前言
相比于去年同期的DDoS攻击情况,2018年第三季度的DDoS攻击只能用相对平静来概括。之所以要用“相对”,是因为没有发生什么大规模且持续性的DDoS攻击。然而,DDoS攻击的技术能力却迭代很快,且攻击总量没有任何下降的迹象。
2018年7月,据暴雪娱乐开发团队的推特消息,暴雪于7月遭受了黑客的DDOS攻击,包括《守望先锋》在内的多款暴雪游戏受到严重影响。 这是今年最具影响力的DDoS攻击新闻了,受到影响的游戏如守望先锋、魔兽世界中玩家都能发现存在长时间的延迟等待和连接问题。甚至部分用户在Twitter上反应游戏的Battle.net服务器已经不存在,且阻止他们三天内使用同一账号进行游戏登录。在线竞技类游戏对于DDoS攻击者而言是很有吸引力的目标,实时对战游戏中轻微的延时也会造成游戏参与者无法及时作出反应和操作,这也是为什么实时竞技类游戏是对黑客而言非常有吸引力的目标,攻击者通过制造大规模的混乱获取所谓的“知名度”。果然一个名为PoodleCorp的组织声称对此事负责。该组织在Twitter上发信息称,如果受影响的游戏玩家能将他们的一篇推文进行转发,且转发量导到2000,就终止攻击。
从7月12日开始,育碧旗下的游戏近来出现了大规模的服务器不稳定情况,不少PS4用户特别是玩家在登录账号和使用多人模式时遇到连接问题,虽然育碧在几小时后解决了问题,但在14号所有平台又一次出现了服务器连接方面的状况,而目前情况似乎已经得到了解决。而根据育碧官方的报告,这次大规模的连接问题是由于他们的服务器受到了DDoS攻击,导致许多游戏受到了延迟影响,包括《孤岛惊魂5》、《彩虹六号:围攻》、《荣耀战魂》、《幽灵行动:荒野》以及《极限巅峰》。据该公司发言人表示,用户数据没有被泄露。不过目前育碧官方没有指出本次DDoS的攻击发生的原因,不过从时间上看,这次攻击和游戏进行的一些更新有关。
另外就是英语地区最大的三家扑克网站: America’s Card Room,PokerStars和Partypoker,也受到了DDoS攻击,且持续数天。为此运营者被迫取消了一些赛事,这引发了玩家的不满。8月5日,美国棋牌室(America’s Card Room)因受DDoS攻击而被迫取消三场比赛。8月9日,扑克派对(partypoker)因玩家抱怨掉线问题而取消当天比赛,次日官方在推特发布声明称扑克室也受到了DDoS攻击。这波攻击一直持续到8月14日,扑克之星(PokerStars)成为第三家受到DDoS攻击的线上扑克室。
线上扑克室受到DDoS攻击的原因有两种,一种是竞争对手所为,一种是黑客为了勒索扑克室所为。
和往常一样,几乎可以肯定的是,DDoS攻击也可能是由政治紧张引起的。8月底,瑞典社会民主党(Swedish Social Democratic Party)网站遭到长达6分钟的攻击,就是这种政治攻击的一个鲜明例子。同样,在一个月后,政治因素也是加州一位民主党国会候选人的网站遭遇攻击的原因。一旦DDoS攻击和“政治”标签挂上了钩,很可能就会引发公众的社会情绪,煽动他们,比如有人试图对德国能源公司莱茵-威斯特法伦进行攻击,这些人士通过攻击其官方网站,试图将公众的注意力转移到即将被砍伐的哈姆巴赫森林上。
然而,针对南非共和国劳工部的攻击却让人摸不着头脑(这起攻击发生在9月初,根据该部门发言人的说法,没有内部系统或数据受到损害)。针对荷兰政府服务DigiD的攻击动机同样具有不确定性:7月底它在一周内被攻击了三次,造成大量公民无法访问税务服务等功能。同样,没有数据遭到泄露。
尽管新出现了一些新奇的技术和一些新的漏洞,但总的来说,这个季度的DDoS攻击的工具没有太多变化和更新,且一些新的技术都在专家的监测内。比如,在7月20日,研究人员发现了针对D-Link路由器僵尸网络的大规模“招募活动”,其中涉及到超过3000个IP,但只用到一个C&C服务器。根据目前的观测,这种攻击不是很成功,它是否能够创建一个新的用户路由器僵尸网络还有待观察。
不过,也有比较成功的且没有大规模感染的木马,比如7月底新出现的Death僵尸网络。Death是黑客Elit1Lands最新研发的工具,它是利用AVTech漏洞来入侵监控摄像头并构建僵尸网络,目前Death还没有用于发起大规模的DDoS攻击,不过Elit1Lands对该僵尸网络的攻击很有信心,因为Death很适合传播垃圾广告邮件和进行间谍活动。
此外,在8月底和9月初,安全专家首次看到了Mirai和Gafgyt僵尸网络的最新迭代版本,它们利用了SonicWall和Apache Struts中的漏洞(Struts中的漏洞还与美国征信公司Equifax的大规模数据泄露事件有关)。
对于因入侵网络而受罚的黑客,美国联邦检察院还有另一种处罚方式。去年12月,Mirai僵尸网络案背后的三名黑客(Paras Jha,Josiah White 和 Dalton Norman)对联邦指控表示认罪,面临长达五年的监禁和25万美元的罚款。但在9月18日举行的听证会上,他们只被判处五年缓刑、12.7万美元罚款和2500小时社区服务,而社区服务包括了必须与FBI合作这一条。
根据联邦检察官在听证会前提交的文件,这三人已经在协助FBI阻止网络攻击,并制定出更好的策略来避免新的攻击。截至目前,他们至少在12个调查案件中发挥了作用,他们已经累积了超过1000小时的社区服务时间。
另外,George Duke-Cohan,最终被英国犯罪调查局给逮捕,被可能被引渡到美国受审。警方表示,杜克在实施自己的犯罪计划时坐在一个电脑前,在电脑屏幕后面自娱自乐,完全没有考虑到自己对他人造成的影响。据悉,这是杜克第三次被逮捕,他承认自己不仅对美国和英国各地的学校发出了大量电子邮件和恐吓信,还给航班工作人员打了恶作剧电话,假装焦虑不安,声称自己的女儿在那架飞机上被持枪歹徒劫持了,其中一名持枪歹徒还携带了炸弹。
第三季度的攻击趋势
与去年第三季度相比,DDoS攻击的数量在9月份时略有增加,而和今年夏季比,DDoS攻击的数量明显下降。
DDoS攻击的季度数量在2017 2018年的变化量
从上图可以看出,与去年相比的轻微增长主要得益于9月份的增长,9月份在所有攻击事件中所占的比重最大(大约是2017年的5倍)。与去年相反,7月和8月则相对平静。在2017年,却没有这样的情况发生。
2017年和2018年第三季度的DDoS攻击数量
DDoS会在每年9月份激增,攻击的主要目标是教育系统,大学和考试中心的网络资源是攻击者的最爱。9月12日,英国著名学府爱丁堡大学遭到袭击,袭击持续了近24小时。
有人臆测,这种攻击是国家间进行的攻击,不过根据卡巴斯基实验室的调查,这种攻击大多发生在上学期间,假期时攻击会停止。英国非盈利组织Jisc也得到了几乎相同的结果,他们通过收集对大学攻击的统计数据,发现学生度假时受到的攻击更少。每天的攻击规律也是如此,学校在上午9点到下午4点期间经历了DDoS攻击占了很大比例。
这种攻击的频率和学生的作息紧密相关,很可能是学生自己发起的这些攻击,他们可能只是对老师、同学或者学校不爽。专家们就在社交网络上找到了一个相当有趣的样本,一个学生对其他宿舍的服务器发起了DDoS攻击,企图让他的游戏对手掉线。
不出所料,以后每年的DDoS攻击都会出现这种规律性的变化,除非学校对这种攻击严查或做好网络防护。然而,应该指出的是,虽然大多数攻击都是由学生发起的,但这并不意味着这种攻击的危害性不大。
例如,9月份针对美国供应商Infinite Campus的DDoS攻击中,其攻击力度之大、持续时间之长甚至引起了国土安全部的注意。
虽然9月份DDoS攻击的高潮可以用开学的这个时间来解释,但DDoS攻击的整体数量下降却难以解释。研究人员认为,这是由于大多数僵尸网络运营者将其攻击的重点放在了更有利可图的挖矿上。
近来,DDoS攻击的成本下降了很多,但这只是针对使用者来说的。至于研发的成本依然很大,比如他们得购买必备的处理能力(有时甚至是整个数据中心),写一个自己开发的木马或修改一个现有的(如流行Mirai),再使用木马来构建一个僵尸网络,找到买家,开始攻击等。更不用说,这些东西都是非法的。执法部门的行动无孔不入,比如Webstresser.org网站被关闭后,紧接着一连串的逮捕行动就是一个很好的执法案例。webstresser.org被认为是全球DDoS服务的最大市场,截至2018年4月,已有超过136 000名注册用户和400万次攻击。它常被策划针对银行、政府提供关键在线服务的机构和警察部队的攻击,博彩业也是其受害者。
而与DDoS攻击形成对应的是,加密货币的挖掘是合法的,唯一非法的一面就是使用别人的硬件。如果挖矿技术娴熟,这种操作是可以在目标系统上静默运行的,并不占用太多资源,执法者也不太可能干涉。有些网络犯罪分子甚至将原来已经攻击过的DDoS设备进行二次利用,转换为采矿。例如,8月就有安全研究人员发现了一场针对MikroTik路由器的大规模恶意劫持活动,利用Mikrotik企业路由器中的一个已知漏洞来接管路由器,向用户访问的页面注入Coinhive挖矿脚本。用户打开该网页后即开始挖掘门罗币,而挖矿所得将转发至黑客的账户地址。因此,成功的僵尸网络yoyo的DDoS活动下降非常低,尽管没有关于它被拆除的信息。据悉,这场恶意攻击已经波及到全球几十多万台MikroTik路由器。
统计分析
统计方法
以上的监测数据是专家使用卡巴斯基实验室专用的DDoS情报系统收集的僵尸网络信息。作为卡巴斯基DDoS保护的一部分,DDoS智能系统会拦截并分析木马从其管理和控制服务器接收的命令,自动启动保护,不需要等到用户设备被感染或攻击者执行时,才启动。
本文的僵尸网络攻击次数是按一下规则计算的:以24小时为一个计算单位,即使同一个目标被多个不同的僵尸网络攻击,也被视为一次攻击活动。如果两个相同的攻击活动间隔未超过24小时,则被认为是一次持续的DDoS攻击。如果超过24小时或更长的时间,则被记录为另一个攻击活动。
DDoS攻击受害者的地理分布,以及受到影响的命令服务器都是根据受害者的IP地址进行记录的。注意:本文只根据IP地址的数量来统计DDoS攻击的目标数量。另外,本文的DDoS统计数据仅限于由卡巴斯基实验室检测和分析的僵尸网络。僵尸网络只是用于DDoS攻击的工具之一,本文不涉及统计期间发生的所有DDoS攻击。
总结分析
1.与以往一样,中国受到攻击的次数最多(78%),美国第二 (12.57%),澳大利亚第三(2.27%),韩国首次退出了前10名;
2.攻击目标的分布也是差不多的趋势:韩国排名最后,澳大利亚生到第三名;
3.至于攻击数量,通过僵尸网络发起的DDoS攻击高峰出现在八月,7月初则较为平静;
4.虽然持续性攻击的数量有所下降,但持续时间少于4个小时的短期DDoS攻击却增长了17.5%(增长至86.94%),总的攻击目标的数量增加了63%;
5.与上一季度相比,linux僵尸网络的攻击数量有所增加。另外,DDoS攻击的技术没什么变化, SYN Flood (SYN洪水) 仍然排在第一位(83.2%);
6.本季度,托管命令服务器数量的国家/地区也出现了较大变化,像希腊和加拿大这样的国家,现在都进入了前十,并且排名很高。
攻击目标的地理分布
中国仍然占据着榜首,其所占比例从59.03%飙升至77.67%,美国第二名,其所占比例为12.57%。
另外,韩国首次跌出前10名,其市场占比从上季度的3.21%下滑至0.30%,从第4位下滑至第11位。与此同时,澳大利亚从第六位上升到第三位,现在它占了DDoS攻击总量的2.27%。这表明,过去几个季度,欧洲大陆的增长趋势仍然很明显。香港从第二名跌至第四名,其市场占比从17.13%跌至1.72%。
除韩国外,马来西亚也进入了前十,新加坡(0.44%)和俄罗斯(0.37%)分别排在第七位和第十位。与第二季度相比,它们的占比几乎没有变化。法国在第二季度占全部DDoS攻击数量的比例是0.43%,排在第十;而这一季度它的比例下降至0.39%,但排名反而上升至第八名。这是因为中国的统计占比加大,导致了排名的变化。
同样, 10名开外的所有国家的总占比也从3.56%降至2.83%。
2018年第二季度和第三季度DDoS攻击的对比图
攻击目标的数量占比上,中国的占比增达到70.58%。攻击目标数量排名的前五与攻击数量排名的前五一致,但前十名的还是有差别的,韩国还为了其中,尽管它的占比从4.76%下跌至0.39%。此外,马来西亚和越南跌出了前十,分别被俄罗斯(0.46%,第八名)和德国(0.38%,第十名)所取代。
2018年第二季度和第三季度按国家划分的DDoS目标数量
DDoS攻击的趋势变化
本季度的开始和结尾的攻击数量并不多,但是8月和9月初的数量明显增多,可以从下图看出很多高峰和低谷。最大的高峰期出现在8月7日和20日,这与提交论文和公布录取分数的日期有间接联系。7月2日是最安静的一天。相比于本季度的开始阶段,末尾阶段的攻击虽然不是很多,但攻击的次数仍然比开始时多。
2018年第三季度DDoS攻击动态的变化
本季度的每日攻击次数相当平均,不过周六还是比平时数量多一些 (占比为15.58%),而周三是本周最安静的一天(占比为12.23%)。
2018年第二季度和第三季度DDoS攻击,每日攻击次数的变化
DDoS攻击的持续时间和攻击类型
本季度中持续时间最长的一次攻击持续了239个小时,差不多有10天了。而上个季度最长的一次持续了近11天(258小时)。
但总的来说,大规模的、持续性的攻击大大减少了。超过140个小时攻击几乎绝迹了, 5到9个小时的攻击也在下降,从14.01%下降至5.49%。然而,4小时以下的短时间攻击几乎增加了17.5%,达到86.94%。与此同时,总的攻击数量较上季度增长63%。
2018年第二季度和第三季度的大规模的、持续性的DDoS攻击的变化
攻击类型的趋势与上一季度基本相同,SYN Flood (SYN洪水) 的使用率还是排第一,它的占比甚至增长到83.2%(第二季度为80.2%,第一季度为57.3%)。UDP攻击排在第二名位居第二,其占比也小幅上涨,为11.9%(上季度为10.6%)。其他类型的攻击都有所下降,但排名却相对稳定,HTTP攻击仍然是第三,TCP攻击和ICMP攻击分别是第四和第五。
2018年第二季度和第三季度的DDoS攻击类型
windows和Linux僵尸网络的攻击比例与上个季度差不多,相比上季度,其中Windows僵尸网络的占比涨了1.4%,达到了95.86%,而Linux僵尸网络的占比下降了。
Windows vs. Linux僵尸网络
僵尸网络地理分布
在僵尸网络命令服务器数量最多的10个地区中,美国仍然是第一,尽管其占比从上季度的44.75%下降到37.31%。俄罗斯攀升至第二位,其市场占比从2.76%增至8.96%,增长了两倍。希腊排名第三,它在服务器中占比为8.21%,比上一季度有所上升。中国的占比为5.22%,仅排在第五位,加拿大占比6.72%。
与此同时,排名十名之外的国家的总占比有了大幅增长,几乎上升了5%。目前,这一比例为16.42%。
僵尸网络命令服务器
总结
在过去三个月里,没有重大的DDoS攻击事件,这与上一季度形成了鲜明的对比,9月份对学校的攻击激增尤为明显,这已经成为固定的趋势了。
另一个引起关注的趋势是,对同一目标进行持续性攻击的数量不断减少,僵尸网络的使用者正在用小型攻击取代大规模攻击。在过去几个季度中,研究人员已经看到了这种攻击模式的变化。
僵尸网络C&C服务器的分布连续两个季度都发生了重大变化,说明攻击者试图扩张新的攻击领域或转化新的战场,原因可能有多方面,包括经济的和法律上的反网络犯罪行动。
过去两个季度的统计数据让研究人员相信,在不久的将来,在DDoS攻击领域可能会发生一次洗牌活动。