概述网络犯罪分子一直在寻找使他们的攻击更具破坏性的手段和方法。2020年第四季度,CitrixADC(应用程序交付控制器)设备成为犯罪分子滥用DTLS接口的工具之一。DTLS(数据报传输层安全)协议用于通过UDP建立安全连接,大多数DNS查询以及音频和视频流量都可以通过该连接发送。为了扩大攻击范围,攻击者将请求发送到具有启用DTLS接口的设备,从而欺骗受害者的IP地址。结果,受害者收到的回复数据包的大小要大几倍。对于Citrix设备,垃圾流量最多可增加36倍。攻击曝光后,制造商立即发布了固件更新以配置传入请求的验证。对于不使用DTLS的用户,建议直接禁用该协议即可。去年12月的另一次著名攻击针对的是Bitcoin.org网站,该网站托管比特币核心软件,这是比特币使用最广泛的软件版本之一。当资源不足时,加密货币挖矿的新手将被邀请通过Torrent服务下载BitcoinCore的副本。这次攻击很可能与比特币的价格有关,比特币在过去一个季度一直在稳步上涨。根据Bitcoin.org背后的一位开发人员的说法,每当比特币上涨时,该网站总会受到冲击。总体而言,第四季度仍处于2020年趋势的参数范围内。网络罪犯利用知名APT组织的名义恐吓受害者,索要加密货币赎金,并进行示范攻击以支持他们的威胁。勒索活动在2020年经常出现在新闻中。自从学校和大学过渡到远程学习以来,网络犯罪分子一直试图通过向教育平台充斥大量垃圾来扰乱课堂。这一趋势在2020年的最后几个月仍在继续。10月,马萨诸塞州桑威奇和廷斯伯勒的学校网络中断。在这两种情况下,该机构最初都将事件归因于技术故障,后来才发现了攻击。去年12月,加拿大劳伦森大学报告了一次DDoS攻击。但它在几分钟内解决了问题。尽管如此,到年底,此类攻击已经变得如此严重,以至于FBI在其12月的咨询报告中将其标记为对教学设施的重大威胁,建议教育机构使用反DDoS解决方案和强大的防火墙设置。,并与ISP合作。游戏平台也没有逃过网络犯罪分子的注意。据ZDNet称,Xbox和Steam是通过Citrix设备进行放大攻击的目标。10月初,PUBGMobile团队报告了一次DDoS攻击。亲爱的玩家们,PUBGMOBILE团队目前正在积极致力于解决DDoS攻击和针对我们系统的新黑客攻击。有关信息,请在此处查看:https://t.co/DMYsxWTlCc—PUBGMOBILE(@PUBGMOBILE)2020年10月3日,在日本区,暴雪的欧洲服务器两次遭到威胁攻击者的攻击。我们目前正在遭受DDoS攻击,这可能会导致一些玩家出现高延迟和断开连接。我们正在积极努力缓解这种#BlizzCS—BlizzardCSEU(@BlizzardCSEU_EN)2020年10月2日12月下旬,数十位顶级流媒体计划通过Rust在同一服务器上玩游戏来庆祝2020年的结束。虽然没有可靠的数据,但该节目在第一次尝试时就失败了,显然是由于DDoS攻击。鉴于围绕该活动的炒作,这可能是由于粉丝的涌入造成的。2020年,随着许多人的生活转移到网上,互联网资源一再受到完全合法活动激增的困扰。至于反击,Q4最引人注目的事件是一名前ApophisSquad成员因一系列DDoS攻击被定罪,其中包括勒索赎金、通过虚假炸弹警报扰乱全球学校计划以及储存儿童色情内容。最终,肇事者被判处有期徒刑八年。对个别攻击媒介的抵抗也在继续。互联网工程任务组(IETF)发布了网络时间安全(NTS)提案,这是一种通过网络时间协议(NTP)进行数据传输的安全标准,用于同步网络时间。该文档专门针对通过协议进行的DDoS放大,并禁止发送大于请求数据包的数据包来响应请求。季度和年度趋势这一次,我们的预测准确率为50%:正如预期的那样,在2020年第四季度,我们观察到的指标与2019年同期相当甚至更高。但是,相对于2020年第三季度的增长(我们预计可能)没有发生。相反,攻击总数下降了约30%,智能攻击下降了10%。2020年第三季度/第四季度与2019年第四季度DDoS攻击量比较;2019年第四季度的数据被认为是100%然而,定性指标值得注意:第四季度智能攻击的份额略有增加,攻击持续时间数据显示短期攻击呈下降趋势,长期攻击呈上升趋势。2020年第三季度/第四季度和2019年第四季度的智能攻击份额DDoS攻击的持续时间,2020年第三季度/第四季度和2019年第四季度;2019年第四季度的数据认为100%DDoS攻击量的下降可以用加密货币市场的增长来解释。我们已经多次提到,包括在上一份报告中,DDoS活动与加密货币价格之间存在反比关系。当我们对第四季度做出预测时,几乎没有人相信它会这么快,这是一个前所未有的增长速度。毫无疑问,僵尸网络运营商已经将他们的部分能力移交给了挖矿业。有趣的是,与上一季度相比,DDoS攻击数量的明显下降是由于攻击易于组织,而智能攻击的下降可以忽略不计。这是完全合乎逻辑的:僵尸网络运营商廉价出售产能,损失挖矿利润,无利可图;因此,当价格上涨时,最先被砍掉的是业余爱好者——小学生、恶作剧者、鲁莽的人,或者,他们没有真正的理由组织DDoS。对于亲们来说,他们的兴趣不受市场波动的影响,尤其是在四季度(节假日和线上销售很多),所以他们继续下单和出击,而且多为智能出击,因为他们注重结果而不是尝试。很难说2021年第一季度会带来什么。然而,我们越来越相信DDoS市场在2018年下降后已经停止增长并完全稳定下来。目前的波动主要是由于加密货币价格的动态,并将直接取决于它们的发展。如果加密货币的价格在2021年第一季度开始下跌,DDoS攻击的数量将会增加,反之亦然。同时,我们预计不会出现爆发式增长或急剧下滑。除非出现意外,否则DDoS市场波动将保持在30%以内。2019年和2020年DDoS攻击的比较数量;2019年的数据取100%。至于2020年全年的结果,市场一年增长不到一倍。请注意,这种增长纯粹是数量上的:智能攻击的份额几乎没有变化。2019年和2020年智能攻击的共享攻击时长数据尤其值得关注。到2020年,平均持续时间减少了约三分之一,而最大持续时间总体上显着增加,尽管在智能攻击方面,平均持续时间与去年持平。这说明短期攻击越来越短,而长期攻击越来越长。我们在第四季度看到了类似的趋势。虽然原因很难确定,但我们可以假设,就像去年的所有其他趋势一样,它与大流行病、严重的全球不稳定以及加密货币市场的爆炸性增长有关。受这些因素的影响,DDoS市场正在发生变化,攻击目标和下令者以及平均攻击持续时间也在发生变化。2019年和2020年DDoS攻击的持续时间;2019年数据作为100%统计方法卡巴斯基实验室在打击网络威胁方面有着悠久的历史,包括各种类型和复杂的DDoS攻击。公司专家使用卡巴斯基DDoS情报来监控僵尸网络。作为卡巴斯基DDoS保护的一部分,DDoS情报系统拦截并分析机器人从C&C服务器接收到的命令。该系统是主动的,而不是被动的,这意味着它不会等待用户的设备被感染或命令被执行。本报告包含2020年第四季度的DDoS情报统计数据。在本报告的上下文中,只有僵尸网络活动之间的间隔不超过24小时的事件才被视为DDoS攻击。例如,如果同一Web资源在相隔24小时或更长时间受到同一僵尸网络的攻击,则这被视为两次攻击。来自不同僵尸网络但针对一个资源的僵尸请求也算作单独的攻击。DDoS攻击受害者和用于发送命令的C&C服务器的地理位置由其各自的IP地址确定。本报告中的DDoS攻击的唯一目标数量是根据季度统计中的唯一IP地址数量计算得出的。DDoS情报统计仅限于卡巴斯基检测和分析的僵尸网络。请注意,僵尸网络只是DDoS攻击中使用的工具之一,本节并未涵盖审查期间发生的每一次DDoS攻击。请注意,在2020年第4季度,其活动包含在DDoS情报统计数据中的僵尸网络数量有所增加。这可能反映在本报告中提供的数据中。季度总结在第四季度,与之前一样,中国(58.95%)、美国(20.98%)和香港(3.55%)在DDoS攻击次数方面领先。根据目标数量,排名前三的地区依次为:中国(44.49%)、美国(23.57%)和香港(7.20%)。在“最安静”的日子里,每天的DDoS攻击不超过一次。本季度最活跃的DDoS攻击日是12月31日,记录了1,349次攻击。本季度DDoS攻击最多的是周四,最少的是周日。第四季度,超短攻击(71.63%)和超长攻击(0.14%)的份额有所下降,而所有中间类别的份额有所上升。第4季度按类型重新排列了DDoS攻击的分布:UDP洪水位居第二(15.17%),而我们报告中未提及的GRE洪水成为第四大最常见事件(0.69%)。几乎100%的攻击都使用了Linux僵尸网络。大多数僵尸网络C&C服务器位于美国(36.30%)、荷兰(19.18%)和德国(8.22%)。攻击地域2020年第4季度DDoS攻击排名前三的国家与上一报告期相同。中国仍位居第一(58.95%),但份额下降了12.25个百分点,第二名是美国(20.98%),但份额上升了5.68个百分点。我们在2019年的最后三个月观察到类似的模式——中国的份额下降,美国的份额相对于第三季度上升。香港特别行政区(ADR)虽然下降了0.92个百分点,但仍位居第三(3.55%),自2020年初以来一直没有退出。这是与第三季度情况相似的地方:新加坡,排名第四上一报告期跌出前十。它被英国(1.99%)超越,上升了1.72个百分点。排在第五位的是南非(1.31%),取代了澳大利亚(0.97%),尽管其份额增加了0.32个百分点,但仍跌至第七位。加拿大(1.04%)在第三季度未能进入前10名后排名第六。荷兰下降一位至第八位(0.86%)。印度和印度也和新加坡一样跌出了TOP10的排名。德国(0.71%)和法国(0.64%)在第三季度的排名均低于TOP10。2020年第3季度和第4季度按国家/地区划分的DDoS攻击分布传统上,按DDoS目标数量排名前10位的国家与按攻击数量排名的国家/地区相似。三位领先者相同:领先者是中国(44.49%),份额下降了28.34个百分点,但仍未受到挑战。其次是美国(23.57%),份额增加了7.82个百分点,排名第三的香港增加了7.20%。虽然南非在袭击次数方面没有进入前10,但新加坡(2.21%)没有。虽然公司份额上升了1.74个百分点,但相对于三季度,公司份额有所下降,排名下滑至第五位。这是因为除中国外,排名前10位的国家的份额均有所增加。例如,排名第四的荷兰(4.34%)增长了4.07%。对于排名靠后的国家,只有出现的先后顺序才能区别于攻击次数的排名。加拿大(1.97%)超过英国(1.77%),而澳大利亚(1.29%)位居第二,仅次于法国(1.73%)和德国(1.62%)。2020年第三季度和第四季度按国家/地区划分的独特DDoS攻击目标的DDoS攻击数量动态正如预期的那样,第四季度比上一季度更加不稳定。报告期一开始相当平静:从10月3日到6日,我们每天只观察到一次攻击。然而,到10月20日,记录到347次攻击,超过了第三季度的最大值(一天内发生323次攻击)。在10月下旬和11月,DDoS活动在每天接近0到200次攻击之间波动。11月的最后几天开始出现显着增长,一直持续到本季度末,这很可能是由于卡巴斯基监控的僵尸网络数量增加,以及通常伴随的圣诞节和新年假期圣诞假期。网络犯罪活动激增的到来。在线购物(与假日相关的购物及其他)的整体增长也可能发挥了作用。在DDoS方面,本季度最热的一天是12月31日,全球记录了1,349次攻击。2020年第四季度DDoS攻击数量动态第四季度,周四仍然是一周中最活跃的一天(17.67%),尽管其占比比上一季度下降了1.35个百分点。然而,最安静的一天的标题又变了:这一次,网络犯罪分子更喜欢站在星期天(11.19%)。此外,“无风”和“暴风雨”天气罢工的差距从上一季度的近9个百分点缩小至6.48个百分点。在今年的最后三个月中,周二、周三和周五的袭击数量有所增加,而其他工作日则有所减少。2020年第3季度和第4季度按星期几划分的DDoS攻击DDoS攻击的持续时间和类型与上一报告期相比,第4季度DDoS攻击的平均持续时间有所增加。这可以归因于持续时间少于4小时的超短攻击比例显着下降(第三季度为71.62%,而第三季度为91.06%),而持续时间更长的攻击数量有所增加。具体而言,本季度持续5-9(11.78%)、10-19(8.40%)、20-49(6.10%)、50-99(1.86%)和100-139(0.10%)小时的攻击所占比例增加。相比之下,超长攻击的份额下降了0.09个百分点至0.14%,但仍高于持续100-139小时的攻击份额,而最长的攻击持续时间超过12天(302小时),其中一个点明显超过Q3最大值(246小时)。2020年第3季度和第4季度按持续时间(小时)划分的DDoS攻击(下载)分布在第4季度,按类型划分的DDoS攻击分布发生了巨大变化。SYNFloods仍然领先,但其份额下降了16.31个百分点至78.28%。与此同时,UDP泛洪占比猛增(15.17%),前三季度占比不足2%。TCP攻击次数(5.47%)也有所增加,但之前仅次于SYN攻击的ICMPflood在Q4可以忽略不计,因此我们没有将其计入统计。相反,我们的报告之前未提及的一种攻击类型GRE泛洪(0.69%)在第4季度出现。GRE(通用路由封装)是一种流量隧道协议,主要用于创建虚拟专用网络(虚拟网络)。例如,Mirai僵尸网络在2016年使用GRE洪水攻击记者BrianKrebs的博客。2020年第四季度DDoS攻击类型分布自我们开始观察以来,Windows僵尸网络的份额首次降至几乎为零(0.20%).几乎所有记录的DDoS攻击都是使用基于Linux的机器人执行的。2020年Q3和Q4Windows/Linux僵尸网络攻击比例、僵尸网络国家分布到2020年Q4,大部分用于控制DDoS僵尸网络的C&C服务器位于美国,占服务器总数的36.30%。荷兰以19.18%的份额位居第二。德国以8.22%的得分位居前三。罗马尼亚的C&C服务器数量排名第四(4.79%),法国和英国分别排名第五和第六,占比4.11%。本季度排名第七、第八和第九的国家也有相同的份额:加拿大、匈牙利和越南均为3.42%。中国(2.05%)在记录的僵尸网络C&C服务器数量上排名前十。2020年第四季度按国家/地区划分的僵尸网络C&C服务器结论第四季度既平凡又非凡。一方面,DDoS攻击的地理分布和目标没有发生意想不到的变化。另一方面,攻击类型的分布发生了根本性的变化:UDPflood攻击占比增加;ICMP攻击被GRE洪水取代。此外,在我们的观察历史上,Linux僵尸网络几乎完全占领了DDoS市场,这是第一次。我们非常希望看到另一个有数字的2020年——没有大流行,没有显着的加密货币增长,没有对DDoS市场的冲击。冠状病毒的爆发刺激了市场(见我们的第一季度和第二季度报告),而加密货币的上涨抑制了它(见我们的第三季度报告)。也许这些对立的力量最终会相互抵消,没有它们,情况会相似,但在2020年,它们联合起来在DDoS市场上掀起了一场完美风暴,使我们一半的预测偏离了正轨。很难猜测2021年会发生什么——我们无法预测大流行或加密货币的价格走势。因此,我们的预测是非常初步的:没有剧烈的震荡就等于DDoS市场变化不大。我们认为,无论是在第一季度还是2021年全年,都没有大幅增加或减少的先决条件。口号是稳定,这就是我们的预期。本文翻译自:https://securelist.com/ddos-attacks-in-q4-2020/100650/如有转载请注明出处。
