卡巴斯基：2017年第三季度 DDoS攻击报告

概述

在2017年第三季度的报告中我们发现，前几个季度的趋势仍在继续发展。中国、美国、韩国以及俄罗斯的DDoS攻击次数有所增加，这一结论主要反映在我们收集的僵尸网络统计数据中。此外，澳大利亚地区的攻击数量（每天超过450次）以及峰值（每秒多达1580万个数据包）均呈现猛增的趋势。相应地，全球保护成本也随之增加：例如，在9月初，就已经有6家IB供应商与新加坡政府签订了价值5000万美元的合同（前三年合同的成本占据整个国家预算的一半）。

针对DDoS攻击所取得的最大的成果是消灭了WireX僵尸网络（影响了100多个国家的数十万台设备），该僵尸网络一直暗中利用Android设备，并通过合法的Google Play应用程序进行扩散。最终，谷歌、三星以及几家大型IT安全厂商联合行动消灭了该僵尸网络。但是，鉴于物联网和微应用程序的安全现状，这种类型的威胁可能会在一段时间内就会有规律的出现。

事实也在证明，网络犯罪分子正在不断发挥自身的聪明才智，开发各种新技术发动攻击。8月中旬，网络安全公司Imperva就描述了一种脉冲波技术，鉴于混合云技术的脆弱性，这种技术能够增加DDoS攻击的威力。Imperva公司的分析师认为，大多数DDoS攻击很快将会遵循类似的模式：短暂但强大的突然“间断”攻击，持续数小时或数天。

网络犯罪分子的攻击目标大致保持不变，在政治舞台上，攻击次数的增加甚至引发了质的变化：有些人认为DDoS攻击是民主抗议的合法形式。然而，这种方法的有效性仍然值得怀疑：第三季度的两个最显着的政治行为（攻击DreamHost托管服务提供商和自由主义网站）除了对被攻击的对象进行了更广泛的宣传之外没有起到任何其任何作用。

此外，DDoS攻击中涉及的勒索事件正变得越来越频繁，大量的威胁邮件开始被认为是垃圾邮件的另一波风潮。

作为一种施压手段，DDoS攻击者更喜欢那些“经不起停机或通信故障而导致利润受损的行业”。所以，游戏行业对网络犯罪分子而言变得越来越有吸引力：因为游戏行业的利润可以高达数千亿美元，而且其安全性通常并不完善。

在第三季度中，游戏平台发生了三起较为高调的攻击事件（不包括Final Fantasy服务器上的DDoS攻击事件，因为据Square Enix数据显示，此事开始于6月份，只是一直持续到7月底）。

第一起发生在8月中旬，暴雪娱乐公司报告了大量的垃圾流量，给“守望先锋”和“魔兽世界”的玩家带来了问题。第二起发生在9月初，美国Cardroom在线扑克网站遭受DDoS攻击，并随后遭到勒索。该网站管理人员拒绝支付赎金，最终导致在该网站举办的扑克锦标赛被迫推迟。最后一起发生在9月30日，英国国家彩票网站受到严重的DDoS攻击：90分钟内，玩家无法在网上或通过申请放置赌注，导致了严重的服务损失。

看起来，对娱乐行业持续的DDoS攻击正在成为新常态：大型企业将不得不认真地重新考虑其安全措施，或是拿客户的忠诚度冒险。其中一些企业已经开始自行消除可能的载体。例如，Netflix（另一个可能因通信问题而失去客户的娱乐平台）在其API中发现了一个严重的漏洞，并开发了两种工具来处理受感染的应用程序。

这个季度中，最令人好奇的攻击大概也是与娱乐和游戏行业有关：网络犯罪分子通过一个智能鱼缸攻击了美国赌场。这看起来与DDoS攻击没有任何关系，但有趣的是，尽管鱼缸是安装在自己的VPN上，但是犯罪分子还是设法突破了主机（mainframe）并窃取了来自机构的100GB机密数据。在跟大程度上，就大规模攻击的范围和独创性而言，娱乐和博彩行业很有可能与金融业相提并论。

季度趋势

就趋势而言，与加密货币攻击相关的安全事件开始呈现新的增长趋势。越来越多的攻击开始针对ICO（Initial Public Offering，首次公开发行）平台——一种众筹。由于区块链技术允许交易安全进行，因此ICO平台正在迅速普及。但是它也存在风险：随着加密货币的快速增长和营业额的增加，这些平台也容易受到网络攻击，包括DDoS攻击。平台的广泛可用性保证了可靠和安全的交易，而DDoS攻击旨在破坏服务的可操作性，从而瓦解它，或者更糟糕的是，为更复杂的攻击类型创建烟幕。

本季度中另一个趋势是混合、多组件（SYN + TCP连接+ HTTP洪水+ UDP洪水）攻击比例的增加。如上所述，它们正在逐渐普及。但是在这些攻击中没有什么新的东西，但是主要被正确地运用就可以发挥强大的效用。

季度要点总结

在2017年第三季度中，有98个国家的资源受到了攻击，而在2017年第二季度中，这一数据为86个；

大约一半的攻击事件（51.56％）来自中国；

在攻击数量和目标数量方面，中国、美国和韩国仍然处于前三位。根据报告的C&C服务器数量，前三位依然是中、美、韩，只是此次是韩国排在第一位；

最长的DDoS攻击是215小时，比第二季度下降了28％。与此同时，持续不到50小时的攻击比例与上季度基本保持不变（第三季度为99.6％，第二季度为99.7％）；

与上一季度相比， TCP（从28.2％下降到11.2％）和ICPM（从9.42％下降到7.1％）的攻击比例有相当大的下降。这也导致了SYN洪水和HTTP攻击的百分比呈上升趋势；

Linux僵尸网络的比例持续增长。第三季度这类僵尸网络的攻击占69.62％，而第二季度为51.23％；

攻击的地理分布

在第三季度中，有98个国家经历了DDoS攻击，其中针对中国的攻击数量最多（占所有攻击的63.30％），比上季度上升5.3%。针对美国的攻击比例从14.03％下降到12.98％，排名第二；韩国则从14.17％下降到8.70％，处于第三位。

排名前10的国家共占所有攻击的93.56％。其中德国以1.24%的比例取代意大利，重回前十名。香港（1.31）则由上季度的第四名下降至第七名；俄罗斯（1.58%）较上季度上涨0.35%，排名第四；紧随其后的是英国；荷兰则从上季度的0.84%上升到1.31%，排名第六。

【DDoS攻击地理分布：2017年第二季度 VS 第三季度】

DDoS攻击数量动态数据

在第三季度中，DDoS攻击的数量从296（7月24日数据）到1508（9月26日数据）间不等。峰值出现在7月27日（1399次）和9月24日（1497），而在7月28日（300次）、5月31日（240次）以及9月25日（297次）记录的数据均呈下滑现象。

【第三季度DDoS攻击数量动态数据】（由于DDoS攻击可能会持续数天，因此一次攻击可能在时间线上被数次计数。）

在第三季度中，周一是DDoS攻击最为平静的一天（只占所有攻击的10.39%，上季度为11.78%）；周四是最为忙碌的一天（占据17.54%）；上一季度中最繁忙的周六在本季度中降至了第二位（15.59%）；其次是周天（14.89%）以及周二（14.79%）。

【DDoS攻击的分布情况，第二季度VS第三季度】

DDoS攻击的类型和持续时间

与上一季度一样，在2017年第三季度中，SYN DDoS攻击的数量呈持续增长趋势，从上季度的53.26％上升到了本季度的60.43％，同时TCP DDoS攻击的比例则从上季度的18.18％下降到了11.19％，但是没有影响这类攻击在此次评级中位居第二。相比之下，UDP和ICMP攻击相当罕见，分别从上季度的11.91％下降到10.15％，以及从上季度的9.38％下降到7.08％。同时，HTTP攻击的普及率从7.27％上升到11.6％，居第三位。

【2017年第3季度按类型分布的DDoS攻击】

长时间攻击事件比例与上季度相比基本持平：攻击时间超过150小时的时间比例为0.02%（上季度为0.01%）；最长的攻击持续时间为215小时，较上季度缩短了62小时。与此同时，持续4小时以下的攻击比例也从上季度的85.93%下降到了本季度的76.09%。此外，攻击持续时间在5-49小时，以及50-99小时的攻击比例也呈增长趋势，分别占所有攻击的23.55%和0.3%。

【DDoS攻击时长（小时）分布：Q2 vs Q3 2017】

C＆C服务器和僵尸网络类型

检测到的C＆C服务器数量最多的Top3国家与第二季度基本维持不变：韩国的比例从上季度的49.11%上升至本季度的50.16%，排名第一；美国紧随其后，比例从上季度的16.94%下降至本季度的16.07%；中国仍然排在第三位，比例从上季度的7.74%下降到了5.86%。

总体而言，前三名的国家占到了C＆C服务器总数的72.96%，较之上季度有所增长。

此外，排名前十的国家还包括意大利（1.63%）和英国（0.98%），分别淘汰了加拿大和德国。与第二季度相比，法国（由上季度的1.79%上升至2.93%）以及俄罗斯（由上季度的2.68%上升至3.58%）的比例均呈明显上升趋势。

【2017年第三季度各国僵尸网络C＆C服务器分布情况】

在第三季度中，基于Linux的僵尸网络继续赢过Windows，占据第一的位置：检测到的基于Linux的僵尸网络的比例为69.62％，而基于Windows的僵尸网络的比例则下降到30.38％。

【2017年第3季度，基于Windows和Linux的僵尸网络攻击之间的相关性】

结论

我们可以看到，在2017年第三季度中，DDoS攻击的数量及其目标数量均呈大幅增加的趋势。总体来看，中国是攻击来源和攻击目标数量最多的国家，其次是美国和韩国。Windows操作系统作为创建僵尸网络的基础的普及度已经明显下降，而基于Linux的僵尸网络所占比例则相应增加。

此外，本季度中另一个明显的趋势是对ICO平台的攻击正在逐渐增长：在第三季度中，加密货币在互联网和大众媒体上得到了广泛的讨论，网络犯罪分子并没有忽视它的受欢迎程度。 本季度的另一个细节是多组件攻击的比例增长，包括SYN、TCP连接、HTTP洪水和UDP洪水技术的各种组合。