大型、重複攻擊數目激增!駭客多以 stresser/booter 殭屍網絡工具作反射型攻擊
大型、重複攻擊數目激增!駭客多以 stresser/booter 殭屍網絡工具作反射型攻擊
DDoS 攻擊其實十分簡單,只有配合適當的工具便可,難怪近年來 DDoS 攻擊次數有增無減。根據由 Akamai 的 2016 年第一季互聯網現況 – 安全報告便顯示,不論是針對網上資產發動的分散式阻斷服務 (DDoS) 及網頁應用程式攻擊,其數量及頻率都持續顯著攀升;2016 年第一季也不例外。
而值得注意的是,在 Akamai 偵測到的 DDoS 攻擊中,有將近 60% 是同時採用至少兩種攻擊手法,使防禦更加困難。更令人憂心的是,此種多重手法攻擊已非最狡猾攻擊者的專利,而是成為現今受僱型 DDoS 市場的標準攻擊能力,即使是最低技術水平的攻擊者都辦得到。
DDoS 攻擊活動一覽
Akamai 在第一季所緩解的 DDoS 攻擊已超過 4,500 宗,相較於 2015 年第一季高出 125%。這些攻擊絕大多數是利用 stresser/booter 殭屍網絡工具發動的反射型攻擊,與近來數季無異。這類工具會藉著那些執行有安全漏洞之服務的伺服器,例如 DNS、CHARGEN 與 NTP,將流量反射給攻擊目標。事實上,第一季便有 70% 的 DDoS 攻擊是利用反射型 DNS、CHARGEN、NTP 或 UDP 分段式攻擊手法。
逾半數的攻擊 (55%) 以遊戲公司為目標,另有 25% 是以軟件和科技行業為目標。
2016 年第一季亦創下超過 100 Gbps 的 DDoS 攻擊數量紀錄,達到 19 宗。Akamai 所緩解之最大型攻擊其尖峰流量高達 289 Gbps。其中有 14 次攻擊是透過 DNS 反射型手法進行。前一季僅出現五宗大規模攻擊,而原有最高紀錄為 2014 年第三季的 17 宗。
在 2015 年第四季,重複的 DDoS 攻擊已成標準攻擊模式,每一位被攻擊的目標在第四季內平均遭受 24 次攻擊。本季仍延續這個情況,成為攻擊目標的平均會受到 39 次攻擊。其中一名客戶被攻擊 283 次,等於平均一天受到三次攻擊。
DDoS 攻擊數據一覽
與 2015 年第一季比較
- 整體 DDoS 攻擊數目增加 125.36%
- 基建架構層 (第三和第四層) 攻擊增加 142.14%
- 平均攻擊持續時間減少 34.98%:16.14 比 24.82 小時
- 高頻寬攻擊 (超過 100 Gbps) 的攻擊增加 137.5%:19 比 8
與 2015 年第四季比較\
- 整體 DDoS 攻擊數目增加 22.47%
- 基建架構層 (第三和第四層) 攻擊增加 23.17%
- 平均攻擊持續時間增加 7.96%:16.14 比 14.95 小時
- 高頻寬攻擊 (超過 100 Gbps) 的攻擊增加 280%:19 比 5
網頁應用程式攻擊活動
相比 2015 年第四季,網頁應用程式攻擊增加了將近 26%。仍如以往數季,零售業繼續成為最熱門的攻擊目標,佔約 43% 的攻擊。但與前季不同的是,經由 HTTP 進行的網頁應用程式攻擊次數減少了 2%,而透過 HTTPS 攻擊的次數卻增加了 236%。另外,SQLi 攻擊亦比前一季增加了 87%。
延續以往數季的趨勢,美國既是網頁應用程式攻擊流量最頻繁的來源 (43%),亦是最常見的目標 (60%)。
網頁應用程式攻擊數據一覽
與 2015 年第四季比較
- 整體網頁應用程式攻擊數目增加 25.52%
- 透過 HTTP 傳送的網頁應用程式攻擊減少 1.77%
- 透過 HTTPS 傳送的網頁應用程式攻擊增加 235.99%
- SQLi 攻擊增加 87.32%
機械人程式活動概覽
在互聯網現況 – 安全報告中,首次就機械人程式 (bot) 的活動進行分析,絡果發現在 24 小時之內,便總共追蹤並分析了逾 2 兆個機械人程式要求。雖然其中約有 40% 的流量來自經過辨識且屬已知的所謂「好」機械人,但仍有 50% 的機械人獲判定為惡意,並涉及大規模資料擷取及其他相關活動。
DDoS 反射器增長
通過 Akamai Intelligent Platform 周邊所提供的防火牆數據,調查發現相較於 2015 年第四季,活躍的 QOTD 反射器增加了 77%,NTP 反射器就增長了 72%,而 CHARGEN 反射器亦增添了 67%。活躍的 SSDP 反射器則減少了 46%。