2016年第三季度DDoS态势报告

据绿盟科技全球DDoS态势感知平台监控数据分析显示，Q3发生DDoS攻击次数增加，小流量攻击占比增加，攻击手段呈现复杂化，总体攻击态势依然严峻。

一、总览

• Q3全球总DDoS攻击次数增加40%

Q3季度共检测到71,416次DDoS攻击，比上个季度的50,988次增加40%。

• 小流量DDoS攻击占比提升10.8%，大型DDoS攻击占比

，但20G以下小流量攻击相比Q2占比提升10.8个%。

• 300G以上超大流量DDoS攻击发生35次

Q3季度300Gbps以上的超大流量攻击共发生35次，相比Q2的16次增加119%。

• 单次DDoS攻击平均峰值为19.4Gbps

Q3季度平均攻击峰值为19.4Gbps，比Q2的16.7Gbps有所上升。

• 单次DDoS攻击最高峰值达572.6Gbps

本季度单次攻击峰值最高达572.6Gbps，相比Q2季度的445.7Gbps峰值增加126.9Gbps。

• 每个IP每月平均被重复攻击1.4次

Q3季度每个IP每月平均被重复攻击1.4次，我们监控到其中某网络在Q3季度内被重复攻击了30次，攻击手段多是短时的UDP Flood和NTP Request Flood混合攻击。

• DDoS攻击平均时长7.2小时

Q3季度平均DDoS攻击时长为7.2小时，相比Q2季度的8.1小时略有下降^①。 Q3最长攻击持续31天19个多小时（764小时），累计攻击流量达17TBytes。

• 混合攻击占总攻击流量比例提升6.6%

混合攻击流量占总攻击流量的40.3%，相比Q2占比提升6.6%，2到3种类型混合占总体分布的99.7%，NTP Reflection和UDP混合的情况最多。

• 反射攻击次数占比达90.5%，占比升高20.6%

。其中NTP 反射攻击增长最为明显。

• 全球活跃NTP反射器数量增加440%

Q3全球范围内参与DDoS攻击的活跃反射器数量达25,371台，相比Q2数量增长了440%。

• 全球仅感染Mirai的物联网设备已经超过150万台

物联网设备成为黑客僵尸网络的新宠，截止到10月底仅感染Mirai的设备就已经达到1,508,059台，其僵尸网络在近期活动异常活跃，针对23端口的日扫描次数最高达34万次。

二.  全球攻击态势

本季度，全球范围内我们监控到71,416次DDoS攻击，受攻击最严重的国家是中国，占全部被攻击国家的39%，其次是美国，占比23.6%。相比Q1和Q2季度，中国被攻击次数在全球各国家中所占比例有所下降，分别下降了19.9%，14.2%，美国略有上升。

本季度中国共发生27,852次DDoS攻击，受攻击最严重的地区是浙江、广西、广东、北京、江苏等地区。

三、DDoS攻击趋势

3.1 DDoS攻击峰值

Q3季度单次DDoS平均攻击峰值为19.4Gbps，相比Q2的16.7Gbps上升16.2%，比Q1的28.2Gbps减少31.2%。

Q3季度DDoS攻击累计流量的最高峰值为3.7Tbps，比Q2季度的1.8Tbps增加1.9Tbps，比Q1季度的1.2Tbps增长了2.5Tbps。

本季度单次DDoS攻击最高峰值为572.6Gbps，相比Q2季度的445.7Gbps峰值有所上升，但仍然低于Q1季度的615.1Gbps。

我们对本季度攻击峰值较高的几个攻击事件进行溯源分析，发现除了几个是NTP和SSDP反射攻击外，其余的非反射攻击大都有网络摄像头、家庭路由器这些物联网设备的参与，且大部分流量的攻击特征符合Mirai的僵尸网络攻击特点。这也恰恰印证了我们在10月14日发布《2016绿盟科技网络视频监控系统安全报告》中的观点，目前已经有大量物联网设备感染了如Mirai、Luabot等恶意僵尸网络程序，被用于扫描、DDoS攻击等黑客活动。由于物联网设备普遍存在着各种安全问题，相比传统的PC机，黑客开始青睐于使用直接或者间接暴露于互联网上的物联网设备作为僵尸网络的被控肉鸡。可以预见，随着物联网技术的发展及各行业对其需求的不断扩大，成千上万的物联网设备正在以惊人的速度接入互联网，这一趋势将会更加明显。

3.2 DDoS攻击次数

Q3季度，我们监控到DDoS攻击71,416次，相比Q2季度的50,988次增加40%，但仍然低于Q1季度的108,045次。Q3季度7月份共发生DDoS攻击25,795次，比上个月增长了43.7%。到8月份攻击有所下降，相比7月份减少12.4% ，9月份发生攻击23,020次，与8月份持平。

3.3 攻击流量各区间分布情况

Q3季度攻击峰值在20Gbps以下的小流量攻击占比达整个Q3季度总攻击次数的85%，相比Q1、Q2季度所占比例分别增加10.8%，26 %。

攻击峰值在20-50Gbps的中型攻击占比11.5%，相比前两个季度其占比分别下降16.8%、4.1%。峰值在50-300Gbps间的大流量攻击占比3.5%，相比前两个季度占比下降9.2%和6.7%。但攻击峰值在300G以上的超大型DDoS攻击相比前两个季度有所增加 。

大流量DDoS攻击趋势Q3季度峰值在300Gbps以上的超大型DDoS攻击共发生35次，相比前两个季度均有所增加。峰值在50Gbps以上的大流量攻击共发生2,555次，相比Q1的13,762次，Q2的5,254次，分别下降81%和51%。

四.  攻击持续时间和重复频次

4.1  DDoS攻击持续时间

本季度攻击时长在30分钟以下的攻击占总数的56.6%，相比前两个季度继续上升。平均攻击时长为7.2小时，相比Q2季度的8.1小时略有下降 。攻击时长超过1天的攻击占总攻击次数的8.5%，相比前两个季度继续下降。
我们监控到Q3最长的一次DDoS攻击持续了31天19个多小时（764小时），累计总攻击流量达17 TBytes。

4.2  DDoS重复攻击频次

Q3季度单个IP平均被攻击次数与前两个季度相比略有下降，大概单个IP每个月平均被攻击1.4次，Q1和Q2均是1.5次/月。
我们监控到某网络在Q3季度内被重复攻击达30次，攻击手段多是短时的UDP Flood和NTP Reflection Flood混合攻击。

五.  攻击类型分布

5.1  各攻击类型次数和流量占比

从攻击次数上看，Q3反射攻击在总攻击次数上的占比达90.5%，相比Q2季度占比增长了20.6%。其中，NTP反射攻击次数最多，占40.4%，其次是Chargen、SSDP、SNMP反射攻击。
反射攻击的原理是攻击者伪造请求，将受害者IP地址作为请求源地址并将之发往互联网中大量存在协议漏洞的反射器，利用这些协议回应包字节数远大于请求包的特点，达到反射放大流量的效果，构成对目标网络的大流量DDoS攻击。由于不需要像传统僵尸网络那样对大量的攻击源进行事先感染和控制，因此发起此类大流量攻击的代价远远小于传统的DDoS攻击。目前已知流量放大倍数最高的反射攻击是NTP反射攻击，最大可放大至556.9倍。

5.2  攻击类型各流量区间占比

经分析，在不同的攻击峰值流量区间内，攻击协议类型表现出不同的分布特征。在5G以下的小流量攻击中NTP Reflection Flood、CHARGEN Reflection Flood等反射类攻击较多，峰值在50-200G的大型流量中以SYN Flood为主，峰值在5-50G中小型流量和200G以上的大型、超大型流量中以UDP Flood为主，SYN Flood为辅。这表明，不同的攻击工具，或不同类型的僵尸网络，或不同攻击组织的攻击手段和攻击能力也不尽相同。

六.  混合攻击分析

Q3季度利用多种流量混合发起的攻击占全部攻击流量的40.3%，相比Q2季度的33.7%继续增加，占比增长了6.6%。

我们对使用混合攻击手段发起的攻击进行分析，统计其使用的种类数占比情况，如下图所示，发现混合攻击中2至3种攻击类型的混合较为常见，占总体分布的99.8%。

另外，对攻击者最常使用的混合类型做了统计，其占比如图 6.3 所示。

本季度最常见攻击混合类型为NTP Reflection Flood和UDP Flood攻击混合，占全部混合类型的47.1%。使用反射攻击流量混合的攻击仍然占较大比例，如CHARGEN Reflection和NTP Reflection Flood混合，SSDP Reflection和UDP Flood混合，NTP Reflection和SSDP Reflection混合等。

七.  反射攻击分析

7.1  各类反射攻击占比

Q3季度反射类型攻击仍然比较活跃，相比Q2季度大幅度增加，我们对本季度各类反射攻击的次数和流量占比情况分别进行了统计。
从攻击流量上来看，NTP Reflection Flood攻击流量占比最多，为69.5%，其占比比Q2季度增长了33.4%。其次是DNS和SSDP Reflection Flood攻击，攻击流量占比分别为20.6%，7.9%，相比上一季度均有所下降。
从攻击次数上看，NTP Reflection Flood在本季度超过CHARGEN Reflcetion Flood成为最活跃的反射攻击，其占比为39.6%，比上一季度占比增加10.6% 。CHARGEN和SSDP Reflection Flood占比都略有下降。

7.2  活跃NTP反射器全球分布

据我们最新统计，本季度被利用来发起NTP Reflection Flood攻击的反射器共25,371个，相比Q2季度数量增长了440%。其全球分布情况如下图所示。其中，中国占比最多，其次是美国、越南、韩国和俄罗斯。相比Q2季度，越南和韩国两个国家的占比增多，超过了俄罗斯、日本和法国跻身TOP5国家行列。

八.  DDoS攻击趋势：基于物联网设备的僵尸网络

我们在10月14日发布的《2016绿盟科技网络视频监控系统安全报告》中对典型的物联网设备——网络视频监控系统的安全现状及基于其的僵尸网络情况进行了全面的分析。报告指出，全球已经有大量物联网设备感染了僵尸网络恶意程序，其中包括被人熟知的LizardStresser，最近名声大噪的Mirai，还有新种恶意程序Luabot等。这些被感染的设备构成了庞大的物联网僵尸网络，正受控于各黑客组织，执行扫描、DDoS攻击等黑客活动。
就在报告发布一周后，美国东部时间10月21日早上，大半个美国互联网陷入瘫痪。受影响的网站包括PayPal, Twitter, GitHub, Amazon等多家知名网站。据报道，这次事故是因为DNS服务提供商Dyn被DDoS攻击导致，而据Dyn透露，这起攻击是由数百万个感染了Mirai的网络摄像头等物联网设备发起的，如果真是如此，那么这是继对Krebsonsecurity和OVH的大规模DDoS事件后，Mirai这个基于物联网的僵尸网络再一次发动的影响力较大的一次攻击事件。
关于攻击的细节和导致大面积网络瘫痪的原因已有各种解读，希望Dyn能够公开更详细的数据 。不管怎样，基于物联网设备的僵尸网络已经改变了全球DDoS攻击的趋势，它已经成为黑客DDoS工具的新宠，其拥有的潜在破坏能力已经不容小觑。下面我们将对物联网的僵尸网络情况，特别是Mirai的近况进行详细分析。

8.1  IoT僵尸网络工作原理

综合分析这些基于物联网设备的僵尸网络的感染和传播方式，大多都是通过高危漏洞、弱口令等获取设备shell权限，然后植入恶意程序，并使用已经感染的设备进一步扫描并尝试登陆其他设备，将可以成功登陆的设备信息发送给C&C控制端，再从控制端上去感染或由设备上被植入的脚本主动从控制端去下载恶意程序，就这样，全球范围内有大量的物联网设备不断地被感染。

我们以当前最活跃的Mirai僵尸网络为例，对僵尸网络主控端与Bot端的通信过程进行说明。不同的僵尸网络的主控端一般对应2类服务器，一类是用于向Bot客户端下发DDoS指令、扫描指令的，叫做指令服务器；一个是用于接收各Bot端扫描结果并向上报的目标植入恶意程序的，叫Report服务器（一般也用于恶意样本存储）。两类服务器与Bot端的通信使用不同的端口。Mirai僵尸网络各控制端和Bot端具体通信过程如下图所示。

8.2  IoT僵尸网络DDoS攻击能力

僵尸网络最主要的功能就是被黑客利用发起DDoS攻击或者直接提供DDoS租赁服务。全球大量的物联网设备，由于普遍存在弱口令等高危漏洞，长期在线无人问津，且一般会被分配给不错的带宽，俨然已经成为黑客僵尸网络的最佳感染目标。也正因为如此，基于物联网设备的僵尸网络不需要任何的反射放大协议就能轻松拥有Tb级别的攻击能力。
它们不但能轻松发起大流量的DDoS攻击，其攻击手段相比传统DDoS工具也毫不逊色，有些手段甚至更加高明.
除了可发起伪造源的DDoS攻击之外，使用僵尸网络还可以发起真实源的、甚至突破某些安全设备防护的应用层攻击。例如，某些恶意样本，攻击时可进行三次握手，且HTTP GET/POST攻击内置很多常见的refer和user-agent字段，攻击时通过使用随机的refer、user-agent来规避安全设备的检测，如8.3图所示；Luabot则内置了v7 Javascript引擎，用于绕过Cloudflare、Sucuri 等的基于Javascript 的防护机制。

8.3  Mirai僵尸网络主控端分布情况

截止到10月底，我们独立监控到的基于Mirai的僵尸网络主控端有23个，如下表所示。包含指令服务器、Report服务器及其使用的通信端口号，注册时间和更新时间。
表 8.1  Mirai 僵尸网络主控端列表

从这些服务器地址的注册时间或者更新时间来看，大部分都是在今年的5月份以后，尤其7月底至10月底最多，这段时间也恰巧是Mirai僵尸网络最活跃的时间。列表中的santasbigcandycane.cx是已泄露的Mirai源码中提到的主控端。
我们对这些僵尸网络进行了密切的监控，截止到本报告截稿时，表格中有部分控制端已经无法连上，但大部分依然比较活跃。推测由于近期Mirai的大流量DDoS攻击频现，各相关组织已经开始对其进行治理。
下图是我们监控到q5f2k0exxxx.ru这个僵尸网络的攻击指令，可以看到，其针对同一个目标在短时间段内分别发起了三次DDoS攻击，而且攻击手段在不断变化，分别是GRE IP Flood、ACK stomp Flood、HTTP Flood攻击，很可能攻击者是在试探目标网络的带宽承受及防御能力。

另外，这些主控端为了躲避检查，经常变换IP，根据其最后一次使用的IP进行查询，其主控端主要分布在欧洲（荷兰、法国、波兰、乌克兰），美国和日本。

8.4  Mirai僵尸网络Bot端分布

截止到10月底，我们统计到全球范围内仅感染Mirai的物联网设备的数量就已经达到1,508,059个，遍布全球的209个国家或地区。Mirai 僵尸网络Bot端全球分布情况如下图所示。

Mirai Bot端全球分布数量占比Top 10国家如下图所示，其中前3名是中国、越南、巴西，分别占全球总数的16%、14.7%和13.7%。剩余国家分别是印度、俄罗斯、土耳其、阿根廷、印度尼西亚、墨西哥和乌克兰。这10个国家就占据了全球总数量的68.4%。

8.5  Mirai全球扫描活动

Mirai僵尸网络通过扫描23和2323端口发现网络中新的感染目标，因此我们对其全球扫描的情况进行了监控。下图是截取了近一个月内其每日扫描23和2323端口次数的情况（EST时间）。10月21日之前针对23端口的扫描大概在15万次/日左右，针对2323端口的扫描大概在2万次/日左右。到10月22日，针对23端口的扫描开始大幅度增加，最高达34万次/日，后面几天略有震荡，总体趋势在缓慢下降；针对2323端口的扫描相比此前翻了一倍左右。推测10月22日扫描的骤增可能与Dyn 将21日导致美国大范围断网的矛头指向Mirai有关，这次着实让Mirai又火了一把，因此更多的黑客开始利用Mirai建造自己的僵尸网络。
尽管后面其趋势略有降低，但始终都高于10月22日之前的日扫描次数。可看出，Mirai僵尸网络在近一月内仍然比较活跃。可以预见到，随着全球大量物联网设备不断地接入互联网，感染Mirai的设备数量会继续飞速增长。

特别声明

为避免客户数据泄露，所有数据在进行分析前都已经匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。

威胁情报

威胁情报的获取及响应都体现了防御能力的建设程度，威胁情报服务体系至少包含了威胁监测及响应、数据分析及整理、业务情报及交付、风险评估及咨询、安全托管及应用等各个方面，涉及研究、产品、服务、运营及营销的各个环节，绿盟科技通过研究、云端、产品、服务等立体的应急响应体系，向企业和组织及时提供威胁情报，并持续对对匿名者攻击事件进行关注，保障客户业务的顺畅运行。

如果您对我们提供的内容有任何疑问，或者需要了解更多的信息，可以随时通过在微博、微信中搜索绿盟科技联系我们，欢迎您的垂询！

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。

了解更多：

1、NSFOCUS 2016 Q2 DDoS态势报告：https://blog.nsfocus.net/nsfocus-2016-q2-ddos-situation-report/

2、NSFOCUS 2016 Q1 DDoS态势报告：https://blog.nsfocus.net/nsfocus-2016-q1-ddos-situation-report/

3、NSFOCUS 2015 年度DDoS态势报告：http://https://blog.nsfocus.net/2015-annual-ddos-threat-report/

4、下载Q3报告：2016q3-%e7%bb%bf%e7%9b%9fddos%e6%8a%a5%e5%91%8a1208

如果您需要了解更多内容，可以
加入QQ群：486207500、570982169
直接询问：010-68438880-8669