据绿盟科技全球DDoS态势感知平台监控数据分析显示,Q2发生DDoS攻击事件有所下降,平均攻击峰值也有所降低,但攻击手段呈现复杂化,因此总体攻击态势依然严峻。

全球攻击态势

绿盟科技监控数据显示,Q2全球被DDoS攻击次数达到50,988次。

攻击流量趋势

Q2单一时间点攻击流量峰值1.8T,单次攻击峰值445.7G,300G以上的攻击16次。

DDos攻击峰值

Q2季度的DDoS平均攻击峰值有所下降,Q2平均攻击峰值为16.7Gbps,相比Q1的27Gbps下降38.1%。

在2016年5月18日8点,观测到的总体攻击流量峰值达到 1.8Tbps,比Q1季度的1.2Tbps增长600Gbps。

本季度DDoS攻击单次最高峰值为445.7Gbps,相比Q1季度的615.1Gbps峰值有所下降。

本季度拥有最高攻击峰值的DDoS攻击发生在5月中旬,引人注意的不仅是该次DDoS攻击的高峰值,还有此次攻击是利用TCP(含SYN、RST ACK、RST、TCP Flag Misuse等)和 UDP流量发起的混合攻击,主要针对TCP和UDP 53端口,攻击高峰持续了将近一个小时。针对同一目标的DDoS攻击,从4月初就已经开始,断断续续直到6月底才彻底结束。除了上述混合攻击外,针对该目标,攻击者还多次采用了DNS Request Flood和UDP Flood 混合的脉冲攻击,脉冲波峰和波谷持续时间不断变换,有时半小时1次波峰,有时10分钟一次波峰,攻击者试图探测该目标流量处理能力的极限。

对这些攻击进行溯源分析,我们看到,攻击者轮流调用分布在全球范围约3万4千个僵尸主机发起DDoS攻击。该僵尸网络主要为Billgates botnet的一个变种,被控的主机大部分为带有高危漏洞或者弱口令的服务器,攻击峰值较大的肉鸡主要来自云端,另外少部分是被控制的网络监控摄像头。

攻击时间趋势

Q2平均攻击时长1.6小时,单次攻击最长387小时71T。

Q2季度平均攻击时长为1.6小时,攻击时长在30分钟以下的攻击继续增长,占总数的77.6%,比Q1季度增加21.6%。本季度攻击时长超过1天的攻击占总攻击次数的3.2%,比上一季度下降了8.7%。我们监控到最长的一次DDoS攻击持续了387小时,累计总攻击流量达71TBytes。

以上几点变化反映了Q2季度DDoS攻击更趋于短时攻击。其主要原因在于本季度反射攻击、混合攻击、脉冲攻击更加活跃,攻击者选择的攻击手段趋于复杂化,使用更短的时间就达到更好的攻击效果。

攻击类型趋势

从攻击次数占比看,Chargen发生攻击为27.6%,从攻击流量占比来看,SYN为54.7%。

从攻击次数和攻击总流量占比来看,SYN Flood攻击依然在所有攻击类型中占比重较大,分别为15.8%、54.7%。另外,Q2季度各类型反射攻击比较活跃。

从攻击次数占比来看,Q2季度反射类型的攻击占总攻击次数的62.1%,其中NTP反射、CHARGEN反射、SSDP 反射攻击较多。

混合攻击趋势

从流量来看,混合攻击占总比33.7%,其中2-3种混合攻击占97.4%。

反射攻击趋势

Q2季度反射类型攻击比较活跃,我们对各类反射攻击的次数和流量分别进行了统计。

从攻击次数上看,本季度CHARGEN Reflection Flood攻击最为活跃,攻击次数占比38.1%,其次是NTP和SSDP Reflection Flood。

从攻击流量上来看,NTP Reflection Flood攻击流量占比最多,为36.1%,其次是DNS Reflection Flood攻击,攻击流量占比为24.8%。

特别声明

为避免客户数据泄露,所有数据在进行分析前都已经匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息,均不会出现在本报告中。

了解更多

绿盟科技威胁响应中心和 DDoS 攻防研究实验室持续关注 DDoS 攻击事件的进展,如果您需要了解更多信息,请访问:

数据来源:绿盟科技全球DDoS态势感知平台