第二季度DDos攻击情况：中国首当其冲，攻击电竞、直播或成新趋势

近日卡巴斯基分析了2018年第2季度的DDos攻击情况，因报告详实缜密，篇幅较长，为便于阅读，本文整理出了部分内容。

(报告原址：https://securelist.com/ddos-report-in-q2-2018/86537/)

[[238239]]

一、总述

在2018年第二季度，网络犯罪分子延续了上述在UDP传输协议中寻找异国漏洞的趋势。不久其他复杂的攻击扩增方法会相继出现。值得注意的另一项技术发现是使用UPnP协议创建僵尸网络的潜力;但幸运的是它们在野外仍然非常罕见。

Windows僵尸网络活动减少：特别是Yoyo活动经历了多次下降，Nitol、Drive和技能也有所下降。与此同时，Xor对Linux的攻击显著增加，而另一个声名狼藉的Linux僵尸网络——Darka活动则略有减少。而最流行的攻击类型是SYN泛滥。

二、2017 – 2018年DDoS攻击力的变化

2018年上半年与2017年的下半年相比，平均和最大攻击力显着下降。这可以通过通常在年初观察到的季节性减速来解释。然而，2017年和2018年H1指标的比较表明，自去年以来，攻击力有了可观的上升。

增加攻击力的一种方法是第三方放大。黑客继续寻找通过广泛流行的软件中新的(或遗忘的旧)漏洞来放大DDoS攻击的方法。这一次，KDP团队检测并击退了数百Gbit / s容量的攻击，该攻击利用了CHARGEN协议中的一个漏洞——这是一种非常简单的旧协议，在1983年以RFC 864的方式出现。

CHARGEN被用于测试和测量，可以监听TCP和UDP套接字。在UDP模式下，CHARGEN服务器使用字符串长度为0到512个随机ASCII字符的数据包响应任何请求。攻击者使用此机制向易受攻击的CHARGEN服务器发送请求，其中传出地址由受害者的地址替换。US-CERT估计放大因子为358.8倍，但这个数字有些随意，因为响应是随机产生的。

尽管协议受到时代和内容范围的限制，但可以在Internet上找到许多开放的CHARGEN服务器。它们主要是打印机和复制设备，在这些设备中，软件默认启用了网络服务。

正如KDP和其他提供商(Radware，Nexusguard)报告中所提到，在UDP攻击中使用CHARGEN可能表明，使用更方便的协议(例如，DNS或NTP)的攻击效果正在减弱，因为打击这种UDP泛滥的方案越来越完善。但因这种攻击操作难度低，使得网络犯罪分子不愿放弃它们; 相反，他们希望现代安全系统无法抵制过时的方法。虽然对非标准漏洞的搜索无疑会继续下去，但由于易受攻击的服务器缺乏补充资源(老式复印机连接到互联网的频率有多高?)，CHARGEN型放大攻击不太可能风靡世界。

如果网络犯罪分子在方法上变得复杂，那么当谈到目标时，他们就会开辟新天地。针对家庭用户的DDoS攻击很简单但不盈利，而对公司的攻击则有利可图的，但却很复杂。现在，DDoS规划者已经找到了一种方法来充分利用网络游戏行业和流媒体的两个世界。以日益流行的电子竞技比赛为例，在这种比赛中，胜利者会赢得成千上万的美元，有时甚至是几十万美元。最大的比赛通常在特殊的场地举行，有专门设置的屏幕和看台，但参加资格赛的人通常都在家参与。在这种情况下，一个精心策划的DDoS攻击能轻易使战队在比赛初期就出局。比赛服务器也可能成为攻击目标，而破坏的威胁可能会促使比赛组织方支付赎金。根据卡巴斯基实验室客户数据，DDoS攻击电子竞技游戏玩家和网站的目的是拒绝访问，未来会趋于普遍。

同样，网络犯罪分子正试图将视频游戏流媒体渠道的市场货币化。流媒体专业人士展示了流行游戏的现场直播，观众捐赠了少量资金来支持他们。当然，观众越多，流媒体每次播放获得的钱就越多; 顶级球员可以赚取数百或数千美元，这基本上是他们的工作。这一细分市场的竞争非常激烈，DDoS攻击使其能够干扰直播，导致用户寻找替代方案。与电子竞技运动员一样，家庭宽带几乎无法抵御DDoS攻击。他们基本上依赖于他们的互联网提供商。目前唯一的解决方案可能是建立专门的平台，提供更好的保护。

三、季度“业绩”

DDoS攻击的暴风雨期是本季度的开始，尤其是4月中旬。相比之下，5月下旬和6月初相当平静。

中国保持了攻击次数最高点(59.03%)，其次是香港(17.13%)。中国的DDoS攻击目标数量也居首位。

SYN攻击的比例急剧上升至80.2%; 第二名是10.6%的UDP攻击。

Linux僵尸网络的攻击份额显着增加到所有单一家庭攻击的94.47%。

详情

中国的份额几乎没有变化(59.03%，第一季度为59.42%)。然而，自监管开始以来，香港首次跻身前三，从第四名上升至第二名:其份额增长了近五倍，从3.67%增至17.13%，挤掉了美国(12.46%)和韩国(3.21%)的份额，这两个国家的股价分别下跌了约5%。此外，马来西亚令人意外，它的排名迅速上升至第五位，目前占DDoS攻击总数的1.30%。澳大利亚(1.17%)和越南(0.50%)也跻身前十，而日本、德国和俄罗斯则退出了榜单。英国(0.50%)和加拿大(0.69%)分别进入第八和第七。

DDos攻击目标的领土分布大致与攻击数量的分布一致:中国占比最大(52.36%)，比上一季度增加了5个百分点。第二名是美国(17.5%)，第三名是香港(12.88%)，取代韩国(4.76%)。英国从第4位下降到第8位，现在只占目标的0.8%。

四、结论

自上一季度以来总攻击持续时间变化不大，但中期攻击的比例增加，而较短攻击的占比减少。攻击的强度也在不断增加。网络犯罪分子最赚钱的目标似乎是加密货币，但我们很快就会看为获得小额赎金发起针对电子竞技比赛和流媒体的DDOS攻击愈发普遍。因此，市场需要的个人防御DDoS攻击方案。