2018上半年互联网DDoS攻击趋势分析详解.doc

2018上半年互联网DDoS攻击趋势分析详解
近日,腾讯安全云鼎实验室发布“2018上半年互联网DDoS攻击趋势分析”,从2018年上半年DDoS攻击情况的全局统计、DDoS黑色产业链条的人员分工与自动化操作演进两个方面阐述。
2018年以来,以IoT设备为反射点的SSDP反射放大尚未平息,Memcached DDoS又异军突起,以最高可达5万的反射放大倍数、。

1. DDoS流量峰值情况

根据2013-2018DDoS攻击流量峰值统计表明,DDoS攻击流量峰值不断被超越。今年3月份针对某游戏攻击的Memcached DDoS, Tbps 达到了一个新的高度。目前,Memcached DDoS 已成为反射放大的一股主要力量。
2. DDoS攻击行业情况
腾讯安全云鼎实验室列出了受DDoS攻击的14种主要行业。游戏行业因日流水量最大、变现快,成为DDoS攻击的首选目标和遭受攻击最多的行业。
随着许多行业的互联网化,DDoS的攻击面不断增多。根据分析,游戏占DDoS攻击的37%,其次是门户网站/社区和IT服务/软件。

在游戏行业,手机游戏已超过了 PC 客户端游戏成为了 DDoS 攻击的主要目标。H5 游戏的崛起,也成为了 DDoS 的关注点,%。
3. DDoS攻击类型
在攻击类型中,反射放大占比最多,%。 Memcached 作为今年三月以来的新兴反射放大力量,迅速被 DDoS 黑产界利用,其在整体的占比中也相当大。反射放大占比如此之多的一个原因是 DDoS 黑产的自动平台化,即无需人工干预,完全自动流程可完成攻击的所有操作。

SYN Flood 排名第二,一直是 DDoS 的主要攻击手法。随着 DDoS 黑产的平台化,SYN Flood 的载体也发生了改变,由海量的***渐渐转移到了发包机上(以伪造源 IP 的 SYN Flood 为主)。
4. DDoS 所对应的C2地域分布
通过监控发现,在国内的C2渐渐有外迁的现象。还有一些持有高性能***的黑客,看到了虚拟货币的逐利远远大于 DDoS攻击,将一部分高性能***转去挖矿。鉴于以上原因针对用于 DDoS 的 C2 监控难度越来越大。

5. 被攻击IP的地域情况
DDoS 攻击目标按地域分布统计中,国外受攻击最多的国家是美国,其次是韩国、欧洲国家为主,DDoS 攻击的主要目标还是聚集在互联网发达的国家中。

黑色产业链条演进
腾讯安全云鼎实验室分析了传统的DDoS攻击和目前的DDoS攻击特点。
1. 传统DDoS攻击
早期的 DDoS 一般是黑客一个人的游戏,从工具开发、bot 传播、接单、攻击等都独自完成。随着互联网经济的飞速发展,网络攻击获利越来越多,催生了DDoS 攻击的大量需求,例如竞品的攻击、DDoS ***等。高额的利益便会催生对应工作的精细化分工,DDoS 的黑产也不例外。我们针对传统 DDoS 攻击的专业化人员分工进行分析:
发单人:也可以称为金主,是 DDoS 攻击后的直接获利者,提出攻击需求。
担保商:也可以称为中间人,是 DDoS 黑产中较出名的人