內容遞送網路(Content Delivery Network;CDN)服務廠商Akamai日前發表「2015年第二季網際網路現狀—安全報告」,針對全球雲端安全威脅現狀提供分析與見解。
Akamai雲端安全事業單位副總裁John Summers表示:「分散式阻斷服務(DDoS)所導致的威脅和網路應用程式攻擊在每一季持續增加,惡意份子不斷藉由變更策略、尋找新的資安漏洞,甚至重新採用已過時的陳舊技術來改變遊戲規則。透過分析Akamai網路上所觀測到的攻擊,我們得以辨識出新興威脅和趨勢,並提供大眾各種資訊,以強化網路、網站和應用程式,並改善雲端的安全狀況。」
他表示,「本季的報告中,我們不僅多加入了兩個網路應用程式攻擊媒介的分析,也檢視洋蔥路由器(The Onion Router;Tor)流量造成的感知威脅,甚至在被弱點資料庫(CVE)發佈過的WordPress第三方外掛程式中揭露了一些新的資安漏洞。對於網路安全威脅的瞭解越是深入,就越能成功捍衛自家企業。」
DDoS攻擊行動一覽
在過去三季之內,DDoS攻擊的數量一年又一年的以倍數增長。雖然本季攻擊者較偏好威力較弱歷時較長的攻擊方式,但危險的大型攻擊數量仍在攀升中。2015年第二季中,有12次攻擊的最高峰超過每秒100 Gigabit(Gbps),5次攻擊每秒封包數(Mpps)超過5000萬。極少企業組織可憑一己之力承受如此的攻擊。
2015年第二季最大型的DDoS攻擊,經測量流量超出每秒240 Gigabit(Gbps),且持續超過13個小時。頻寬高峰通常限於一至兩個小時之間。我們在2015年第二季還觀察到Prolexic Routed網路上破紀錄的最高封包速率攻擊之一,其高峰值達到214 Mpps。此種攻擊量足以摧毀由如網際網路服務供應商(ISP)等所使用第一層路由器(tier 1 router)。
DDoS攻擊行動在2015年第二季中創下了新記錄,與2014年第二季相比增加了132%,與2015年第一季相比則是增加了7%。2015年第二季攻擊的平均高峰頻寬和容量相較於第一季稍微提高,但明顯低於2014年第二季的高峰平均值。
SYN與「簡易服務探索通訊協定(Simple Service Discovery Protocol;SSDP)」是本季最普遍的DDoS攻擊媒介 — 各占約16%DDoS攻擊流量。隨著使用「通用隨插即用通訊協定(Universal Plug and Play;UPnP)」的不安全家用網際網路連線裝置持續激增,這也引誘攻擊者將其用作為SSDP反射器。一年前還無法想見,SSDP攻擊會在過去三季躋身前幾名的攻擊媒介。SYN洪水攻擊仍是所有巨量攻擊最常見的媒介之一,這種現象可回溯至2011年第三季第一版的安全報告。
自2014年第二季起,線上遊戲一樣是最容易成為目標的產業,持續占了35%的DDoS總攻擊數量。中國仍是前兩季中非欺騙式攻擊流量的最大來源,且該國在2011年第三季第一份發布的安全報告便一直是名列前三大攻擊來源國。
與2014年第二季相比
- DDoS攻擊總數增加132.43%
- 應用程式層(第7層)DDoS攻擊增加122.22%
- 基礎架構層(第3和4層)的攻擊增加133.66%
- 平均攻擊時間增加18.99%:20.64(2015年第二季) 對17.35小時(去年同期)
- 平均高峰頻寬下降11.47%
- 平均高峰數量減少77.26%
- 流量大於100 Gbps的攻擊增加100%:12(2015年第二季) 對6(去年同期)
與2015年第一季相比
- DDoS攻擊總數增加7.13%
- 應用程式層(第7層)DDoS攻擊增加17.65%
- 基礎架構層(第3和4層))的攻擊增加6.04%
- 平均攻擊時間減少16.85%:20.64(2015年第二季) 對24.82小時(去年同期)
- 平均高峰頻寬上升15.46%
- 平均高峰數量增加23.98%
- 流量大於50 Gbps的攻擊增加100%:12(2015年第二季)對8(去年同期)
- 中國仍與2015年第一季相同為本季DDoS攻擊最多的國家
網路應用程式攻擊活動
Akamai於2015年第一季開始發布與網路應用程式相關數據。本季新增兩種攻擊媒介的分析:Shellshock與跨網站指令碼(XSS)。
Shellshock是2014年九月首次追蹤到的Bash錯誤漏洞,在本季被利用於49%的網路應用程式攻擊。然而,有95%的Shellshock攻擊鎖定的是金融服務業中的單一客戶,並採取持續的侵略性攻擊活動,在本季初持續了數週。由於Shellshock攻擊通常發生在HTTPS上,這些攻擊活動改變了HTTPS與HTTP攻擊之間的平衡。在2015年第一季僅有9%的攻擊出現在HTTPS上,而本季則有56%發生在HTTPS頻道上。
除Shellshock之外,SQL插入(SQLi)攻擊占了總攻擊數量的26%,這代表光是第二季,SQLi警報就增加了超過75%。相對地,本機檔案引入(LFI)攻擊的數量在本季大幅減少。縱然LFI攻擊在2015年第一季為網路應用程式攻擊最大宗的媒介,在第二季僅占了警報的18%。遠端檔案引入(RFI)、PHP插入(PHPi)、指令插入(CMDi)、OGNL Java插入(JAVAi)以及惡意檔案上傳(MFU)攻擊等,共占了網路應用程式攻擊的7%。
與2015年第一季相同的是,金融服務和零售業仍是最常受到攻擊的產業。
WordPress第三方外掛程式和佈景主題的威脅
WordPress是全球最受歡迎的網站和部落格平台,對那些想利用數百個已知漏洞來建立殭屍網路、散播惡意軟體和發動DDoS攻擊活動的攻擊者來說,WordPress是極具吸引力的目標。
第三方外掛程式幾乎都未經過程式碼審查。為了更加瞭解威脅的範圍,Akamai針對1,300件以上最熱門的外掛程式和佈景主題進行了測試。測試結果顯示,其中25件個別外掛程式和佈景主題上,至少可分別辨識出一項新漏洞。部份案例中的外掛程式和佈景主題有多重漏洞 — 共計49項潛在漏洞。安全報告內有附上新發現資安漏洞的完整列表,及如何強化WordPress程式安裝的相關建議。
Tor的優缺點
洋蔥路由(TOR)專案確保連網登錄節點不會與出口節點重疊,可提供給使用者匿名的保護。縱使Tor有許多合法的使用方式,其匿名性也使其成為惡意份子愛用的選擇之一。為了應對允許Tor流量進入網站所隱含的風險,Akamai在七天時間,對Kona安全防護客戶群的網路流量進行了分析。
分析顯示99%的攻擊來自非Tor的IP。不過380個來自Tor出口節點的請求之中,就有1個為惡意行動。相較之下,來自非Tor的IP的11,500請求中,僅有1個是惡意的。這表示,封鎖Tor流量可能會對業務造成負面影響。然而對電子商務相關頁面所提出的合法HTTP請求,則顯示Tor出口節點的轉換率和非Tor IP相去不遠。
如欲免費下載「2015年第二季網際網路現狀–安全報告」的PDF檔案,請至www.stateoftheinternet.com/security-report。