通过研究、云端、产品、服务等立体的应急响应体系,向企业和组织及时提供威胁情报,并持续对对匿名者攻击事件进行关注,保障客户业务的顺畅运行。

如果您对我们提供的内容有任何疑问,或者需要了解更多的信息,可以随时通过在微博、微信中搜索绿盟科技联系我们,欢迎您的垂询!

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

了解更多:

1、NSFOCUS 2016 Q1 DDoS态势报告:http://blog.nsfocus.net/nsfocus-2016-q1-ddos-situation-report/

2、NSFOCUS 2015 年度DDoS态势报告:http://http://blog.nsfocus.net/2015-annual-ddos-threat-report/

3、2016Q2 绿盟DDoS报告

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

2 thoughts on “2016年第二季度DDoS态势报告

发表评论