2018上半年互聯網DDoS攻擊趨勢分析

劉鍥

2018年上半年DDoS攻防仍如火如荼發展，以IoT設備為反射點的SSDP反射放大尚未平息，Memcached DDoS又異軍突起，以最高可達5萬的反射放大倍數、峰值可達1.7 Tbps的攻擊流量成為安全界關注的新焦點。

DDoS這一互聯網公敵，在各種防御設備圍追堵截的情況下，攻擊者夜以繼日地鉆研對抗方法、研究新的攻擊方式；而且往平臺化、自動化的方向發展，不斷增強攻擊能力。以下是騰訊安全云鼎實驗室主要從2018年上半年DDoS攻擊情況的全局統計、DDoS黑色產業鏈條中的人員分工與自動化操作演進兩個方面進行的分析闡述。

此外，就目前企業用戶面臨的嚴峻的DDoS攻擊威脅，騰訊云也提出了大禹GDS全球一體化DDoS防護體系，旨在為用戶的業務保駕護航。

一、全局統計分析

1. 2013～2018年DDoS流量峰值情況

DDoS攻擊流量峰值每年都不斷地被超越，2018年3月份針對某游戲攻擊的Memcached DDoS，其峰值1.7 Tbps達到了一個新的高度。雖然已經關閉了大量的Memcached的UDP端口，但其5萬的反射放大倍數，仍使攻擊者可利用少量未關停UDP端口的Memcached反射點，打出大流量攻擊。所以在短短的三個月里，Memcached DDoS已成為反射放大的一股主要力量。

2. DDoS攻擊行業分類情況

隨著各行各業的互聯網化，DDoS的攻擊面也越來越多，這里列出了14種主要行業。游戲行業因其日流水量最大、變現快，一直站在利益的風口浪尖上，當仁不讓地成為DDoS首選的攻擊目標，也是上半年各行業中遭受攻擊最多的行業。值得關注的是在醫療、物聯網和教育等傳統行業互聯網化后，也遭受到了不同程度的攻擊，且呈上升的趨勢。

在游戲行業中，手機游戲已超過了PC客戶端游戲成為了DDoS攻擊的主要目標。H5游戲的崛起，也成為了DDoS的關注點，占整體攻擊的1.4 %。這里我們首次把游戲的第三方服務歸結到游戲中，游戲的飛速發展催生了大量的第三方服務商，包括但不限于游戲虛擬財產買賣平臺、數據分析、電競、美術/音樂外包、游戲云服務和游戲資訊等各個環節。

3. DDoS攻擊的類型占比統計

在攻擊類型中，反射放大占比最多，約為55.8 %。Mem- cached作為2018年三月以來的新興反射放大力量，迅速被DDoS黑產界利用，其在整體的占比中也相當大。反射放大占比如此之多的一個原因是DDoS黑產的自動平臺化，即無需人工干預，完全自動流程可完成攻擊的所有操作。

SYN Flood排名第二，一直是DDoS的主要攻擊手法。隨著DDoS黑產的平臺化，SYN Flood的載體也發生了改變，由海量的肉雞漸漸轉移到了發包機上（以偽造源IP的SYN Flood為主）。

HTTP Flood作為7層攻擊的主要方式，因為要建立完整的TCP連接，不能夠偽造源IP，所以還是以肉雞側發動攻擊為主。但云鼎實驗室監測發現，HTTP Flood也開始向代理服務器和發包機發展。在互聯網上獲取海量的代理服務器相比肉雞的抓取容易很多，以代理服務器頻繁地變換真實的IP，再加上交互的模擬，可以使HTTP Flood很難被發現。而發包機的方式，雖不能變換IP，但可以頻繁變換UserAgent的內容，以突破針對HTTP Flood的防御。

下圖給出了幾種反射放大的反射源地域分布情況。從抽樣數據統計可見，LDAP、NTP和Memchached為主的反射源Top 10的國家重合度很高，以美國、中國和歐洲國家為主。SSDP反射源因IoT設備的問題，導致其地域分布有所不同。

4. DDoS所對應的C2地域分布

近年來國內的互聯網安全措施持續加強。通過監控發現，在國內的C2漸漸有外遷的現象。還有一些持有高性能肉雞的黑客，看到了虛擬貨幣的逐利遠遠大于DDoS攻擊，將一部分高性能肉雞轉去挖礦，鑒于以上原因針對用于DDoS的C2監控難度越來越大。

5.家族情況

通過對攻擊家族的監控，其主要以Xorddos、Billgates、Mayday、Dofloo、Nitol和Darkshell等家族為主。Xorddos是發起攻擊最多的家族，甚至每天多達上萬次的攻擊，攻擊類型多以SYN Flood為主其他攻擊類型為輔的組合攻擊。Nitol家族是發起HTTP Flood攻擊最多的家族，還會輸出SYN Flood、ICMP Flood和TCP Flood等攻擊。以上家族攻擊的統計中，針對各個行業的攻擊都有涉獵，游戲行業無疑是攻擊的首選。

6.被攻擊IP的地域情況

DDoS攻擊目標按地域分布統計中，國外受攻擊最多的國家是美國，其次是韓國和歐洲國家為主，DDoS攻擊的主要目標還是聚集在互聯網發達的國家中。

在國內各省的統計來看，受到DDoS攻擊較多的省份是長三角、珠三角和京津片區，即中國的互聯網發達省份，其中以江浙兩省最多。

7.每月百G以上攻擊流量情況

以每月的超過百Gbps的攻擊次數統計來看，百Gbps流量分層占比相差不多。100 ～ 200 Gbps占比最大，基本都在75%以上，而超過300 Gbps的流量攻擊次數較少。

8.攻擊流量帶寬分布情況

在攻擊流量的分層統計上，1～ 5 G的攻擊次數最多，占比約38%。通過統計可得到，大多數的攻擊均為100 Gbps以下的流量攻擊，超過百G的攻擊累計占總攻擊次數不到5%。整體的攻擊流量平均峰值約在5.2 Gbps左右。

9.攻擊時長分布占比情況

在攻擊時長來看，占比最多是1 min以下的攻擊，約占38.7%。其主要攻擊方式是瞬時攻擊，即以極大的流量直接癱瘓掉攻擊的服務，導致大量用戶掉線、延遲和抖動等。5 ～ 10 min也占相當大比例，約28.7%。抽樣統計平均攻擊時長約1 h，單次攻擊最長時長約54天。

二、DDoS黑色產業鏈條演進

這里從黑產中的人員分工與自動化操作兩個方面進行DDoS發展的闡述。

1.傳統DDoS攻擊

早期的DDoS一般是黑客一個人的游戲，從工具開發、bot傳播、接單和攻擊等都獨自完成。隨著互聯網經濟的飛速發展，網絡攻擊獲利越來越多，催生了DDoS攻擊的大量需求，例如競品的攻擊、DDoS勒索等。高額的利益便會催生對應工作的精細化分工，DDoS的黑產也不例外。針對傳統DDoS攻擊的專業化人員分工進行分析：

發單人：也可以稱為金主，是DDoS攻擊后的直接獲利者，他們提出攻擊需求。

擔保商：也可以稱為中間人，是DDoS黑產中較出名的人物，在各個不同分工人員間做“信任”擔保，與交易環節的資金中轉工作。擔保商也會自己架設接發單平臺或即時通訊工具群等形式來擴大自己的知名度，帶來更多的DDoS攻擊業務。

接單人：也可以稱為攻擊手，通過操作C2服務器或發包機直接發起DDoS攻擊。

流量商：通過擔保商或直接將國外購買的流量服務器售賣給攻擊手。

肉雞商：手頭上擁有大量的肉雞資源，通過擔保商或直接將肉雞售賣/出租給攻擊手。

黑客軟件作者：開發botnet程序，反射放大程序等各種DDoS工具。

這樣的多種分工，使DDoS在技術難度上被拆解，技術門檻降低，部署更容易。同時給互聯網安全人員的分析與溯源帶來更大的困難。在分析中我們發現，有一些人員也可能同時擔當多個角色。

雖然這種比較早期的DDoS攻擊分工已十分成熟，但還是存在一定的不足之處：

（1）成單難以保障：擔保商、接單人都具有不確定性，發單人付費后，可能會存在針對目標的攻擊沒有效果或根本沒有發起攻擊的情況，給發單人造成經濟損失。

（2）響應周期較長：從發單人提出需求到真正達到攻擊效果，需經過發單人、擔保商（或其搭建的各種對接平臺/即時通訊工具群等）、接單人等幾個環節，時間上需要幾小時甚至到幾天不等。

（3）攻擊效果不能保證：攻擊手一般手動遠程操作C2服務器或發包機針對目標服務器進行攻擊，攻擊手所掌握的botnet或發包機規模不同，攻擊的流量達不到保證。

2.目前DDoS攻擊

鑒于傳統DDoS攻擊的不足，促使了DDoS多個環節的自動化發展，頁端DDoS攻擊平臺便是發展的結果之一。其高度集成管理，在成單率、響應時長、攻擊效果等方面都得到了可行的解決。在人員分工上，有了新的發展：

擔保商淡出DDoS黑產圈，發單人可直接在頁端DDoS攻擊平臺下單、支付費用，且可以根據自己的攻擊目標的情況選擇攻擊方式與流量大小，保障了百分之百的成單率。

攻擊手已被自動化的攻擊平臺取代，不需要手動操作攻擊。從發起攻擊命令到真正開始攻擊，一般延時在10 s左右，再也不用等幾小時或幾天了。

發包機提供人替代了流量商角色，且完成發包機的程序部署、測試，最終給出發包機的攻擊類型、穩定流量和峰值流量等各種定量且穩定的攻擊能力。穩定的攻擊流量保障了最終的攻擊效果。

站長成為了頁端DDoS攻擊平臺的核心人員，進行平臺的綜合管理、部署和運維工作。例如：DDoS攻擊套餐管理、注冊用戶（金主）管理、攻擊效果與流量穩定保障還有后續的升級等。

不同的頁端DDoS攻擊平臺也有不同的實現，但其操作流程、核心功能都很相似。上圖給出了其技術解讀：從此圖中可見，用戶注冊、套餐付費、攻擊發起等在用戶側都可以完成，不需要其他人員參與。對比傳統DDoS攻擊來看，已完成了全自動的無人值守攻擊方式。在圖中調用傳統肉雞的攻擊形式很少，主要是調用發包機的攻擊方式。發包機中主要配置的是反射放大的各種程序和其對應的反射源列表，偶爾會有偽造源IP的SYN Flood、動態變化UserAgent的HTTP Flood（如goldeneye工具）。

三、趨勢展望

綜上所述，上半年的DDoS攻擊無論從流量的角度還是從次數的角度來看，都上升了一個新的高度。

DDoS黑色產業鏈的人員與技術的演進降低了整體DDoS入門的門檻，在溯源監控中發現，有的DDoS黑產團伙平均年齡20歲左右，甚至有未滿16周歲的學生也是其中的一員。

在DDoS的整體防御上，建議用戶采用具備大帶寬儲備和BGP資源的云服務商防御方案。如騰訊云大禹擁有30線BGP IP接入資源，豐富的場景化防護方案。

隨著智能AI設備與物聯網的飛速發展，DDoS的新宿主平臺不斷出現，DDoS攻防戰會越來越激烈?？梢灶A期，2018年下半年DDoS會呈現出多樣化的發展：

（1）類似于Memcached DDoS的新反射放大方式會不斷的被曝光與利用；

（2）智能設備的發展會催生出新平臺下的botnet產生，且這些平臺基本防護措施薄弱，更成了DDoS的溫床；

（3）隨著打擊DDoS力度的不斷加大，P2P式僵尸網絡或半去中心化變種方式有望重回風口，讓DDoS難于監控與溯源分析；

（4）基于暗網的DDoS平臺將逐漸替代目前流行的頁端DDoS攻擊平臺，使其平臺的存活時間更長。