Akamai 發佈「2015 年第三季網際網路現狀 – 安全報告」

【2015年 12月9日,台北】內容遞送網路 (content delivery network;CDN) 服務的全球領導廠商Akamai Technologies, Inc. (NASDAQ 交易代號:AKAM) 發佈「2015 年第三季網際網路現狀 – 安全報告」。本季報告針對全球雲端安全威脅現狀提供分析與見解,如需下載報告,請造訪 www.stateoftheinternet.com/security-report.

Akamai 雲端安全事業單位副總裁John Summers表示:「分散式阻斷服務 (DDoS) 的攻擊每季不斷增加,本季攻擊量亦持續上升。雖然最近DDoS攻擊的時間和範圍平均較為短小,它們仍然導致相當的雲端安全風險。由於受雇型DDoS (DDoS-for-hire) 網站的盛行,這類網站確認和濫用SSDP、NTP、DNS、CARGEN、甚至每日嘉言 (Quote of the Day) 等網路服務,帶動DDoS攻擊增加。」

DDoS攻擊行動一覽

橫跨Akamai路由網路的DDoS攻擊活動本季躍升23%,創紀錄達到1,510件攻擊,與2014年第三季相較成長180%。雖然攻擊數量遽增,但平均攻擊時間縮短,平均高峰頻寬和流量也降低。本季大型攻擊 (流量超過100 Gbps) 的攻擊只有8次,低於第二季的12次和2014年第三季的17次。第三季最高頻寬的DDoS攻擊 (運用XOR DDoS殭屍網路) 達149 Gbps,低於上一季高峰達250 Gbps的DDoS攻擊。在這8次大型攻擊中,就有3次針對媒體娛樂業。

雖然攻擊頻寬縮小,本季攻擊還是創下另一種紀錄。一家媒體娛樂公司遭到破紀錄222 Mpps 的DDoS攻擊,更甚於第二季當時破紀錄的214 Mpps攻擊。相較於如此大規模的攻擊,Akamai在第三季所觀察到的DDoS攻擊,平均高峰流量為1.57 Mbps。此種攻擊規模足以摧毀由如網際網路服務供應商 (ISP) 等所使用的第一層路由器 (tier 1 router)。

線上遊戲產業在2015年第三季成為DDoS攻擊的首要目標,占DDoS攻擊數量的50%。軟體科技產業次之,占所有攻擊的25%。從一年多前開始,線上遊戲產業就一直是攻擊首要目標。

反射式DDoS攻擊變得比感染式DDoS攻擊普遍。相較於過往花費時間和心力建立與維護DDoS殭屍網路,發動DDoS攻擊者開始利用各種既有的網路裝置和不安全網路通訊協定。雖然反射式DDoS攻擊在2014年第三季僅占DDoS流量的5.9%,在2015年第三季卻已上升至33.19%。

Akamai Edge Firewall成為DDoS攻擊資料的新來源

本季安全報告首次納入Akamai Edge Firewall紀錄的攻擊活動,該防火牆是我們全球平台的安全防線。Edge Firewall資料讓我們得以宏觀檢視全球平台上的攻擊活動,其攻擊流量資訊來自全球超過20萬台採用Akamai技術的伺服器。我們認知到前十大ASN攻擊流量多來自中國和其他亞洲國家,而位在美國和歐洲的反射器較常運用於分散式。

DDoS攻擊概覽

與2014年第三季相比

  • DDoS 攻擊總數增加66%
  • 應用程式層 (第 7 層) DDoS 攻擊增加74%
  • 基礎架構層 (第 3和4 層) DDoS攻擊增加1%
  • 平均攻擊時間減少65%:18.86 (2015年第三季) 對22.36小時 (去年同期)
  • 平均高峰攻擊頻寬下降58%
  • 平均高峰攻擊流量減少72%
  • 反射攻擊增加44%
  • 流量大於100 Gbps的攻擊減少94%:8 (2015年第三季) 對17件 (去年同期)

與 2015 年第二季相比

  • DDoS攻擊總數增加79%
  • 應用程式層 (第 7 層) DDoS攻擊減少27%
  • 基礎架構層 (第 3和4 層) 的攻擊增加21%
  • 平均攻擊時間減少87%:18.86 (2015年第三季) 對20.64小時 (2015年第二季)
  • 平均高峰攻擊頻寬下降13%
  • 平均高峰攻擊流量減少67%
  • 反射攻擊增加14%
  • 流量大於100 Gbps的攻擊減少33%:8 (2015年第三季) 對12件 (2015年第二季)

網路應用程式攻擊活動

Shellshock弱點占2015年第二季HTTPS網路應用程式攻擊的絕大多數,但第三季卻有所變化,透過HTTP和HTTPS傳送的網路應用程式攻擊百分比回歸常態 (HTTP為88%,HTTPS為12%)。隨著更多網站的標準安全層支援TLS流量,透過HTTPS傳送的網路應用程式攻擊應該也會增加。而因為應用程式通常透過HTTPS存取,所以攻擊者可能試圖使用HTTPS滲透後端資料庫

如同2015年第二季,本機檔案引入 (LFI) 和SQL 插入 (SQLi) 攻擊是最普遍的網路應用程式攻擊。零售業為最常受到攻擊的產業,占網路應用程式攻擊的55%,遠遠領先於第二名金融服務業的15%。網路應用程式攻擊非常仰賴殭屍網路,透過不安全的家用路由器和裝置入侵。

WordPress外掛程式攻擊在第三季亦有所增長,這不僅發生在常見的外掛程式上,也包括較不常見的脆弱外掛程式。

在2015年第三季,美國是網路應用程式攻擊的最大來源,占攻擊來源流量的59%,同時亦是75% 的網路應用程式攻擊目標。三大攻擊自治系統號碼 (Autonomous System Number; ASN) 都和美國知名雲端服務供應商擁有的虛擬私有系統 (VPS) 有關。每天都有多台雲端虛擬伺服器上線,卻缺乏完善的資安措施,容易遭到入侵,並成為殭屍網路或其他攻擊的平台。

檢視網站擷取程式 (website scraper)

擷取程式是一種特定類型的殭屍病毒,目的是取得、儲存、和分析目標網站的資料,然後出售或使用該資料。搜索引擎就是一種善意的擷取程式,評分計算程式 (rate aggregators)、代銷營運程式 (resellers) 和搜索引擎最佳化 (SEO) 分析服務也屬此類。本安全報告有一部分特別討論擷取程式並提供簡易辨識方法。

網路應用攻擊概覽

與 2015 年第二季相比

  • HTTP網路應用程式攻擊增加36%
  • HTTPS網路應用程式攻擊減少02%
  • SQLi攻擊增加64 %
  • LFI攻擊增加73%
  • RFI攻擊增加55 %
  • PHPi攻擊增加98%

報告下載

如欲免費下載「2015年第三季網際網路現狀 – 安全報告」的PDF檔案,請至http://www.stateoftheinternet.com/security-report.