卡巴斯基实验室发布了2018年第一季度DDoS情报报告,介绍了僵尸网络辅助的DDoS攻击情况。公司的安全专家注意到旧的和新的僵尸网络的活动情况都有所增加,放大攻击变得更为普及,长期(持续多日)的DDoS攻击又重新出现。
2018年第一季度,DDoS僵尸网络对79个国家的在线资源实施了攻击。遭受攻击数量最多的国家仍然是中国、美国和韩国,这些国家在攻击者可用的服务器数量以及托管在其上的站点和服务数量方面继续领先。与此同时,中国香港和日本取代了荷兰和越南,入选遭受攻击最多的前十位国家和地区之列。
托管最多C&C服务器的10个国家和地区的变化更为明显,意大利、中国香港、德国和英国取代了加拿大、土耳其、立陶宛和丹麦。原因可能是Darkai(Mirai的一种克隆)活动的C&C服务器数量减少,AESDDoS僵尸程序显著增加,而旧的Xor和Yoyo僵尸网络恢复活动造成的。尽管这些僵尸网络中大多数是用Linux,但第一季度基于Linux的僵尸网络比例较去年末有稍微下降,比例为66%,而2017年则为71%。
2018年第1季度和2017年第4季度,按国家分布的DDOS攻击
此外,经过短暂的喘息之后,持续时间较长的攻击又回来了:本季度最长的DDoS攻击持续了297个小时(超过12天)。上次我们看到较长时间的攻击是在2015年底。
报告期结束以Memcached洪水攻击史无前例的强度为标志——有时候,这些攻击的流量超过1TB。但是,卡巴斯基实验室专家预计这些攻击是短暂的,因为Memcached洪水攻击不仅会影响被攻击目标,同样会影响参与实施攻击的企业。
例如,2月份,一家公司联系了卡巴斯基DDoS防护技术支持,抱怨他们的通信渠道过载,他们怀疑自己正在遭受DDoS攻击。结果发现,他们公司的一台服务器包含Memcached服务漏洞,被网络罪犯用来攻击另一项服务,产生了巨大的外出流量,导致自己公司的网络资源崩溃。这也是这些攻击为什么注定是短暂的原因。Memcached攻击的帮凶很快就会注意到自己服务器的高负载,并迅速修补漏洞以避免损失,从而减少了攻击者可用于攻击的服务器数量。
整体看来,之前呈现下降状态的放大攻击在第一季度势头大增。例如,尽管其有效性,我们记录到一种焊接类型的攻击,利用LDAP服务为放大器。与Memcached、NTP和DNS一起,这项服务具有最大的扩增速率。但是,与Memcached攻击不同的是,LDAP垃圾流量几乎不会完全阻塞外出出口,使得包含漏洞的服务器所有者更难发现和修复这一情况。尽管可用的LDAP服务器数量相对较少,但这种类型的攻击有可能在未来几个月内成为Darknet的热门话题。
卡巴斯基DDoS保护团队项目经理Alexey Kiselev说:“漏洞利用是业务涉及制造DDoS僵尸网络的网络罪犯最喜欢用的工具。但是,今年的前几个月显示,这种攻击方式不仅会影响到DDoS攻击的受害者,基础设施包含漏洞对象的企业也遭受影响。第一季度发生的事件重申了一个简单的事实:公司用来实施多层级在线安全的平台必须包括定期漏洞修补功能和悠久的反DDoS攻击保护功能。”
卡巴斯基DDoS保护解决方案结合了卡巴斯基实验室在打击网络威胁方面的全面技术以及公司独特的内部开发。该解决方案能够拦截所有类型的DDoS攻击,无论其复杂性、强度或持续时间如何。为了降低网络罪犯使用漏洞进行DDoS攻击的风险,卡巴斯基网络安全解决方案提供了漏洞和补丁管理组件。该产品能够让企业自动消除基础设施软件中的漏洞,主动修复漏洞并下载软件更新。