劉鍥

2018年上半年DDoS攻防仍如火如荼發(fā)展，以IoT設(shè)備為反射點(diǎn)的SSDP反射放大尚未平息，Memcached DDoS又異軍突起，以最高可達(dá)5萬(wàn)的反射放大倍數(shù)、峰值可達(dá)1.7 Tbps的攻擊流量成為安全界關(guān)注的新焦點(diǎn)。

DDoS這一互聯(lián)網(wǎng)公敵，在各種防御設(shè)備圍追堵截的情況下，攻擊者夜以繼日地鉆研對(duì)抗方法、研究新的攻擊方式；而且往平臺(tái)化、自動(dòng)化的方向發(fā)展，不斷增強(qiáng)攻擊能力。以下是騰訊安全云鼎實(shí)驗(yàn)室主要從2018年上半年DDoS攻擊情況的全局統(tǒng)計(jì)、DDoS黑色產(chǎn)業(yè)鏈條中的人員分工與自動(dòng)化操作演進(jìn)兩個(gè)方面進(jìn)行的分析闡述。

此外，就目前企業(yè)用戶面臨的嚴(yán)峻的DDoS攻擊威脅，騰訊云也提出了大禹GDS全球一體化DDoS防護(hù)體系，旨在為用戶的業(yè)務(wù)保駕護(hù)航。

一、全局統(tǒng)計(jì)分析

1. 2013～2018年DDoS流量峰值情況

DDoS攻擊流量峰值每年都不斷地被超越，2018年3月份針對(duì)某游戲攻擊的Memcached DDoS，其峰值1.7 Tbps達(dá)到了一個(gè)新的高度。雖然已經(jīng)關(guān)閉了大量的Memcached的UDP端口，但其5萬(wàn)的反射放大倍數(shù)，仍使攻擊者可利用少量未關(guān)停UDP端口的Memcached反射點(diǎn)，打出大流量攻擊。所以在短短的三個(gè)月里，Memcached DDoS已成為反射放大的一股主要力量。

2. DDoS攻擊行業(yè)分類情況

隨著各行各業(yè)的互聯(lián)網(wǎng)化，DDoS的攻擊面也越來(lái)越多，這里列出了14種主要行業(yè)。游戲行業(yè)因其日流水量最大、變現(xiàn)快，一直站在利益的風(fēng)口浪尖上，當(dāng)仁不讓地成為DDoS首選的攻擊目標(biāo)，也是上半年各行業(yè)中遭受攻擊最多的行業(yè)。值得關(guān)注的是在醫(yī)療、物聯(lián)網(wǎng)和教育等傳統(tǒng)行業(yè)互聯(lián)網(wǎng)化后，也遭受到了不同程度的攻擊，且呈上升的趨勢(shì)。

在游戲行業(yè)中，手機(jī)游戲已超過(guò)了PC客戶端游戲成為了DDoS攻擊的主要目標(biāo)。H5游戲的崛起，也成為了DDoS的關(guān)注點(diǎn)，占整體攻擊的1.4 %。這里我們首次把游戲的第三方服務(wù)歸結(jié)到游戲中，游戲的飛速發(fā)展催生了大量的第三方服務(wù)商，包括但不限于游戲虛擬財(cái)產(chǎn)買賣平臺(tái)、數(shù)據(jù)分析、電競(jìng)、美術(shù)/音樂(lè)外包、游戲云服務(wù)和游戲資訊等各個(gè)環(huán)節(jié)。

3. DDoS攻擊的類型占比統(tǒng)計(jì)

在攻擊類型中，反射放大占比最多，約為55.8 %。Mem- cached作為2018年三月以來(lái)的新興反射放大力量，迅速被DDoS黑產(chǎn)界利用，其在整體的占比中也相當(dāng)大。反射放大占比如此之多的一個(gè)原因是DDoS黑產(chǎn)的自動(dòng)平臺(tái)化，即無(wú)需人工干預(yù)，完全自動(dòng)流程可完成攻擊的所有操作。

SYN Flood排名第二，一直是DDoS的主要攻擊手法。隨著DDoS黑產(chǎn)的平臺(tái)化，SYN Flood的載體也發(fā)生了改變，由海量的肉雞漸漸轉(zhuǎn)移到了發(fā)包機(jī)上（以偽造源IP的SYN Flood為主）。

HTTP Flood作為7層攻擊的主要方式，因?yàn)橐⑼暾腡CP連接，不能夠偽造源IP，所以還是以肉雞側(cè)發(fā)動(dòng)攻擊為主。但云鼎實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)，HTTP Flood也開(kāi)始向代理服務(wù)器和發(fā)包機(jī)發(fā)展。在互聯(lián)網(wǎng)上獲取海量的代理服務(wù)器相比肉雞的抓取容易很多，以代理服務(wù)器頻繁地變換真實(shí)的IP，再加上交互的模擬，可以使HTTP Flood很難被發(fā)現(xiàn)。而發(fā)包機(jī)的方式，雖不能變換IP，但可以頻繁變換UserAgent的內(nèi)容，以突破針對(duì)HTTP Flood的防御。

下圖給出了幾種反射放大的反射源地域分布情況。從抽樣數(shù)據(jù)統(tǒng)計(jì)可見(jiàn)，LDAP、NTP和Memchached為主的反射源Top 10的國(guó)家重合度很高，以美國(guó)、中國(guó)和歐洲國(guó)家為主。SSDP反射源因IoT設(shè)備的問(wèn)題，導(dǎo)致其地域分布有所不同。

4. DDoS所對(duì)應(yīng)的C2地域分布

近年來(lái)國(guó)內(nèi)的互聯(lián)網(wǎng)安全措施持續(xù)加強(qiáng)。通過(guò)監(jiān)控發(fā)現(xiàn)，在國(guó)內(nèi)的C2漸漸有外遷的現(xiàn)象。還有一些持有高性能肉雞的黑客，看到了虛擬貨幣的逐利遠(yuǎn)遠(yuǎn)大于DDoS攻擊，將一部分高性能肉雞轉(zhuǎn)去挖礦，鑒于以上原因針對(duì)用于DDoS的C2監(jiān)控難度越來(lái)越大。

5.家族情況

通過(guò)對(duì)攻擊家族的監(jiān)控，其主要以Xorddos、Billgates、Mayday、Dofloo、Nitol和Darkshell等家族為主。Xorddos是發(fā)起攻擊最多的家族，甚至每天多達(dá)上萬(wàn)次的攻擊，攻擊類型多以SYN Flood為主其他攻擊類型為輔的組合攻擊。Nitol家族是發(fā)起HTTP Flood攻擊最多的家族，還會(huì)輸出SYN Flood、ICMP Flood和TCP Flood等攻擊。以上家族攻擊的統(tǒng)計(jì)中，針對(duì)各個(gè)行業(yè)的攻擊都有涉獵，游戲行業(yè)無(wú)疑是攻擊的首選。

6.被攻擊IP的地域情況

DDoS攻擊目標(biāo)按地域分布統(tǒng)計(jì)中，國(guó)外受攻擊最多的國(guó)家是美國(guó)，其次是韓國(guó)和歐洲國(guó)家為主，DDoS攻擊的主要目標(biāo)還是聚集在互聯(lián)網(wǎng)發(fā)達(dá)的國(guó)家中。

在國(guó)內(nèi)各省的統(tǒng)計(jì)來(lái)看，受到DDoS攻擊較多的省份是長(zhǎng)三角、珠三角和京津片區(qū)，即中國(guó)的互聯(lián)網(wǎng)發(fā)達(dá)省份，其中以江浙兩省最多。

7.每月百G以上攻擊流量情況

以每月的超過(guò)百Gbps的攻擊次數(shù)統(tǒng)計(jì)來(lái)看，百Gbps流量分層占比相差不多。100 ～ 200 Gbps占比最大，基本都在75%以上，而超過(guò)300 Gbps的流量攻擊次數(shù)較少。

8.攻擊流量帶寬分布情況

在攻擊流量的分層統(tǒng)計(jì)上，1～ 5 G的攻擊次數(shù)最多，占比約38%。通過(guò)統(tǒng)計(jì)可得到，大多數(shù)的攻擊均為100 Gbps以下的流量攻擊，超過(guò)百G的攻擊累計(jì)占總攻擊次數(shù)不到5%。整體的攻擊流量平均峰值約在5.2 Gbps左右。

9.攻擊時(shí)長(zhǎng)分布占比情況

在攻擊時(shí)長(zhǎng)來(lái)看，占比最多是1 min以下的攻擊，約占38.7%。其主要攻擊方式是瞬時(shí)攻擊，即以極大的流量直接癱瘓掉攻擊的服務(wù)，導(dǎo)致大量用戶掉線、延遲和抖動(dòng)等。5 ～ 10 min也占相當(dāng)大比例，約28.7%。抽樣統(tǒng)計(jì)平均攻擊時(shí)長(zhǎng)約1 h，單次攻擊最長(zhǎng)時(shí)長(zhǎng)約54天。

二、DDoS黑色產(chǎn)業(yè)鏈條演進(jìn)

這里從黑產(chǎn)中的人員分工與自動(dòng)化操作兩個(gè)方面進(jìn)行DDoS發(fā)展的闡述。

1.傳統(tǒng)DDoS攻擊

早期的DDoS一般是黑客一個(gè)人的游戲，從工具開(kāi)發(fā)、bot傳播、接單和攻擊等都獨(dú)自完成。隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的飛速發(fā)展，網(wǎng)絡(luò)攻擊獲利越來(lái)越多，催生了DDoS攻擊的大量需求，例如競(jìng)品的攻擊、DDoS勒索等。高額的利益便會(huì)催生對(duì)應(yīng)工作的精細(xì)化分工，DDoS的黑產(chǎn)也不例外。針對(duì)傳統(tǒng)DDoS攻擊的專業(yè)化人員分工進(jìn)行分析：

發(fā)單人：也可以稱為金主，是DDoS攻擊后的直接獲利者，他們提出攻擊需求。

擔(dān)保商：也可以稱為中間人，是DDoS黑產(chǎn)中較出名的人物，在各個(gè)不同分工人員間做“信任”擔(dān)保，與交易環(huán)節(jié)的資金中轉(zhuǎn)工作。擔(dān)保商也會(huì)自己架設(shè)接發(fā)單平臺(tái)或即時(shí)通訊工具群等形式來(lái)擴(kuò)大自己的知名度，帶來(lái)更多的DDoS攻擊業(yè)務(wù)。

接單人：也可以稱為攻擊手，通過(guò)操作C2服務(wù)器或發(fā)包機(jī)直接發(fā)起DDoS攻擊。

流量商：通過(guò)擔(dān)保商或直接將國(guó)外購(gòu)買的流量服務(wù)器售賣給攻擊手。

肉雞商：手頭上擁有大量的肉雞資源，通過(guò)擔(dān)保商或直接將肉雞售賣/出租給攻擊手。

黑客軟件作者：開(kāi)發(fā)botnet程序，反射放大程序等各種DDoS工具。

這樣的多種分工，使DDoS在技術(shù)難度上被拆解，技術(shù)門(mén)檻降低，部署更容易。同時(shí)給互聯(lián)網(wǎng)安全人員的分析與溯源帶來(lái)更大的困難。在分析中我們發(fā)現(xiàn)，有一些人員也可能同時(shí)擔(dān)當(dāng)多個(gè)角色。

雖然這種比較早期的DDoS攻擊分工已十分成熟，但還是存在一定的不足之處：

（1）成單難以保障：擔(dān)保商、接單人都具有不確定性，發(fā)單人付費(fèi)后，可能會(huì)存在針對(duì)目標(biāo)的攻擊沒(méi)有效果或根本沒(méi)有發(fā)起攻擊的情況，給發(fā)單人造成經(jīng)濟(jì)損失。

（2）響應(yīng)周期較長(zhǎng)：從發(fā)單人提出需求到真正達(dá)到攻擊效果，需經(jīng)過(guò)發(fā)單人、擔(dān)保商（或其搭建的各種對(duì)接平臺(tái)/即時(shí)通訊工具群等）、接單人等幾個(gè)環(huán)節(jié)，時(shí)間上需要幾小時(shí)甚至到幾天不等。

（3）攻擊效果不能保證：攻擊手一般手動(dòng)遠(yuǎn)程操作C2服務(wù)器或發(fā)包機(jī)針對(duì)目標(biāo)服務(wù)器進(jìn)行攻擊，攻擊手所掌握的botnet或發(fā)包機(jī)規(guī)模不同，攻擊的流量達(dá)不到保證。

2.目前DDoS攻擊

鑒于傳統(tǒng)DDoS攻擊的不足，促使了DDoS多個(gè)環(huán)節(jié)的自動(dòng)化發(fā)展，頁(yè)端DDoS攻擊平臺(tái)便是發(fā)展的結(jié)果之一。其高度集成管理，在成單率、響應(yīng)時(shí)長(zhǎng)、攻擊效果等方面都得到了可行的解決。在人員分工上，有了新的發(fā)展：

擔(dān)保商淡出DDoS黑產(chǎn)圈，發(fā)單人可直接在頁(yè)端DDoS攻擊平臺(tái)下單、支付費(fèi)用，且可以根據(jù)自己的攻擊目標(biāo)的情況選擇攻擊方式與流量大小，保障了百分之百的成單率。

攻擊手已被自動(dòng)化的攻擊平臺(tái)取代，不需要手動(dòng)操作攻擊。從發(fā)起攻擊命令到真正開(kāi)始攻擊，一般延時(shí)在10 s左右，再也不用等幾小時(shí)或幾天了。

發(fā)包機(jī)提供人替代了流量商角色，且完成發(fā)包機(jī)的程序部署、測(cè)試，最終給出發(fā)包機(jī)的攻擊類型、穩(wěn)定流量和峰值流量等各種定量且穩(wěn)定的攻擊能力。穩(wěn)定的攻擊流量保障了最終的攻擊效果。

站長(zhǎng)成為了頁(yè)端DDoS攻擊平臺(tái)的核心人員，進(jìn)行平臺(tái)的綜合管理、部署和運(yùn)維工作。例如：DDoS攻擊套餐管理、注冊(cè)用戶（金主）管理、攻擊效果與流量穩(wěn)定保障還有后續(xù)的升級(jí)等。

不同的頁(yè)端DDoS攻擊平臺(tái)也有不同的實(shí)現(xiàn)，但其操作流程、核心功能都很相似。上圖給出了其技術(shù)解讀：從此圖中可見(jiàn)，用戶注冊(cè)、套餐付費(fèi)、攻擊發(fā)起等在用戶側(cè)都可以完成，不需要其他人員參與。對(duì)比傳統(tǒng)DDoS攻擊來(lái)看，已完成了全自動(dòng)的無(wú)人值守攻擊方式。在圖中調(diào)用傳統(tǒng)肉雞的攻擊形式很少，主要是調(diào)用發(fā)包機(jī)的攻擊方式。發(fā)包機(jī)中主要配置的是反射放大的各種程序和其對(duì)應(yīng)的反射源列表，偶爾會(huì)有偽造源IP的SYN Flood、動(dòng)態(tài)變化UserAgent的HTTP Flood（如goldeneye工具）。

三、趨勢(shì)展望

綜上所述，上半年的DDoS攻擊無(wú)論從流量的角度還是從次數(shù)的角度來(lái)看，都上升了一個(gè)新的高度。

DDoS黑色產(chǎn)業(yè)鏈的人員與技術(shù)的演進(jìn)降低了整體DDoS入門(mén)的門(mén)檻，在溯源監(jiān)控中發(fā)現(xiàn)，有的DDoS黑產(chǎn)團(tuán)伙平均年齡20歲左右，甚至有未滿16周歲的學(xué)生也是其中的一員。

在DDoS的整體防御上，建議用戶采用具備大帶寬儲(chǔ)備和BGP資源的云服務(wù)商防御方案。如騰訊云大禹?yè)碛?0線BGP IP接入資源，豐富的場(chǎng)景化防護(hù)方案。

隨著智能AI設(shè)備與物聯(lián)網(wǎng)的飛速發(fā)展，DDoS的新宿主平臺(tái)不斷出現(xiàn)，DDoS攻防戰(zhàn)會(huì)越來(lái)越激烈?？梢灶A(yù)期，2018年下半年DDoS會(huì)呈現(xiàn)出多樣化的發(fā)展：

（1）類似于Memcached DDoS的新反射放大方式會(huì)不斷的被曝光與利用；

（2）智能設(shè)備的發(fā)展會(huì)催生出新平臺(tái)下的botnet產(chǎn)生，且這些平臺(tái)基本防護(hù)措施薄弱，更成了DDoS的溫床；

（3）隨著打擊DDoS力度的不斷加大，P2P式僵尸網(wǎng)絡(luò)或半去中心化變種方式有望重回風(fēng)口，讓DDoS難于監(jiān)控與溯源分析；

（4）基于暗網(wǎng)的DDoS平臺(tái)將逐漸替代目前流行的頁(yè)端DDoS攻擊平臺(tái)，使其平臺(tái)的存活時(shí)間更長(zhǎng)。