DDoS (分散式阻斷服務)、網路攻擊激增 重複攻擊已成標準模式
【2016年 3月1日,台北】內容遞送網路 (content delivery network;CDN) 服務的全球領導廠商Akamai Technologies, Inc. (NASDAQ:AKAM) 發佈「2015 年第四季網際網路現狀 – 安全報告」。本季報告針對Akamai Intelligent Platform™ 平台上所觀察到的惡意活動提供深入分析,並詳述全球雲端安全威脅概況。如需下載報告,請造訪www.stateoftheinternet.com/security-report。
Akamai 資訊安全事業單位資深副總裁兼總經理 Stuart Scholly 表示:「DDoS 和網路應用程式攻擊的威脅並未緩解,Akamai 客戶每季所面臨的攻擊數量仍持續攀升。相較於第 三季,2015年第四季的網路應用程式攻擊數量激增了 28%,DDoS 攻擊則增加了 40%。惡意攻擊者毫不退縮,他們會不斷地重複攻擊相同目標,等待其防護終有瓦解之時。」
在第四季,重複的 DDoS 攻擊已成標準模式,每位被攻擊的客戶在第四季內平均遭受 24 次攻擊,而有三個攻擊目標分別遭受超過 100 次攻擊,其中一位甚至經歷了 188 次攻擊,平均每天經歷超過 2 次攻擊。
DDoS 攻擊行動一覽
在第四季,Akamai 在路由解決方案上緩解了超過 3,600 次 DDoS 攻擊,攻擊數量是一年前的兩倍以上,絕大部份是利用租用型殭屍網路發動。這些受雇型 DDoS 攻擊極度依賴反射技術來擴增他們的流量,通常沒有能力發動大型攻擊,因此,2015 年大規模攻擊數量相較 2014 年來得少。此外,租用型網站通常有使用時間限制,使得平均攻擊時數降至 15 個小時以下。
基礎架構層 (第 3 和第 4 層) 攻擊在數個季度以來比例向來最高,第四季所觀察到的攻擊有 97% 皆屬這類攻擊。在 2015 年第四季中,21% 的 DDoS 攻擊含有 UDP 片段,這些攻擊有些是源自於反射式攻擊的放大效果,主要是 CHARGEN、DNS 與 SNMP 通訊協定的濫用,導致龐大的有效負載 (payload)。
相較於第三季,NTP 和 DNS 攻擊的數量皆大幅攀升。內建安全功能的網域 (DNSSEC) 通常會產生更龐大的回應資料,因為惡意攻擊者試圖濫用這些網域,使得 DNS 反射式攻擊增加 92%。儘管 NTP 反射的運算資源已隨時間耗盡,NTP 攻擊仍有所增長,增幅逼近 57%。
多媒介 (multi-vector) 攻擊則為另個常見趨勢。在 2014 年第二季,僅有 42% 的 DDoS 攻擊採用多媒介手法;到了 2015 年第四季,已有 56% 的 DDoS 攻擊採用此攻擊手法。雖然大部份多媒介攻擊僅使用兩種攻擊媒介 (佔全部攻擊的 35%),在第四季所觀察到的攻擊中有 3% 採用 5 至 8 種媒介。
第四季最大攻擊的尖峰流量高達309 Gbps與202 Mpps,遭受此攻擊的客戶為軟體科技產業,該攻擊使用罕見的 SYN、UDP 和 NTP 攻擊組合,由 XOR 和 BillGates 殭屍網路所發動。該次是持續攻擊行動的一部分,受害者在 8 日內遭受 19 次攻擊,另在一月初亦曾遭受攻擊。
第四季逾半數的攻擊 (54%) 是針對遊戲公司,另有 23% 是以軟體和科技產業為目標。
DDoS攻擊概覽
與 2014 年第四季相比
- DDoS 攻擊總數增加85%
- 基礎架構層 (第 3 和第 4 層) 攻擊增加82%
- 平均攻擊時數減少03%:14.95 (2015年第四季) 對 29.33 小時 (2014年同期)
- 流量超過100 Gbps的攻擊減少44%:5 (2015年第四季) 對 9 件 (2014年同期)
與 2015 年第三季相比
- DDoS 攻擊總數增加89%
- 基礎架構層 (第 3 和第 4 層) 攻擊增加38%
- 平均攻擊時數減少74%:14.95 (2015年第四季) 對18.86 小時 (2015年第三季)
- 流量超過100 Gbps的攻擊減少5%:5 (2015年第四季) 對 8件 (2015年第三季)
網路應用程式攻擊活動
雖然上一季的網路應用程式攻擊數量增加了 28%,但是兩季透過 HTTP 和 HTTPS 傳送的網路應用程式攻擊比率則相當一致:第四季有 89%的攻擊透過 HTTP 傳送,而第三季則為88%透過 HTTP 傳送。
本季最常見的攻擊媒介為 LFI (41%)、SQLi (28%)、PHPi (22%)、XSS (5%) 與 Shellshock (2%),剩餘的 2% 攻擊則包含 RFI、MFU、CMDi 和 JAVAi 攻擊。透過 HTTP 和 HTTPS 傳送的攻擊中,除PHPi 外各個攻擊手法所佔比例相似。透過 HTTPS 傳送的攻擊中,僅有 1% 採用 PHPi。
第四季的網路應用程式攻擊中有59% 以零售商為攻擊目標,第三季則為 55%。媒體娛樂業與飯店旅遊產業是第二常見的攻擊目標,分別遭受 10% 的攻擊。而在第三季的第二常見攻擊目標的金融服務產業 (15% 的攻擊量),本季卻僅遭受7%的攻擊。
延續第三季的趨勢,美國不但是網路應用程式攻擊的主要來源 (56%),同時亦是最常被攻擊的目標 (77%)。巴西是第二大的攻擊來源 (6%) 與第二個最常被攻擊的國家 (7%),這似乎與一家大型雲端基礎架構即服務 (IaaS) 供應商在巴西開設新的資料中心有關。Akamai 發現,自資料中心開設以來,源自巴西 (特別是上述資料中心) 的惡意流量即大幅增長,而這類攻擊大部份針對一位巴西籍的零售產業客戶。
在第四季報告中,我們利用 ASN 辨識出網路應用程式攻擊流量的 10 大來源,並針對相應的攻擊類型、有效負載與頻率進行分析。其中 10 個較為有趣的攻擊案例及其有效負載請參閱第 3.6 節。
網路應用程式攻擊評估指標
與 2015 年第 3 季比較
- 網路應用程式攻擊總數增加10%
- HTTP 網路應用程式攻擊增加65%
- HTTPS 網路應用程式攻擊增加05%
- SQLi 攻擊增加19%
掃描與刺探活動
在攻擊前,惡意攻擊者依賴掃描程式和刺探活動來偵察他們的目標。運用 Akamai Intelligent Platform 提供的防火牆資料進行分析後,我們發現偵察活動最常使用的連接埠是 Telnet (24%)、NetBIOS (5%)、MS-DS (7%)、SSH (6%) 與 SIP (4%)。根據 ASN 判定,掃描活動的三大來源皆位於亞洲,我們亦發現攻擊者會主動掃描適合濫用的反射器,包含NTP、SNMP 與 SSDP。
依據 ASN 分析的主要反射來源可以看出,網路反射器受到嚴重濫的情形多發生於中國和其他亞洲國家。SSDP 攻擊通常是由家用連線發動,而NTP、CHARGEN 與 QOTD 則大多來自於執行這些服務的雲端託管供應商。SSDP 與 NTP 反射器是最常被濫用的反射器,分別佔了 41%,其次是 CHARGEN (6%) 和 RPC (5%),而 SENTINEL 和 QOTD則分別佔 4%。
報告下載
如欲免費下載「2015 年第四季網際網路現狀 – 安全報告」,請至:www.stateoftheinternet.com/security-report。