Akamai Intelligent Platform Content delivery network Akamai DDoS CDN

DDoS、網路攻擊激增 重複攻擊已成標準模式

2016-03-08
內容遞送網路(Content delivery network,CDN)服務的全球知名廠商Akamai發佈「2015年第四季網際網路現狀-安全報告」。本季報告針對Akamai Intelligent Platform平台上所觀察到的惡意活動提供深入分析,並詳述全球雲端安全威脅概況。如需下載報告,請造訪www.stateoftheinternet.com/security-report。
Akamai資訊安全事業單位資深副總裁兼總經理Stuart Scholly表示:「DDoS和網路應用程式攻擊的威脅並未緩解,Akamai客戶每季所面臨的攻擊數量仍持續攀升。相較於第三季,2015年第四季的網路應用程式攻擊數量激增了28%,DDoS攻擊則增加了40%。惡意攻擊者毫不退縮,他們會不斷地重複攻擊相同目標,等待其防護終有瓦解之時。」

在第四季,重複的DDoS攻擊已成標準模式,每位被攻擊的客戶在第四季內平均遭受24次攻擊,而有三個攻擊目標分別遭受超過100次攻擊,其中一位甚至經歷了188次攻擊,平均每天經歷超過2次攻擊。

DDoS攻擊行動一覽

在第四季,Akamai在路由解決方案上緩解了超過3,600次DDoS攻擊,攻擊數量是一年前的兩倍以上,絕大部份是利用租用型殭屍網路發動。這些受雇型DDoS攻擊極度依賴反射技術來擴增他們的流量,通常沒有能力發動大型攻擊,因此,2015年大規模攻擊數量相較2014年來得少。此外,租用型網站通常有使用時間限制,使得平均攻擊時數降至15個小時以下。

反射式DDoS攻擊,2014年第四季- 2015年第四季

基礎架構層(第3和第4層)攻擊在數個季度以來比例向來最高,第四季所觀察到的攻擊有97%皆屬這類攻擊。在2015年第四季中,21%的DDoS攻擊含有UDP片段,這些攻擊有些是源自於反射式攻擊的放大效果,主要是CHARGEN、DNS與SNMP通訊協定的濫用,導致龐大的有效負載(Payload)。

相較於第三季,NTP和DNS攻擊的數量皆大幅攀升。內建安全功能的網域(DNSSEC)通常會產生更龐大的回應資料,因為惡意攻擊者試圖濫用這些網域,使得DNS反射式攻擊增加92%。儘管NTP反射的運算資源已隨時間耗盡,NTP攻擊仍有所增長,增幅逼近57%。

多媒介(Multi-vector)攻擊則為另個常見趨勢。在2014年第二季,僅有42%的DDoS攻擊採用多媒介手法;到了2015年第四季,已有56%的DDoS攻擊採用此攻擊手法。雖然大部份多媒介攻擊僅使用兩種攻擊媒介(佔全部攻擊的35%),在第四季所觀察到的攻擊中有3%採用5至8種媒介。

第四季最大攻擊的尖峰流量高達309 Gbps與202 Mpps,遭受此攻擊的客戶為軟體科技產業,該攻擊使用罕見的SYN、UDP和NTP攻擊組合,由XOR和BillGates殭屍網路所發動。該次是持續攻擊行動的一部分,受害者在8日內遭受19次攻擊,另在一月初亦曾遭受攻擊。

第四季逾半數的攻擊(54%)是針對遊戲公司,另有23%是以軟體和科技產業為目標。

DDoS攻擊概覽

與2014年第四季相比

‧DDoS攻擊總數增加148.85%

‧基礎架構層(第3和第4層)攻擊增加168.82%

‧平均攻擊時數減少49.03%:14.95(2015年第四季)對29.33小時(2014年同期)

‧流量超過100 Gbps的攻擊減少44.44%:5(2015年第四季)對9件(2014年同期)

與2015年第三季相比

‧DDoS攻擊總數增加39.89%

‧基礎架構層(第3和第4層)攻擊增加42.38%

‧平均攻擊時數減少20.74%:14.95(2015年第四季)對18.86小時(2015年第三季)

‧流量超過100 Gbps的攻擊減少37.5%:5(2015年第四季)對8件(2015年第三季)

網路應用程式攻擊活動

雖然上一季的網路應用程式攻擊數量增加了28%,但是兩季透過HTTP和HTTPS傳送的網路應用程式攻擊比率則相當一致:第四季有89%的攻擊透過HTTP傳送,而第三季則為88%透過HTTP傳送。

本季最常見的攻擊媒介為LFI(41%)、SQLi(28%)、PHPi(22%)、XSS(5%)與Shellshock(2%),剩餘的2%攻擊則包含RFI、MFU、CMDi和JAVAi攻擊。透過HTTP和HTTPS傳送的攻擊中,除PHPi外各個攻擊手法所佔比例相似。透過HTTPS傳送的攻擊中,僅有1%採用PHPi。

第四季的網路應用程式攻擊中有59%以零售商為攻擊目標,第三季則為55%。媒體娛樂業與飯店旅遊產業是第二常見的攻擊目標,分別遭受10%的攻擊。而在第三季的第二常見攻擊目標的金融服務產業(15%的攻擊量),本季卻僅遭受7%的攻擊。

延續第三季的趨勢,美國不但是網路應用程式攻擊的主要來源(56%),同時亦是最常被攻擊的目標(77%)。巴西是第二大的攻擊來源(6%)與第二個最常被攻擊的國家(7%),這似乎與一家大型雲端基礎架構即服務(IaaS)供應商在巴西開設新的資料中心有關。Akamai發現,自資料中心開設以來,源自巴西(特別是上述資料中心)的惡意流量即大幅增長,而這類攻擊大部份針對一位巴西籍的零售產業客戶。

在第四季報告中,我們利用ASN辨識出網路應用程式攻擊流量的10大來源,並針對相應的攻擊類型、有效負載與頻率進行分析。其中10個較為有趣的攻擊案例及其有效負載請參閱第3.6節。

網路應用程式攻擊評估指標-與2015年第3季比較

‧網路應用程式攻擊總數增加28.10%

‧HTTP網路應用程式攻擊增加28.65%

‧HTTPS網路應用程式攻擊增加24.05%

‧SQLi攻擊增加12.19%

掃描與刺探活動

在攻擊前,惡意攻擊者依賴掃描程式和刺探活動來偵察他們的目標。運用Akamai Intelligent Platform提供的防火牆資料進行分析後,我們發現偵察活動最常使用的連接埠是Telnet(24%)、NetBIOS(5%)、MS-DS(7%)、SSH(6%)與SIP(4%)。根據ASN判定,掃描活動的三大來源皆位於亞洲,我們亦發現攻擊者會主動掃描適合濫用的反射器,包含NTP、SNMP與SSDP。

依據ASN分析的主要反射來源可以看出,網路反射器受到嚴重濫的情形多發生於中國和其他亞洲國家。SSDP攻擊通常是由家用連線發動,而NTP、CHARGEN與QOTD則大多來自於執行這些服務的雲端託管供應商。SSDP與NTP反射器是最常被濫用的反射器,分別佔了41%,其次是CHARGEN(6%)和RPC(5%),而SENTINEL和QOTD則分別佔4%。

如欲免費下載「2015年第四季網際網路現狀-安全報告」,請至:www.stateoftheinternet.com/security-report。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!