2015僵尸网络与DDoS攻击专题报告.PDFVIP

2015僵尸网络与DDoS攻击 专题报告 1 关键信息 热点事件 2015年12月，著名黑客组织匿名者（Anonymous ）向土耳其宣战谴责其支持某极端组织，土耳其互联网 由此遭遇大规模网络攻击导致400,000个网站离线，攻击流量峰值带宽高达40Gbit/s 。 僵尸网络现状 僵尸网络变得更易扩张，平台亦更加多样性，路由器和物联网（IoT ）均成为僵尸网络寄宿平台新宠； 同时也更善于伪装，商业趋利目的也更加明确。先进的僵尸网络更具备CaaS （Crime as a Service ）特点。 从全球来看，僵尸主机分布TOP3 国家为中国、印度、美国；控制服务器分布TOP3 国家分别为美国、俄 罗斯、荷兰。 中国大陆，僵尸主机分布TOP3地区为广东、河南和江苏；控制服务器分布TOP3地区为上海、北京和浙江。 中国大陆，排名TOP5的僵尸网络依次为：Boer_Family、Remote-trojan.Nethief、Yoddos_Family 、BillGates、 IMDDOS。 僵尸网络趋势预测 僵尸网络的种类和平台会持续呈现多样化特点。 在利益驱动下，利用物联网智能设备构建的僵尸网络会出现爆发式增长。 作为网络攻击的基础设施之一，僵尸网络的CaaS特点会越来越普遍。 专家观点 僵尸网络治理是全社会共同的责任，只有阻断控制服务器域名请求流量并关闭控制服务器，同时追究幕 后黑客的法律责任，才能从根本上遏制僵尸网络扩张。 基于DNS流量监控僵尸网络，检出率高且具备很好的跨平台性，是最有效的僵尸网络检测、过滤技术。 1 2015僵尸网络与DDoS攻击专题报告 DDoS攻击现状 政治分歧、恶意竞争、敲诈勒索、经济犯罪依然是DDoS攻击的主要动机。 攻击呈现两种趋势：要么是以各类反射攻击或者大报文Flood挤占网络带宽，要么是以慢速攻击精准打 击互联网金融或者游戏等业务系统。 各类反射攻击横扫全球，依靠物联网的SSDP协议发起的UDP反射放大攻击呈现上升势头，UDP反射源更 增添SQL RS新成员；HTTP反射攻击成为攻击新宠。 路由器和物联网成为DDoS攻击源头新宠。 为有效躲避安全设备的过滤，僵尸网络发起的应用层DDoS攻击经常拟人化。 DDoS攻击同样具备CaaS特点，CaaS有效扩大了DDoS攻击的网络范围和攻击强度。 在中国大陆地区，浙江、广东、北京、上海的DDoS攻击事件比较集中。 SYN Flood 、UDP Flood、HTTP Get Flood、DNS Query Flood依然是DDoS攻击的惯用手段。与2014年相比， UDP类反射放大攻击频率明显增加，超百G攻击多由超大报文SYN Flood或UDP类反射放大攻击组成，常见的 UDP类反射放大攻击主要有NTP、DNS、SSDP 、Chargen反射攻击。 攻击目标主要为游戏、电子商务、互联网金融、博彩等，恶意竞争是主要攻击动机，游戏行业是DDoS 攻击重灾区。 2015僵尸网络与DDoS攻击专题报告 2 DDoS趋势预测 随着CT向IT化发展，IT向云化发展，DDoS攻防对抗的形势会更加严峻。 数量庞大的UDP和WEB开放服务器以及物联网智能设备会促使混合型的反射放大攻击在未来几年内流 行，并进一步提升攻击流量峰值带宽。更多的反射源将会被挖掘出来。 随着全球范围内超大流量DDoS攻击频率逐步提升，运营商和企业均需要on-premise+cloud分层防御方案。 专家观点 相比传统DC ，云DC安全现状更加严峻。只有安全防护作为SaaS ，云DC提供商才有动力加大基础设施的 安全投入。先进的云DC已经将DDoS防护作为SaaS提供给租户，并逐步加大防护方案建设投入。 针对业务系统的慢速DDoS攻击，属于精准攻击，更适合逐包检测技术，并配合业务访问IP信誉学习才能 有效防御攻击。 传统防御技术受到挑战。DDoS防御设备厂商或DDoS防护服务提供商必须积极投入如业务访问信誉学 习、基于业务流量模型自动构建防御策略、全球威胁情报共享等新型防御技术的研究和应用。 3 2015僵尸网络与DDoS攻击专题报告 2 热点事件 热点事件 媒体报道，12月份，著名黑客组织匿名者发布视频谴责土耳其支持某极端组织，并声称如果土