奇安信發(fā)布春節(jié)期間DDoS攻擊報(bào)告：被攻擊 IP 數(shù)增加?37%

2021年2月22日，奇安信旗下羲和實(shí)驗(yàn)室發(fā)布了春節(jié)期間DDoS攻擊報(bào)告。報(bào)告顯示，春節(jié)期間奇安信星跡DDoS觀測系統(tǒng)累計(jì)觀測到反射放大DDoS攻擊事件 65912 個(gè)，涉及被攻擊IP 57096個(gè)。與春節(jié)前一周相比，DDoS攻擊事件數(shù)增加約25%，被攻擊 IP 數(shù)增加37%?？梢姡汗?jié)期間DDoS攻擊呈顯著增加態(tài)勢。

圖1 被攻擊 IP 全球分布熱力圖

報(bào)告指出，反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式。攻擊者只需要付出少量的代價(jià)，即可對需要攻擊的目標(biāo)產(chǎn)生巨大的流量，對網(wǎng)絡(luò)帶寬資源（網(wǎng)絡(luò)層）、連接資源（傳輸層）和計(jì)算機(jī)資源（應(yīng)用層）造成巨大的壓力。2021年春節(jié)期間，奇安信在星跡平臺上觀測到了反射放大DDoS攻擊事件 65912 個(gè)，絕大部分被攻擊 IP 分布于中國香港和美國。

根據(jù)羲和實(shí)驗(yàn)室司南平臺統(tǒng)計(jì)的被攻擊 IP 地理分布顯示，被攻擊 IP 數(shù)量排名前五的國家或地區(qū)分別是中國香港、美國、英國、中國大陸及法國。絕大部分（約 68.3%）被攻擊 IP 分布于中國香港（被攻擊 IP23731 個(gè)，全球占比約 41.6 %）和美國（被攻擊 IP 15244 個(gè)，全球占比約 26.7%）。中國大陸有 1770 個(gè)被攻擊 IP。與春節(jié)前一周相比，春節(jié)假期期間中國香港被攻擊 IP 數(shù)量激增20倍（從1154 個(gè)增加至23731 個(gè)），中國大陸被攻擊 IP 數(shù)略有下降（從 1981 個(gè)降至 1770 個(gè)）。春節(jié)假期期間，國內(nèi)被攻擊 IP 主要分布于我國東部及南部省份，如圖2所示：

圖2國內(nèi)被攻擊 IP分布熱力圖

從攻擊時(shí)長統(tǒng)計(jì)來看，大部分反射放大 DDoS 攻擊事件持續(xù)時(shí)間較短，75% 的反射放大 DDoS 攻擊事件持續(xù)時(shí)間為 124 秒以下。最長一次攻擊事件持續(xù)了 49.3 小時(shí)。

從被攻擊端口統(tǒng)計(jì)來看，受害者遭受反射放大 DDoS 攻擊的服務(wù)以 80 端口上的 Web 服務(wù)為主；部分受害者的 443 端口、53 端口及部分游戲服務(wù)器所開放端口同樣遭受了攻擊。被攻擊端口對應(yīng)攻擊事件數(shù)統(tǒng)計(jì)如圖3所示（只顯示數(shù)量排名前十位的端口）。

圖3 被攻擊端口對應(yīng)攻擊事件數(shù)統(tǒng)計(jì)

而在攻擊手段統(tǒng)計(jì)方面，春節(jié)假期期間，在進(jìn)行反射放大 DDoS 攻擊時(shí)，攻擊者傾向于利用有漏洞的 NTP 和 Memcached 服務(wù)進(jìn)行攻擊。在所觀測到的全部反射放大 DDoS 攻擊事件中，不同攻擊手段所對應(yīng)攻擊事件數(shù)如圖4所示：

圖4不同攻擊手段所對應(yīng)攻擊事件數(shù)統(tǒng)計(jì)

奇安信技術(shù)研究院研發(fā)的星跡系統(tǒng)是一個(gè)大網(wǎng)威脅監(jiān)測系統(tǒng)，該系統(tǒng)力求在“看見攻擊”的基礎(chǔ)上“看懂攻擊”：從單點(diǎn)的Passive DNS、Whois、蜜罐等數(shù)據(jù)走出去，聚焦僵尸網(wǎng)絡(luò)、黑產(chǎn)、APT，從攻擊團(tuán)伙、惡意程序家族、在野漏洞等視角切入，以提供更高層次的觀測維度。利用星跡系統(tǒng)，安全人員可以對大網(wǎng)DDoS事件進(jìn)行實(shí)時(shí)監(jiān)測，發(fā)現(xiàn)攻擊前的“風(fēng)吹草動(dòng)”并記錄過程中的攻擊行為，實(shí)現(xiàn)提前預(yù)警和事后溯源。

發(fā)布該報(bào)告的羲和實(shí)驗(yàn)室是奇安信旗下專注于互聯(lián)網(wǎng)基礎(chǔ)協(xié)議與基礎(chǔ)設(shè)施的安全研究、數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)威脅檢測與防御技術(shù)研究的技術(shù)團(tuán)隊(duì)。以該實(shí)驗(yàn)室成員為核心組成的戰(zhàn)隊(duì)曾獲得GeekPwn2018年第二名、GeekPwn2019年第一名的成績，多個(gè)漏洞挖掘研究成果獲得微軟、Google、Apple等國際知名廠商致謝。羲和實(shí)驗(yàn)室研制的天罡安全基礎(chǔ)數(shù)據(jù)平臺和司南網(wǎng)絡(luò)空間威脅導(dǎo)航平臺，擁有國內(nèi)最大規(guī)模的PassiveDNS與網(wǎng)絡(luò)主動(dòng)測量數(shù)據(jù)，可結(jié)合大數(shù)據(jù)分析技術(shù)驅(qū)動(dòng)對大網(wǎng)威脅的分析、捕獲以及溯源。

（注：本文攻擊數(shù)據(jù)來自于星跡 DDoS 觀測系統(tǒng)，IP 相關(guān)信息來自于司南平臺。）

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。