2019年第四季度DDoS攻击报告-网盾网络安全培训学校

2019年第四季度DDoS攻击报告

在过去的一个季度中，DDoS组织者继续利用非标准协议进行放大攻击。在上一次报告中介绍了WS-Discovery之后，犯罪分子转向Apple远程管理服务（ARMS）。最早使用ARMS的攻击是在2019年6月，10月初该协议已被DDoS即服务提供商使用。根据BinaryEdge门户网站的数据，在本季度初，将有近40,000个运行带有ARMS的macOS的系统。

本季新闻

第四季度P2P僵尸网络数量的增加，它们独立于C＆C服务器。在2019年第四季度，360研究人员介绍了两个新的僵尸网络。第一个被称为Roboto，它通过Webmin漏洞攻击Linux服务器，但尚未进行DDoS攻击。第二个P2P网络Mozi网络，使用的DHT分布式协议。

一些攻击者正在更新武器库。在2019年10月和11月，研究人员观察到TCP反射攻击，在过去的两年中此类攻击一直在增加。十月份，Eurobet以及土耳其的金融和电信公司、Amazon和SoftLayer（IBM的子公司）受到攻击。

第四季度，对南非互联网服务提供商的攻击仍在继续。 10月下旬，服务提供商EchoRSAWEB和Cool Ideas受到攻击；在针对商业组织的DDoS攻击中，十月份发现针对南非，新加坡和Scandinavia金融机构的攻击活动。攻击者向受害者发送诈骗勒索电子邮件，并进行了简短的演示DDoS攻击；Minecraft服务器在遭到垃圾流量轰炸，服务器为玩家创造一个“无毒的环境”，但这个项目不仅吸引了爱好和平的玩家，也出现了大量攻击者。

执法机构在打击DDoS中表现突出。11月初，中国逮捕了控制着20多万个网站的僵尸网络组织，在20个城市进行同时行动，有41人被拘留。同月美国判处谢尔盖·乌萨蒂克（Sergey Usatyuk）13个月的监禁，罪名是他与加拿大不明同伙一起经营DDoS服务。这些网络罪犯从2015年到2017年一直很活跃。13个月中该服务被38.6万个客户使用，实施了380万次DDoS攻击。

季度和年度趋势

与上一个报告期相比，第四季度的攻击次数有所增加。总数上升幅度不大，但智能攻击增长了四分之一。更重要的是，不仅攻击次数增加了，而且攻击的平均持续时间也增加了。将第四季度与去年同期相比，2019年攻击翻了一番。

总体而言，与2018年相比，2019年所有指标都有明显增长。智能攻击的总数和平均持续时间都有显著增长，攻击的最大持续时间也增长。

第四季度的DDoS攻击次数和持续时间较上一季度有所增加，从过去几年的趋势来看，预计2020年第一季度将出现小幅下降，但仍将高于2019年同期。

数据统计

本报告包含2019年第4季度的DDoS统计数据。当僵尸网络活动周期之间的间隔不超过24小时时，才会将该事件计为单个DDoS攻击。DDoS攻击受害者和发送命令的C&C服务器的地理位置由IP地址决定。本报告中DDoS攻击目标数IP地址数计算。

季度总结

从攻击次数来看，中国再次位居第一，但其所占份额略有下降（第四季度为58.46%，第三季度为62.97%）；新进入前十名国家：日本（以4.86%的得票率排名第三）和越南（0.68%）；按攻击目标数排名前三的国家与按攻击次数排名的国家相同：中国（53.07%）、美国（22.01%）和日本（6.14%）；DDoS僵尸网络的活动在整个季度分布均匀；有三起持续时间超过了20多天；在攻击类型中，SYN泛洪（6%）占第一。基于TCP的攻击比例仍在增长，超过了UDP洪泛。；Windows和Linux僵尸网络的比例几乎没有变化，后者占97.4%；C&C服务器数量减少了一半以上。