DDoS报告团伙规模
攻击资源活跃度分析
在攻击源活时间的监测中发现,和 2019 年趋势一致,存活时间大于 10 天的攻击资源占比 11%。像这种能够长期被控制的肉鸡大部分都是物联网
设备,物联网设备大都存在设备系统老,人员维 护少,更新慢等问题。一旦被感染,就会成为僵尸网络中的一员,并且长期被控制。
高活跃度资源类型
高活跃度资源物联网设备占比 22%,相比去年占比提高了 10 个百分点。
活跃攻击资源地域分布
根据攻击源 IP 的活跃持续时间分布,活跃时间达十天以上的攻击源,我们视为高活跃度攻击资源, 这些资源一般存在明显的安全隐患极易被利用,威胁程度较高。
从全球分布来看,高活度攻击源主要分布在美国、中国,其次是俄罗斯。从国内来看,高活 度攻击源在沿海和经济发达地区分布密集,其中中国台湾、浙江、中国香港和安徽的高活度攻击源 最多。这些地区往往网络基础设施
数量基数更大,同等安全防护水平下存在安全隐患的设备资源也 更多。
图 3.29 活跃程度较高的攻击资源全球分布 数据来源:绿盟科技威胁情报中心(NTI )
图 3.30 活跃程度较高的攻击资源全国分布 数据来源:绿盟科技威胁情报中心(NTI )
攻击资源惯犯分析
在 2020 年的 DDoS攻击中, 4%的惯犯 [^1] 承担了 78% 的攻击事件。可以看出,惯犯的威胁程度大, 不容忽视。
攻击资源异常行为类型分析
参与 DDoS 攻击的攻击资源异常行为类型相比去年更为丰富。 2020 年参与过 DDoS 的攻击源中, 41% 攻击源发起过多种异常行为,相比 2019 年,最高异常行为由 8 种增加到 12 种。
从下图中的异常行为类型分布可知, 8.7% 的攻击源曾被僵尸网络所控制; 8% 的攻击源有过发送垃 圾邮件行为; 58. 1% 的攻击源被威胁情报标记曾经多次进行 DDoS 攻击,这些攻击源往往包含能够被远 程控制且长期未得到修复的漏洞,或具备反射能力。
图 3.33 DDoS 惯犯异常行为类型占比 数据来源:绿盟科技威胁情报中心(NTI )
此处,“ DDoS 惯犯”意指长期出现且发起 DDoS 攻击 20 次以上的 IP
#### 攻击资源团伙行为分析
DDoS 攻击通常以协作方式从多个来源发起, DDoS 惯犯们常常共同组合发起攻击,我们将这样的
群体称为“ IP 团伙”。在本报告中,我们基于绿盟科技 2020 年全年 DDoS 攻击数据,识别了多个 IP 团伙并系统研究了他们的团伙行为。
采用这种研究方法背后的逻辑是:如果两个 IP的历史攻击行为相似,那么他们则被划分为一个团伙。 团伙行为的相似性主要体现在两方面:
(1)短时间内行为相似:反复在同一时刻用相同攻击手段对同一目标发起攻击。 (2)长周期行为相似:在不同时期反复对相同目标发起相同手段攻击。
在本节中,我们对 IP团伙行为进行了统计分析,并且对重点团伙进行了刻画。通过分析,我们发现: 观点一:能够长期稳定被控制的攻击团伙,组成成员大部分是物联网设备, IDC数据中心等基础设施。 观点二:单一团伙的攻击总流量最高达到 3624TB,这个最大攻击总流量是去年的两倍以上。
团伙规模
2020 年共发现 45 个活跃团伙,团伙规模分布如下,大部分团伙规模都在 200 到 1 万之间。成员数 量大于 1 万的大团伙有 4 个,其中规模最大的团伙成员高达 4.9 万个。
3.6.5.2 团伙攻击总流量
各团伙的流量分布如下,涵盖了来自同一团伙所有成员的全部攻击。单一团伙的攻击总流量最高达 到 3624TB,这个最大攻击总流量是去年的两倍以上。
图 3.35 攻击总流量各区间团伙数量分布 数据来源:绿盟科技威胁情报中心(NTI )
3.6.5.3. 团伙攻击资源类型
能够长期被操控的团伙攻击资源主要就是 IDC和物联网设备,统计团伙所有攻击资源类型,占比最高 的就是物联网设备,占比 31%。其中,占比最高的为 15%的摄像头、 12%的路由器设备和 3%的网络电话。
### 物联网攻击资源分析
参考资料
绿盟 2020 DDoS攻击态势报告
友情链接
GB-T 31167-2014 信息安全技术 云计算服务安全指南