深渊背后的真相之DDoS威胁与黑灰产业调查报告.pdf

%P4DDoS威胁与黑灰产业调查报告深渊背后的真相之深渊背后的真相之%P4声明本报告为 FreeBuf 与腾讯云、腾讯安全云鼎实验室、大禹联合研究成果。报告中所涉及的数据来自腾讯安全云鼎实验室、大禹及网上公开数据，或采取合法技术手段、深度调查、抽样调查等方式获取。由于统计方法不同、视角和数据观察维度不同，与市场实情可能存在一定误差。FreeBuf 和腾讯安全云鼎实验室对本文数据和内容拥有全部版权，未经许可不得擅自使用。 本报告最终解释权归 FreeBuf 和腾讯安全云鼎实验室所有。本文仅从学术角度做分析研究，任何非法行为都将受到法律严惩。关于腾讯安全云鼎实验室腾讯安全云鼎实验室，关注云主机与云内流量的安全研究和安全运营。利用机器学习与大数据技术实时监控并分析各类风险信息，帮助客户抵御高级可持续攻击；联合腾讯所有安全实验室进行安全漏洞的研究，确保云计算平台整体的安全性。相关能力通过腾讯云开放出来，为用户提供黑客入侵检测和漏洞风险预警等服务，帮助企业解决服务器安全问题。关于 FreeBuf 研究院FreeBuf 是斗象科技旗下、国内领先的互联网安全新媒体，每日发布新鲜安全资讯、技术剖析，分享国内外热门安全资源，是深受安全从业者与爱好者关注的网络安全网站与社区。FreeBuf 研究院则集结了行业内经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，进行专业的安全行业现状和趋势分析。目录声明 目录 第一章 概述 1.1 DDoS 概念及种类 1.2 DDoS 现状及趋势1.3 DDoS 产业链第二章 DDoS 热点事件与关键技术 2.1 DDoS 热点攻击事件 2.2 DDoS 新颖的攻击技术2.3 DDoS 关键防御技术 第三章 2018年 DDoS 攻击情况3.1 DDoS 攻击发生时间段3.2 DDoS 攻击持续时间3.3 攻击类型各流量区间分布3.4 全球 DDoS 攻击目标国家占比3.5 中国 DDoS 攻击目标各省份占比3.6 攻击目标行业分布3.7 僵尸网络 C2 服务器全球分布3.8 僵尸网络 C2 服务器国内分布3.9 典型攻击事例第四章 DDoS 产业链及新变化4.1 DDoS 产业链4.2 产业新变化第五章 安全建议附录参考来源关于报告1.1 DDoS 概念及种类DDoS 全名分布式拒绝服务攻击（Distributed Denial of Service），将多台设备联合起来作为攻击平台，对一个或多个目标发动拒绝服务攻击，使得攻击威力成倍提高。DDoS 攻击最早可追溯到1996年，这种古老的攻击方式经过近二十年的演变沿用至今。DDoS 攻击素来以成本较低、效果显著、影响深远为攻击者所青睐。目前主流的DDoS攻击方式主要包括传统攻击：ICMP Flood、UDP Flood、SYN Flood、HTTP Flood 等；反射放大攻击：NTP Flood、SSDP Flood、DNS Flood等；及根据攻击目标的特点进行的有针对性的混合攻击。据统计，2018年最流行的DDoS攻击方式包括异军突起的反射放大攻击、SYN Flood 和 HTTP Flood。从攻击类型来看，反射放大占比最多，约为55.8%。 Memcached 作为2018年三月以来的新兴反射放大力量，迅速被 DDoS 黑产界利用，其在整体的占比中也相当大。反射放大占比如此之多的一个原因是 DDoS 黑产的自动平台化，即无需人工干预，完全自动流程可完成攻击的所有操作。SYN Flood 排名第二，一直是 DDoS 的主要攻击手法。随着 DDoS 黑产的平台化，SYN Flood 的载体也发生了改变，由海量的肉鸡渐渐转移到了发包机上（以伪造源 IP 的 SYN Flood 为主）。HTTP Flood 作为7层攻击的主要方式，因为要建立完整的 TCP 连接，不能够伪造源 IP，所以还是以肉鸡侧发动攻击为主。但经调查发现，HTTP Flood 也开始向代理服务器和发包机发展。深渊背后的真相之DDoS威胁与黑灰产业调查报告Bc 1.2 DDoS 现状及趋势互联网大潮的冲击之下，人工智能、云计算、大数据、物联网等新技术愈发成熟，社会及企业数字化转型进入关键阶段，网络空间安全面临的威胁也在不断变化升级。作为影响最深远的安全威胁之一，DDoS 攻击仍然活跃。DDoS 攻击流量峰值每年都不断地被超越，上半年的一起 Memcached DDoS 攻击，其峰值1.7 Tbps 达到了一个新的高度。随着各行各业的互联网化，DDoS 的攻击面也越来越多。游戏行业因其日流水量最大、变现快，一直站在利益的风口浪尖上，当仁不让地成为 DDoS 首选的攻击目标，也是2018上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后，也遭受到了不同程度的攻击，且呈上升的趋势。高额利润催生精细化分工，DDoS 攻击也不例外。早年传统 DDoS 攻击往往由黑客一人承担工具开发、Bot 传播、接单、攻击实施，而新兴的 DDoS 服务则完成了多环节自动化发展，页端 DDoS 攻击平台已成为当下主流，成单率更高、响应速度更快、攻击效果更强。在资源不对等的大环境下，提升技术能力将成为未来防御 DDoS 攻击的关键。深渊背后的真相之DDoS威胁与黑灰产业调查报告1.3 DDoS 产业链深渊背后的真相之DDoS威胁与黑灰产业调查报告1.4 关键发现1.异军突起的反射放大攻击在2018年各类 DDoS 攻击中占比高达55.8%。2.2018上半年一起 Memcached DDoS 攻击，峰值 1.7 Tbps 创造新的历史记录。3.游戏行业成为 DDoS 攻击的首选对象，其中手机游戏超过 PC 客户端，第一次成为该类别的主要目标。4.美国依然是全球 DDoS 攻击的头号重灾区，国内 DDoS 被攻击省份集中在江浙、广东等发达地区。5.DDoS 产业化已经非常成熟，从业者们分工明确，并与其他黑灰色产业存在交集。6.各种主流的即时通迅工具及主流的网络商城成为 DDoS 攻击的主要发单渠道。7.暗网 DDoS 及 DDoS 服务平台为行业带来新变化，并有愈发壮大的趋势。2.1 DDoS 热点攻击事件2.1.1 DreamHost2017年8月24日上午9点20分，黑客利用 DDoS 攻击了网络托管服务提供商和域名注册商 DreamHost，使其 DNS 系统无法正常工作。有人认为攻击来自于那些反对处罚斯托默网站的人，斯托默网站是一个新纳粹网站。网站原本搭建在 CloudFlare，之后因抗议 CloudFlare 终止了服务。几个小时后，DreamHost 恢复了相关服务。2.1.2 英国国家彩票2017年9月30日当地时间19:00，不法分子针对英国国家彩票进行了 DDoS 攻击。这次袭击使得彩票网站 national-lottery.co.uk 及其移动应用程序离线，导致英国公民无法正常购买彩票。当地时间23:00，大部分服务都被恢复。但彩票的网站和应用程序继续遇到小故障，直到03:00才完全修复。2.1.3 ElectroneumElectroneum 加密货币公司 ICO 之后，收集了价值4000万美元的比特币和以太币。就在2017年11月2日 Electroneum 推出其移动挖矿程序前夕，公司网站遭受到了大规模 DDoS 攻击。攻击使得 Electroneum 用户账户被锁定。与此同时，金融市场行为管理局提醒投资者，ICO 不受任何法律保护。深渊背后的真相之DDoS威胁与黑灰产业调查报告=c%P4 Yq1o/ 2.1.4 波士顿环球报2017年11月8日美国东部时间15:00，波士顿环球公司遭到了 DDoS 攻击。攻击针对 bostonglobe，扰乱了报社的电话和编辑系统。随后，黑客在次日再次实施了攻击。许多波士顿环球员工的工作被迫暂停， bostonglobe 无法访问。当公司的互联网服务提供商实施有效的反 DDoS 措施后，服务在下午被修复。2.1.5 GitHub2018年3月，知名代码托管网站 GitHub 遭遇了 Memcached DDoS 攻击，攻击流量峰值达到1.35 Tbps。短短一周不到，美国一家服务提供商也受到了同样攻击，流量峰值达到史无前例的1.7 Tbps。不法黑客利用 Memcached DDoS 攻击反射放大的特点，凭借其超5万倍的反射放大倍数，刷新了 DDoS 攻击的流量峰值记录。2.1.6 育碧2018年7月，育碧服务器再次遭到 DDoS 攻击，从7月12日开始玩家就遇到了接连不断的游戏登陆问题。虽然育碧在几个小时之后处理了这些问题，但几天之后游戏的连接匹配问题再次发生。根据育碧官方报告，这次大规模的连接问题是由于他们的服务器受到了 DDoS 攻击，导致许多游戏受到了延迟影响，包括孤岛惊魂5、彩虹六号：围攻、荣耀战魂、幽灵行动：荒野以及极限巅峰。深渊背后的真相之DDoS威胁与黑灰产业调查报告深渊背后的真相之DDoS威胁与黑灰产业调查报告2.2 DDoS新颖的攻击技术2018年上半年的 DDoS 攻击流量类型统计结果显示，UDP Flood 无论从攻击流量还是从攻击次数来看，都占有绝对的优势。UDP Flood 的主要流量来源于 UDP 反射放大攻击，这些反射放大攻击使用了一些基于 UDP 协议不需要验证的服务器，且接收数据远大于发送数据，攻击者通过伪造源 IP 为受攻击者的 IP， 利用互联网中分布众多的服务器带宽资源发起攻击。2018上半年攻击流量占比统计 2018上半年攻击次数占比统计66%UDPFLOOD18%SYNFLOOD7%ACKFLOOD7%ICMPFLOOD2%RSTFLOOD59%UDPFLOOD13%SYNFLOOD22%ACKFLOOD5%ICMPFLOOD1%RSTFLOOD常见的反射放大攻击利用的协议有 SSDP、NTP、DNS、CHARGEN 等，但在与黑客斗智斗勇的过程中，新的方法总是层出不穷，上半年就新出现了利用 Mem-cached 协议、IPMI 协议的新型反射攻击，同时还有混合在众多攻击中的 TCP 反射攻击。