《DDoS态势报告》由会员分享,可在线阅读,更多相关《DDoS态势报告(9页珍藏版)》请在金锄头文库上搜索。
1、50,988次 DDoS攻击 单次攻击峰值 单次攻击 绿盟科技监控数据显示, Q2 季度全球发生 DDoS 攻击达 50,988次。 33.7%365万 的混合攻击 从攻击流量大小占比看,混合攻击占总比的33.7%, 其中2-3种混合攻击占 97.4%。 Q2 平均攻击时长 1.6小时, 单次攻击最长 387小时,其总流量达 71TB 。 从攻击次数占比看, Chargen 反射攻击占 27.6%, 从攻击流量大小占比看, SYN 为54.7%。 NTP 反射器 62.1% 的反射攻击 从攻击次数占比看, Chargen反射攻击占所有反射类型的 38.1%,从攻击流量大小占比看,NTP 反射攻
2、击占所有反射 类型的36.1%。 Q2 单一时间点攻击流量峰值 1.8T, 单次攻击峰值 445.7G,300G 以上的攻击 16次。 445.7G 387小时71TB DDoS态势报告 durationtraffictimes types 反射攻击趋势混合攻击趋势 攻击类型趋势攻击时间趋势 攻击流量趋势全球攻击态势 据绿盟科技全球 DDoS 态势感知平台监控数据分析显示,Q2 发生 DDoS 攻击事件有所下降,平均攻击峰值也有所降低,但攻击手 段呈现复杂化,因此总体攻击态势依然严峻。 2016 Q2 更多链接 点击下列标题跳转到对应章节 全球攻击态势 本季度,全球范围内我们监控到50,988
3、次DDoS 攻击,受攻击最严重的 国家是中国,占全部被攻击国家的53.2%,其次是美国,占比 22.6%。 2016Q2 季度中国范围内 DDoS 攻击态势图 2016Q2 季度全球范围内 DDoS 攻击态势图 其他 加拿大 英国 法国 美国 中国 22.6% 01 53.2% 27125 CHN 2016Q2 季度全球被攻击国家按次数占比图 绿盟科技监控数据显示,Q2 全球被 DDoS 攻击次数达到50,988 次。 占全球被攻击国家 本季度中国共发生 27,125次 DDoS 攻击,受攻击最严重的地 区是浙江、广西、广东、香 港、江苏等东南沿海地区。 DDoS态势报告2016Q2 01 J
4、an 11 500G 1T 1.5T 2T 0 Jan 25Feb 8Feb 22Mar 7Mar 21 Apr 11Apr 25May 9May 23Jun 6Jun 20 攻击流量趋势02 Q2 单一时间点攻击流量峰值1.8T ,单次攻击峰值445.7G,300G以上的攻击 16次。 DDoS攻击峰值 Q2 季度的 DDoS 平均攻击峰值有所下降,Q2 平均攻击峰值为 16.7Gbps,相比 Q1 的27Gbps 下降38.1% 。 在2016年5月18日8点,观测到的总体攻击流量峰值达到 1.8Tbps ,比Q1 季度的 1.2Tbps增长600Gbps 。 本季度 DDoS 攻击单次最
5、高峰值为 445.7Gbps,相比 Q1 季度的 615.1Gbps 峰值有所下降。 2016Q1 和Q2 季度全球 DDoS 攻击累计总流量趋势图 2016Q1 和Q2 季度单次 DDoS 攻击事件周峰值趋势对比图 2016-05-18 08:00:00 1.8T bps 2016-01-09 08:00:00 1.2T bps 615.1Gbps 445.7Gbps 0 100 200 300 400 500 600 700 Mar 25-31Feb 26-Mar3Jan 29-Feb 4Jan 1-7 Jun 24-30May 27-Jun 2Apr 29-May 5Apr 1-7 Q2
6、 Q1 DDoS态势报告2016Q2 02 DDoS攻击次数大流量DDoS攻击次数 攻击流量各区间大小占比 本季度拥有最高攻击峰值的DDoS 攻击发生在 5月中旬,引人注意的不仅是该次DDoS 攻击的高峰值,还有此次攻击是利用TCP (含SYN 、RST ACK 、RST 、 TCP Flag Misuse 等)和 UDP 流量发起的混合攻击,主要针对TCP 和UDP 53 端口,攻击高峰持续了将近一个小时。针对同一目标的DDoS 攻击,从 4月初就 已经开始,断断续续直到6月底才彻底结束。除了上述混合攻击外,针对该目标,攻击者还多次采用了DNS Request Flood和UDP Flood
7、 混合的脉冲攻击, 脉冲波峰和波谷持续时间不断变换,有时半小时1次波峰,有时 10分钟一次波峰,攻击者试图探测该目标流量处理能力的极限。 对这些攻击进行溯源分析,我们看到,攻击者轮流调用分布在全球范围约3万4千个僵尸主机发起 DDoS 攻击。该僵尸网络主要为Billgates botnet的一个变 种,被控的主机大部分为带有高危漏洞或者弱口令的服务器,攻击峰值较大的肉鸡主要来自云端,另外少部分是被控制的网络监控摄像头。 2016Q1 vs Q2 季度各月份 DDoS 攻击次数图2016Q1 和Q2 季度各月份大流量(峰值50Gbps )攻击次数图 2016Q2季度攻击流量区间占比图 0 4,5
8、00 3,500 2,500 1,500 500 35589 30755 41701 18451 17947 20,00040,000 Jun. May. Apr. Mar. Feb. Jan. May.Apr.Mar.Feb. 300G+ 200-300G 100-200G 50-100G 20-50G 10-20G 5-10G Jan. 14590 Q1 Q1 Q2 Q2 季度DDoS 攻击峰值在 50Gbps 以上的大流量攻击共发生5254次, 峰值在 300Gbps 以上的攻击共发生 16次。 Q2 季度仍然是峰值在 10Gbps 以下的小流量攻击最多,占 比达50% ,相比 Q1 季
9、度的 40% 其所占比例继续上升。 可见攻击者越来越多地使用小流量攻击方式, 只是攻击手段更加复杂。 50-100G 100-200G 200-300G 300G+ Jun. 50% 24% 16% 7% 3% 0% 0% 50 5-10G % Q2 季度发生的 DDoS 攻击总数相比 Q1 季度有所下降。 4月份共发生 DDoS 攻击18451次,相比 3月份下降了 55.8%。 5月份发生的 DDoS 攻击继续下降,相比前一个月下降20.9%, 6月份攻击有 17947次,有所上升。 5,254 50G 次 Q2 攻击流量趋势02 DDoS态势报告2016Q2 03 攻击时间趋势03 Q2
10、 平均攻击时长1.6 小时,单次攻击最长387小时 71T。 DDoS态势报告2016Q2 04 Q2 季度平均攻击时长为 1.6 小时,攻击时长在 30分钟以下的攻击继续增长,占总数的77.6%,比Q1 季度增加 21.6%。本季度攻击时长超过 1天的攻击占总攻击 次数的 3.2%,比上一季度下降了 8.7%。我们监控到最长的一次DDoS 攻击持续了 387小时,累计总攻击流量达71TBytes。 以上几点变化反映了 Q2 季度DDoS 攻击更趋于短时攻击。其主要原因在于本季度反射攻击、混合攻击、脉冲攻击更加活跃,攻击者选择的攻击手段趋于复杂 化,使用更短的时间就达到更好的攻击效果。 201
11、6Q2 季度攻击流量区间占比图 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 2 4 h r s + 1 2 - 2 4 h r s 6 - 1 2 h r s 3 - 6 h r s 1 - 3 h r s 3 0 - 6 0 m in 攻击占比 77.6 % 单 次 最 长 持 续 攻 击 0 - 3 0 m i n 387小时 71TB 攻击类型趋势04 从攻击次数占比看,Chargen发生攻击为 27.6%,从攻击流量占比来看,SYN 为54.7%。 DDoS态势报告2016Q2 05 2016Q2季度攻击类型占比图 OthersSNMP Refleci
12、on Flood UDP Flood SSDP Reflection Flood NTP Reflection Flood CHARGEN Reflection Flood DNS Response Flood / Others ACK Flood / NTP Reflecion Flood DNS Request Flood 54.7 % SYN Flood 15.8 % 27.6 % 攻击次数 攻击总流量 攻击总次数占比(外圈) 攻击总流量占比(内圈) 图例 从攻击次数和攻击总流量占比来看,SYN Flood攻击依然在所有攻击类型中占比重较大,分别为15.8%、54.7%。另外, Q2 季
13、度各类型反射攻击比较活跃。 从攻击次数占比来看, Q2 季度反射类型的攻击占总攻击次数的62.1% ,其中 NTP 反射、 CHARGEN反射、 SSDP 反射攻击较多。 混合攻击趋势05 从流量来看,混合攻击占总比33.7%,其中 2-3 种混合攻击占97.4%。 DDoS态势报告2016Q2 06 SYN+UDP 2016Q2 季度混合与非混合攻击手段占比图混合DDoS 攻击种类数占比图 混合攻击按混合类型发生次数统计分布图 2 Vectors 3 Vectors 4 Vectors 4+ Vectors 7.1% 1.5% 1.1% 97.4 % 我们对使用混合攻击手段发起的攻击进行分析
14、,统计其混合攻击使用的种类 数占比情况,如下图所示,发现混合攻击中2至3种攻击类型的混合较为常 见,占总体分布的 97.4%。 Q2 季度的 DDoS 攻击次数和大流量 DDoS 攻击事件相比 Q1 有所下降,但攻击 手段更加复杂,我们观测到很多利用几种流量混合发起的攻击,这类攻击相 比单类型攻击,对攻击目标网络破坏能力更强。从攻击总流量占比看,利用 混合攻击手段发起的攻击流量占总类型分布的33.7%。 本季度最常见攻击混合类型为SYN Flood和UDP Flood攻击混合,占全部混 合类型的 36.1% 。 另外发现较多使用反射攻击流量混合的情况,例如NTP Reflection Floo
15、d和 UDP Flood混合, CHARGEN Reflection和NTP Reflection Flood混合, 也有部分是 NTP Reflection 和SSDP Reflection Flood混合。 反射类型参与的混合攻击占全部混合种类的23% 。 Single Vector Attack Multi-Vector Attacks 90.3% SYN + UDP Flood DNS Request +UDP Flood 36.1% 33.7% 16.1 % 另外,对攻击者最常使用的混合类型做了统计, 其占比如图所示。 NTP Reflection + UDP Flood N T P
16、 R e fl e c t io n + S S D P R e f le c t io n F lo o d DNS Request + SYN Flood 8.1%7.6% Protocol NULL + UDP Flood 4.1% Protocol NULL + syn + UDP Flood 2.8% 2 . 5 % DNS Response + UDP Flood 5.6% CHARGEN Reflection + NTP Reflection Flood 8.1% 反射攻击趋势06 Q2 季度反射类型攻击比较活跃,我们对各类反射攻击的次数和流量分别进行了统计。 DDoS态势报告2016Q2 从攻击次数上看,本季度CHARGEN Reflection Flood 攻击最为 活跃,攻击次数占比 38.1% ,其次是 NTP 和SSDP Reflection Flood。 从攻击流量上来看, NTP Reflection Flood攻击流量占比最多, 为36. 1% ,其次是 DNS Reflection Flood攻击,攻击流量占比为 24.8%。 201
