2018中国互联网安全报告.pdf

中国互联网安全报告CHINA INTERNET SECURITY REPORT2018编者的话随着人类社会信息化与数字化进程的不断推进，互联网在我国政治、经济、文化、社会生活等领域的作用越来越重要。然而，伴随着互联网技术与应用的蓬勃发展，网络安全问题层出不穷，给社会经济活动和日常生活带来了极大的危害与损失。作为全球第二大的CDN服务提供商，网宿科技承载了超过20%的中国互联网WEB流量，网宿安全实验室积累了海量的攻击样本和庞大的威胁情报信息库，涵盖了全网各行业的恶意IP、网马、恶意URL、恶意病毒、木马、Block-ist.de、攻击族群等攻击类型。基于此，网宿云安全平台提供DDoS防护、Web应用防护、业务安全防护、态势感知、安全评估等全方位的安全产品及解决方案，构筑新一代智能安全防护体系。本报告是网宿科技发布的第六期互联网安全报告，报告中的数据来自于网宿智能平台在2018全年监测到的网络攻击行为与事件。我们将结合威胁情报技术和自身攻防经验为企业提供防御技术、网络体系、数据安全、合规、安全管理等多方面的信息与建议。“ c第一章 本期报告概览与要点1.1     2018年恶意爬虫攻击概览与趋势 1121.2     2018年DDoS攻击概览与趋势1.3     2018年Web应用攻击概览与趋势第三章 DDoS攻击解读3.1     2018年DDoS攻击峰值连续2次打破历史纪录 73.2     超过73.37%的攻击源集中在四川、北京、广东等地 83.3     50Gbps、两小时以内的DDoS攻击占据主流 83.4     SYN_Flood攻击是黑客青睐的DDoS攻击方式 93.5     游戏依然是遭受攻击最严重的行业 10第四章 Web应用攻击解读第五章 趋势展望及建议4.1     2018年Web应用攻击翻番增长 114.2     北京、上海等地是发起Web攻击的主要区域 124.3     政府网站成为2018年Web应用攻击的重灾区 124.4     SQL注入占全年Web攻击总数近半 134.5     基于大数据和人工智能技术的Web防护新思路 1414第二章 恶意爬虫攻击解读2.1     北京成为恶意爬虫攻击的主要地区 22.2     超过63.78%的攻击源来自广东、江苏等发达地区 32.3     交通运输、生活服务行业成为恶意爬虫的重灾区 42.4   “羊毛党”是如何团队作战的？ 52.5     传统防薅羊毛手段：走在用户体验和反爬虫的钢丝上 662.6     爬虫正变得更“聪明”，智能反爬成趋势第一章 本期报告概览与要点1.1.2018年恶意爬虫攻击概览与趋势基于网宿科技在全球广泛部署的安全节点，2018年，网宿云安全平台共监测与拦截了9663多亿次攻击行为，平均每天为全球网站抵御与防护约26.47亿次攻击。本期报告重点分析云上恶意爬虫攻击、网络层DDoS攻击、Web应用攻击等三类网络安全威胁，从攻击量、攻击类型、攻击时长、攻击规模、受攻击行业、攻击源、被攻击区域、新型攻击手段等维度进行全面分析。2018年，网宿云安全平台共监测并拦截了75.46多亿次有针对性的爬虫攻击事件，平均每秒发生240起攻击。超过63.78%的恶意爬虫流量分布在广东、江苏、山东、浙江等地区；海外恶意爬虫流量主要分布于美国、巴西、俄罗斯、日本等国家。从全国受攻击的区域看，北京最为严重，占比52.44%，其次是上海、浙江、山西。交通运输行业（包括航空、物流、快递、铁路等）依然是2018下半年遭受恶意爬虫流量攻击最为严重的行业，这一行业的恶意爬虫攻击事件占总攻击事件的34.23%，其次是生活服务类与政府机构。1.2.2018年DDoS攻击概览与趋势12018年，网宿云安全平台共监测并拦截了9578.88多亿攻击DDoS攻击事件（含网络层与应用层），平均每秒发生3.03万次攻击。其中，下半年全网共发生4948.78多亿次DDoS攻击事件（含网络层与应用层），平均每秒发生3.14万次攻击。下半年网络层DDoS攻击频率激增，共监测到网络层DDoS攻击2993358起，平均每天发生16447起，较上半年增长了120.9%。全年DDoS攻击带宽峰值再创新高，达1.02Tbps，打破了网宿上半年防御的809Gbps的最高纪录。游戏依然是2018年下半年被攻击最严重的行业，其次是金融行业，DDoS攻击行为越来越具有针对性。绝大多数攻击事件带宽在50Gbps以内，占整体攻击事件的95.97%。虽然大多数攻击在2小时以内结束，最长的一次攻击依然持续了11小时，表明在短时长攻击成为主流的形势下，攻击者同时越发善于打“持久战”。SYN Flood仍然是最常用的攻击手法，多向量的DDoS攻击逐渐取代了传统单一的攻击方式。图1：2018年受恶意爬虫攻击省份区域分布图60.00%50.00%40.00%30.00%20.00%10.00%0.00%北京 上海 浙江 江苏山西 广东 湖北 湖南 其他安徽52.44%8.82%8.30%5.14%7.55%10.72%2.13%0.58% 0.01%4.31%第二章 恶意爬虫攻击解读21.3.2018年Web应用攻击概览与趋势2.1 北京成为恶意爬虫攻击的主要地区2018年，网宿云安全平台一共监测与拦截Web应用攻击9.53亿次，相较于2017年，呈翻倍式增长，平均每秒发生31起攻击。国内攻击源IP中超过65.56%的流量攻击来源主要分布在北京、上海、浙江等地区；相比2017年攻击源有从主要省份向全国性发散的趋势。纵观各攻击类型的占比，SQL注入与跨站脚本依然是最主要的攻击方式，占总攻击事件数的59.13%以上。政府机构依然是Web应用攻击的重灾区，电商、金融、图文资讯行业受攻击程度较大。2018年，爬虫（Bot）流量已遍布于互联网上的各个行业，爬虫技术日益复杂，造成的损失也在日益加大。著名的Bot攻击事件如2018年8月，旅游电商平台上被传使用土耳其里拉支付购买某航空公司机票退票赚取逆差汇率事件，以及2018年12月，某咖啡品牌上线“APP注册新人礼”薅羊毛事件。2018年网宿云安全平台共监测并拦截了75.46亿多次有针对性的爬虫攻击事件，且大部分发生在下半年。本报告中网宿平台通过对各行业所受攻击情况进行分析，为企业用户与其他用户在应对攻击时有迹可循，并为其提供可靠的安全指南。本报告通过对攻击目标的全国归属地分析发现，北京地区成为了2018年恶意爬虫攻击的主要“光顾”区域，占全国区域的52.44%，广东（10.72%）、上海（8.82%）等地的受攻击程度次之。2.2.超过63.78%的攻击源来自广东、江苏等发达地区通过对网宿威胁情报库信息进行分析发现，超过63.78%的恶意爬虫流量主要分布在广东、江苏、山东、浙江等地区，原因在于这些区域集中了国内多数的服务器资源，而大部分的爬虫流量也主要来自于这些服务器资源。这些地区互联网气氛活跃，互联网模式在这些地区中衍生出各类生活服务，如：共享经济、外卖、旅游、交通出行等，贯穿生活方方面面，在促进这些地区发展同时也产生了各行业有价值的数据资源，数据价值背后的利益是同行业信息互爬、黄牛抢票、刷单等竞争造成这些地区恶意爬虫攻击事件增加。图2：2018年恶意爬虫源IP TOP10省份分布图广东 江苏 山东18.00%16.00%14.00%12.00%10.00%8.00%6.00%4.00%2.00%0.00%浙江16.96%13.67%12.47%11.33%北京9.35%四川8.77%上海8.01%河南7.70%湖北6.62%福建5.13%3通过对交通行业全年分布的情况进行分析发现，爬虫攻击主要集中在春季与冬季（占了全年的75.8%），恰好与节假日出行旅游、春运等时间节点存在正相关。近年来，中等收入人群消费兴起叠加移动互联网加速发展，旅游快速兴起，催生了交通运输业线上服务的繁荣市场，各平台的个人出行数据、航班票价、热门目的地、官网优惠活动等信息所产生的数据价值成了爬虫关注爬取的内容。而通过“智能刷票软件”、“超高速网络”等兴起的爬虫手段成为了交通运输行业爬虫攻击的主要方式。同时，生活服务行业（旅游票务、酒店娱乐、生活资讯、外卖点评、分类信息）在2018年所遭受的攻击占全部攻击总量的23.44%，增长11%。究其原因，主要在于为用户提供这些服务的旅游票务、酒店娱乐等平台，往往拥有最大的用户基数和最丰富的数据，也容易成为黑产觊觎的目标。2.3.交通运输、生活服务行业成为恶意爬虫的重灾区通过对2018年多行业的数据进行分析，报告得出2018年全年受攻击排行TOP10行业。其中，交通运输行业是爬虫攻击最严重的行业（28.84%），其次是生活服务（23.44%）、图文资讯（15.57%）等行业，如图3所示：图4：2018年交通行业恶意爬虫流量攻击全年分布情况1月 2月 3月25.00%20.00%15.00%10.00%5.00%0.00%4月9.03%10.32%11.64%2.73%5月2.27%6月2.92%7月1.57%8月5.68%9月9.05%10月8.09%11月13.81%12月22.91%图3：2018年恶意爬虫攻击行业分布图23.44%7.22%视听影视政府机构生活服务信息服务传统企业交通运输游戏金融电商图文资讯0.35%15.57%0.28%28.84%3.01%6.32% 0.63%14.34%4Step1：准备阶段薅羊毛需要有海量的账号，羊毛党们利用打码平台和卡商提供的海量手机号在平台批量注册账号，用于之后的营销活动中。同样地有另外一波人在实时关注着各大平台的优惠信息，寻找下一个可薅的猎物。待黑产上游人员完成账号的批量注册之后，便会在各种平台兜售账号以获利，将薅羊毛的重任交由给下一棒选手完成。Step2：攻击阶段海量的账号密码到达刷单团伙手里，同样可以通过爬虫工具实现优惠券的自动获取，秒杀产品的自动下单。2.4.“羊毛党”是如何团队作战的？恶意羊毛党一直以来被认为是互联网企业的一大痼疾。通常情况下，羊毛党利用手头的资源（如黑卡）到各个平台注册新用户，平台的活动经费绝大部分落入羊毛党口袋中，真实用户获益无几，甚至羊导致企业服务器被挤爆，真实用户无法使用服务。那么，恶意羊毛党是如何团队作战的呢？以电商优惠活动为例，羊毛党往往用采用如下手段，如图5所示：图5：恶意羊毛党团队作战流程Step1：准备黑卡资源团伙0元单秒杀实物奖励优惠券Step2：攻击 Step3：套现IP、设备等资源挖掘团伙账号出售团伙 刷单团伙用户活动资源挖掘团伙短信代接平台人工打码平台账号批量注册软件开发账号登录软件开发刷单、扫优惠券软件开发软件制作团伙电商活动资源非法获取 转卖获利5Step3：套现阶段通过作弊手段获得的虚拟资产、实物奖品等，由黄牛在各个论坛物色买家，以低于市场价，高于羊毛价的形式出售，从而赚取价差。在这个阶段也可以利用爬虫工具在综合信息平台批量发帖，长期霸屏，节省人力的同时增加曝光率。在这一套流程中，有的人身兼数职，从头到尾都一手包办，有的人只在其中担任中间商或者掮客的角色，从而分一杯羹。2.6.爬虫正变得更“聪明”，智能反爬成趋势从2018年多起恶意羊毛党印发的事件中，可以看出，对于平台来说，低效、粗暴的反爬机制，带来的是真金白银的损失和用户体验的急剧下降。纵观2018年网宿云安全平台监测到的爬虫攻击事件来看，爬虫正在变得更加复杂和“聪明”。随着爬虫技术和工具的演进，区别于过去“一把抓”似的爬取数据，现在的爬虫不仅更加会模仿人类行为，且更懂得“有的放矢”，有针对性地爬取更有价值的数据。例如，从网宿云安全平台的统计数据可以看出，每年的3月份，爬虫流量会上升到一个高峰，这段时间是高校学生撰写毕业论文的时期，很多学生利用爬虫工具大量爬取互联网上的信息，造成了爬虫流量的大幅波动。此外，越来越多证据表明，黑灰产业已经在使用大数据和人工智能技术来绕过传统的反爬机制。例如，传统的反爬机制通过IP限制、验证码、设备指纹等方式过滤恶意爬虫，而攻击者通过代理修改IP、利用群控平台控制多个手机，修改手机的设备信息，通过打码平台批量识别验证码，传统手段构筑的防线都被一一绕过。面对越来越智能的攻击，实施基于大数据和人工智能的反爬策略愈加重要。例如，基于AI的机器识别技术能够智能区分正常请求与Bot请求，在用户无感知的前提下保证业务安全；大数据安全分析技术，能够实现全网联动和智能人机识别，实现用户无感知的防护。2.5.传统防薅羊毛手段：走在用户体验和反爬虫的钢丝上大促之战一触即发，当零点的号角吹响，“爬虫”和普通用户同时涌进网站的大门，在自动化工具的高频操作和千兆带宽的双重夹击之下，普通用户很快败下阵来。 对于普通用户来说，如果电商的优惠券或者秒杀商品抢不到，对于购物欲望是极大的打击。为了防薅羊毛，商家们不可谓不努力，从请求限速到祭出验证码，虽然过滤了一部分低级爬虫，普通用户也哀鸿遍野，伤敌一百，自损八千。6第三章 DDoS攻击解读2018年网宿云安全平台监测到全网网络层DDoS攻击事件达322万余次。其中，下半年是DDoS攻击的高发期，攻击事件数量比上半年增长了120.9%。3.1.2018年DDoS攻击峰值连续2次打破历史纪录最近几年，网宿云安全平台所抵御的DDoS攻击峰值逐年增加。随着新的攻击方式的不断演进，越来越多的肉鸡资源可供于发起大流量DDoS攻击，此外，激烈的市场竞争环境也进一步导致了DDoS攻击流量的攀升。2018年4月，网宿云安全平台抵御了带宽峰值达809.82Gbps的DDoS攻击，打破了2017年带宽峰值 632Gbps的历史纪录； 2018年11月22日凌晨04:23，网宿云安全平台成功防御一起攻击流量高达1.02Tbps的DDoS攻击，再次打破了网宿上半年的最高防护记录。越来越低的攻击成本，使得发起DDoS攻击的门槛降低，更容易发起大流量攻击攻击行为，传统的拼带宽拼资源的方式已经无法满足当前大流量攻击的防御需求，值得企业重视。图6：2018年DDoS攻击概览1月 2月 3月70000060000050000040000030000020000010000001200.001000.00800.00600.00400.00200.0004月809.825月 6月 7月 8月685.959月 10月 11月1020.0012月526.96237.35488.89613.23469.14389.78640.62325.08439.29攻击次数 攻击峰值7