2016 Q1 DDOS攻击报告
catalogue
1. DDOS攻击态势
1. DDOS攻击态势
受害者态势
0x1: DDOS的流量区间分布
DDoS攻击存在两极分化的态势,大流量攻击次数总体次数占比较少,但是每次事件持续时间长(往往伴随着长时间攻击),平均持续时间超过30分钟,小流量攻击(10G以下、10G ~ 20G)数量较多,以短时间脉冲及慢速攻击为主,主要针对行业业务特性,造成短时间掉线攻击效果,这在一定程度上反应了DDOS CAS市场的两股势力
1. 小流量攻击: 收量测试、民间团伙小范围行动、针对特定时间点/业务活动进行麻雀战DDOS攻击 2. 大流量攻击: 有目的商业恶性竞争、跨国黑产团伙对特定目标采取定时、定量攻击
2015 年下半年 DDoS 攻击事件频发,超过 10 万次,较上半年增加 32%。大流量攻击事件(峰值超过 300Gbps)相对于 2015 年上半年环比增加 127%,最大 DDoS 攻击峰值流量达到 477Gbps
0x2: 攻击持续时间分布
攻击持续时间在 1 分钟内的攻击数量占比,在 1 小时内的攻击数量占比超过总数的 80%,这对DDOS防御方对峰值响应和快速黑洞提出了更高的挑战,"首小时防御"(First-Hour Defense),甚至是受分钟防御显得非常关键
0x3: 被DDOS受害者地域分布(国家、省份、城市)
被DDOS攻击国家分布
被攻击的国家TOP前四分别是:中国、美国、日本、加拿大
国内省份分布
国内受害者TOP前四依次是:广东、浙江、福建、江苏这些沿海城市
国内主要城市分布
可以看到,杭州、东莞、福州、广州等一线城市称为被DDOS的首要对象,这其中一部分原因是因为这些城市经济水平较发达,电商、游戏等行业的相关公司较多,因此也催生了一些不正当的恶性竞争,企业之间通过黑市购买DDOS服务攻击竞争对手,更有甚至已经形成产业联盟通过DDOS方式排斥初创公司,被攻击的一方无力维护权益,只能选择同样的DDOS反击进行反制,这种颠倒循环的恶性竞争反过来也促进了DDOS市场的繁荣
0x4: 被DDOS受害者行业分布
游戏和互联网金融行业是 DDoS 攻击的重灾区,攻击背后的动机多以商业竞争和敲诈勒索为主。重大商业活动期间成为 DDoS 攻防的关键时刻
阿里云安全团队预测,在 2016 年可能会发生流量在 800Gbps-1TGbps 之间的攻击事件。以商业竞争或敲诈勒索为背景的 DdoS 攻击威胁形势仍将严峻。游戏仍旧是 DDoS 事件高发行业。来自移动终端 APP的应用层的 DDoS 攻击将迅速崛起
僵尸网络(肉鸡)态势
0x1:肉鸡地域分布
肉鸡国家分布
肉鸡所在的国家TOP前四分别是:中国、美国、韩国、巴西,而从整体来看,中国,北美,俄罗斯是肉鸡的主要聚集地,造成这一现象的原因不外乎以下几种
1. 机房/云平台/IPS/当地运营商对恶意程序的监管力度不强,导致恶意程序种植后,能长时间稳定运行在系统中 2. 缺少对网络边界的异常流量检测和阻断,肉鸡在进行DDOS攻击时,网络上的发包特征是十分明显的,平云管理员或者ISP运营商如果采取措施阻断这种异常发包会话,可以在很大程度上减少肉鸡的活动
国内肉鸡省份分布
可以看出,广东、浙江、江苏是主要的肉鸡发源地
国内肉鸡主要成城市分布
0x2: 肉鸡主要沦陷原因
从数据中可以看出
1. 80%的肉鸡在被种马之前都受到不同程度的定向端口扫描,黑客利用类似纯真IP库这种工具进行有针对性的IP段端口扫描或者全网扫射,获取大量的疑似漏洞IP段,之后利用自动化工具进行爆破传马,这些过程已经完成实现了自动化、工具化,在很多黑客论坛上都可以轻易下载到,这极大降低了黑客抓鸡的门槛 2. 弱口令、Redis、数据库弱口令、WEBSHELL写马这些手段仍然是老司机最常用的抓鸡手段 3. SSH/RDP/MYSQL暴力破解的活跃度一直处于较高水平,并没好转的趋势 4. 尽管Redis的修复方案十分简单,只要修改配置文件并重启就可以完成,但是依然有大量用户并认识到自己的Redis存在被利用风险而继续以0.0.0.0开放在公网上,导致利用成本十分低,解决这一现象的办法可能需要平台厂商在主机层上部署HotPatch软件,从系统层面直接防御该漏洞
Redis未授权写SSH KEY漏洞自2015年11月爆发以来,一直处于活跃状态,事件呈现明显的波动趋势,黑客往往事先做好端口扫描工作,然后一次性获取大量redis肉鸡种马,在我们的监控中就发现某荷兰IP处于极度活跃状态,已经在全网获取了大量的redis肉鸡
弱口令仍然是互联网中一个极度危险的炸弹,黑客通过弱口令控制肉鸡,不断进行恶意攻击行为,包括DDOS、挖矿、Spam等
0x3: 肉鸡设备指纹分布
从全网捕获到的肉鸡的指纹分布来看,数据中心(IDC/云平台)和家庭PC占了其中比较大的比重
0x4: 肉鸡从被入侵到开始发起DDOS的时间间隔
可以看出,肉鸡从被入侵到开始发起DDOS的时间间隔区间分布呈现一个正态分布的特性,在大多数时候肉鸡在种马后并不会立刻发起肉鸡,这里面有两种原因
1. DDOS市场是一个分工化较强的行业,有专门的团伙在利用NDAY收集、字典收集、主机暴力猜解、入侵获取权限等工作,入侵机器后再通过黑市转卖给下游有需求的人员,这当中就存在一个时间间隔 2. 黑产在抓鸡、客户端肉鸡上线后并不会立刻发起攻击,中控组织者会在黑市上"接单",只有接到单之后,才会启用一定数量的肉鸡(定量)对指定目标发起攻击
在DDOS这个产业链中,黑客一般不会直接参与攻击敲诈,只提供肉鸡网络的使用权。DDOS攻击服务提供商(出量)租用肉鸡网络进行攻击。而攻击者(上游金主)去购买DDOS服务。所以这种三层模式中,攻击者的成本是相当的高,特别是一些有规模的网站都有足够的带宽去扛DDOS。所以与之对应,一旦到了DDOS攻击的地步,相对的敲诈勒索金额也会随之增加了,这直接催生了由DDOS衍生出的敲砸勒索,对于一些特殊行业的DDOS的攻击敲诈是可以产生暴利的,特别是讲究实时运行的网站
同时,从另一个方面来说,产业的分工化的肉鸡的上下游流转也给防御者带来一个启发,即使防入侵的第一道防线被突破后,在主机层恶意文件检测、以及网络恶意流量检测层面依然有足够的时间进行实时数据分析并且阻断后续的DDOS行为,防御者应该意识到,阻断入侵固然是根本,但是切断肉鸡的后续变现和出量能力,也同样能达到切断长尾的效果
僵尸中控态势
DDOS攻击在国内有两种情况,一种是黑客控制大量肉鸡网络(被黑客控制的电脑)进行攻击,或者是拥有带宽资源的IDC机房背地攻击。后者多出现在一些很特殊的情况中,以敲诈勒索为主要目的的。阿里云某游戏用户向阿里云安全团队反映,他们收到来自某数据中心运营者的报价,希望该游戏用户将服务器以托管的方式迁移至指定的数据中心。游戏用户拒绝对方后,服务器便遭到连续的大流量 DDoS 攻击。我们认为,攻击背后很可能涉及所谓的"行业机房"产业
0x1: 僵尸中控网络地域分布
由于国内特殊的网络边界环境,因此僵尸网络在组网的时候有明显的国内外分化特征,即专门用于打国内的僵尸网络和专门用于打国外的僵尸网络,因此下文对它们分开讨论
国内中控省份分布
国内中控省份排名TOP前四依次是:浙江、广东、江苏、北京
国内中控主要城市分布
国内中控主要城市分布TOP前五依次是:杭州、北京、深圳、青岛、佛山
国外中控地域分布
国外中控地域排名TOP前四依次是:美国(洛杉矶、加尼福尼亚机房)、韩国(南韩机房)、孟加拉国、加拿大
0x2: 中控存活情况
截至目前,阿里云共检测到中控IP接近1万个左右,需要注意的是,这里面包括中控迁移遗和域名重绑定留下的历史IP,其中能感知到活动的活跃中控IP大约在1000个左右
从存在时间区间分布情况来看,中控IP的存活率普遍较高,在黑产圈,这些中控IP的组织者被称为打手,有些技术成熟、服务体系完善的DDOS提供商甚至能长达半年持续维护肉鸡群而不掉线,这得益于传统PC端杀软为针对云上/IDS机房的特定场景开发特定的杀毒软件,僵尸客户端恶意检测对抗的循环还未形成。这直接导致的结果就是业内流行度极高的肉鸡客户端甚至没有任何免杀和Bypass手段,却依然可以在受害者机器上持续稳定运行而不被发现和清除
0x3: 中控木马类型分布
各类中控木马使用范围分布
各类中控木马使用频度(活跃程度)分布
1. 国内的中控客户端有一部分是从国外引入的,还有另一部分是某些中大型组织自己编码并传播的 2. Nitol这款马有很多名字,例如穿盾、鬼影、金戈铁马、血杀压力测试、暴风等,它是黑产圈使用最广的一款马之一 3. 同时我们注意到虽然xorddos、gates系列变种使用范围不如nitol马这么多,但是在实际的DDOS事件中,xor和gates的出场率却占了绝对的比重,这得益于这2款马的主/分控上线机制,以及稳定的集群特性,使用很多中大型黑客都使用这2款马进行组网,而也同时是这些黑客有能力提供criminal as service服务,向上游的购买者金主提供稳定的ddos服务
值得注意的是,在DDOS市场上鱼龙混杂、挂羊头卖狗肉的案例屡见不鲜,很多黑客通过更换皮肤、图标、名字,将相同的马/集群包装后又重新出售,骗取金钱,典型的如
DDoSTF/天罚 NetBot/NB) ServStart.X/拉登 LC7.X/Darkshell 穿盾/GYddos(鬼影)/Nitlol/刺客 Yoddos.A/Zusy/killall Nitol.B/穿盾/鬼影/金戈铁马/血杀压力测试/暴风 Rincux/Apple/V10/CCTV/统治者 10991.BillGates_B/Elknot/M4 AES(台风AES-DDOS) MrBlack/Sword Linux路由器CC Chikdos/Elknot Xorddos/8UC
0x4: 中控惯用端口
中控惯用使用端口排名前10分别为:25000、12081、25002、1230、2866、20012、2431、2480、5275、2452
0x5: 各种中控马的使用地域分布(按照中控类型来分类)
这块数据目前还缺少海外数据的支撑,查询出来的结果基本都集中在中国,不能够全面反映真实情况,等行山把海外机房上线后,单独标记出海外机房的数据后,再重新进行统计
0x6: 僵尸网络控制肉鸡的规模数量分布
从数据中可以看出,僵尸网络的肉鸡规模呈现两头的趋势,大部分的为30台肉鸡以下的散户,同时在上万数量级这个层面也有较多的中控,这背后的原因是国内外DDOS市场中有一些成熟的大型组织,它们维护了大量的稳定在线肉鸡集群,同时对外提供压测服务以及受害
其中,115.28.206.48是我们监控的最大的一个中控团队,我们监控到与其通信的肉鸡数量高达上万个,一直处于活跃状态
0x7: 中控迁移手段: 躲避take down和溯源侦查
一般来说,包括MMD(malware must die)、甲方云厂商、Cert等机构会对发现的恶意中控IP/Port,会采取IP封禁、DNS域名禁止解析等手段打击僵尸网络的基础设施,中控组织者为了对抗这种手段,会采取以下几种手段
1. 定期更换端口: 平台每个中控使用过3个以上的连续端口 2. 更换中控IP 3. 更换中控域名: 域名和IP的更换常常是组合交叉进行的,即将同一个域名绑定到不同IP,以及将同一个IP绑定到不同域名
需要注意的是,不管是IP、端口、还是域名的更换,对僵尸网络的组网来说都是一个较大的工程,这涉及到重新抓鸡,虽然有一些僵尸客户端具有主备域名、多域名、双上线等容灾功能,但也不能支持不断更换上线信息的需求
除了这些主流手段之外,黑客还将"代理思想"引入了僵尸网络上线架构设计中
FTP Server保存文件(ip.txt)上线
在FTP服务器上写入一个ip.txt,内容就是你的主控端监听的IP地址和端口。当你的IP地址改变之后,你只需要再次更新这个ip.txt的内容即可。在配置木马的时候,只需要按照FTP上线方式的格式配置上线地址
QQ昵称上线
这是一种公共信道的隐藏方式,大灰狼/猎狐远控就采用了这种上线方式(DNS/IP/QQ昵称混合)
QQ空间资料上线
和QQ昵称的上线方式一样,都是将加密后的上线信息写在一个可公共HTTP/API/JSON访问的地方,常常是社交媒体(提高隐蔽性),对于马来说需要增加一个网络IO获取过程和解密过程,其他过程和传统的木马上线方式一样
借助第三方域名空间代码中转上线
这种木马使用的第三方域名实际上是利用第三方网站能够写入并及时修改自己的通信数据。木马编写者往往会寻找知名的网站,至少不会出现宕机的情况,以保持肉 鸡的持久性控制。这样的网站很多,比如说博客类网站等等。可以提前发表一篇博文,并在博文里插入控制命令,之后特制的木马,就会去获取控制命令,同时木马 也可以模拟编辑博文,写入执行结果的数据
这种方式的缺点是无法进行大批量的数据传输,像文件传输这样的功能虽然也可以实现,但是"用户体验"很差,所以这种上线方式的木马,大多被用来当作一个隐蔽的后门木马,只需要有一个文件下载和CMD Shell的功能
Gmail CNC/Twitter
利用gmail/twitter作为交互消息的中转,可以参考gdog的思路
IRC Bot
利用IRC中继组网方式管理CNC和Bot Client的通信
WEBSHELL Bot
WEBSHELL Bot本质上不是新技术,它和gmail bot/irc bot的逻辑架构是一样的,都是由Client发起异步轮询指令,并将执行结果回传,等待CNC异步取回的模式
其他
利用聊天平台(如telgram)进行组网通信、微信服务号、smart-qq、甚至p2p网络组网
DDOS攻击方式态势
0x1: 总体攻击类型分布
从总体情况来看,DDOS攻击依然是以SYN/NTP/SSDP UDP攻击为主,而且SSDP从2015年开始,呈逐渐上升趋势,开始逐渐占领反射攻击的半壁江山,在一起DDOS攻击中,平均有2种及以上攻击方式混合,以SYN和SSDP反射这种组合为主
0x2: 在各个攻击流量层次中攻击类型分布
0 ~ 20G流量攻击攻击类型分布
可以看到,在小流量突然性的DDOS攻击事件中,反射类的攻击占了一半的比例,其次是UDP Flood、SYN Flood,在这类小流量攻击中,攻击者往往并不追求大流量长时间的攻击,只需要一个瞬间的波峰,让目标受害者服务短暂掉线或者游戏掉线即可
20 ~ 50G流量攻击攻击类型分布
到了20G~50G这种数量级,攻击者往往开始倾向于选择使用僵尸网络进行SYN攻击,同时SSDP反射也占用一定的比例
200G以上流量攻击攻击类型分布
在200G以上的大流量攻击中,SSDP反射攻击的使用频度占了一半以上
0x3: 在各个攻击流量层次中控木马使用频度分布
0 ~ 5G流量攻击中控木马使用频度分布
5 ~ 20G流量攻击中控木马使用频度分布
50G ~ 100G流量攻击中控木马使用频度分布
200G以上流量攻击中控木马使用频度分布
从数据中可以看出,在10G及以下这个DDOS流量层面,DDOS市场呈现百家争鸣的局面,各种流行程度不等的中控木马参与其中,而当流量上升到100G甚至上百G的时候,僵尸网络使用的Bot就开始呈现单一化,以xor、gates这种稳定linux集群为主,这也从侧面反应了在百G大流量市场的垄断化、专业化、团队化的现象
0x4: 在各个攻击流量层次中中控动用的肉鸡数量分布
这块数据需要pcap的精细成分分析
0x5: 反射攻击逐渐占领半壁江山
技术上来说,所有可以通过UDP发起请求,同时返回包具有一定放大比(返回包和请求包大小的比值)的端口服务都可以被利用进行UDP反射放大攻击,下标大致说明了各个协议的放大比
| DNS | 28 to 54 |
| NTP | 556.9 |
| SNMPv2 | 6.3 |
| NetBIOS | 3.8 |
| SSDP | 30.8 |
| CharGEN | 358.8 |
| QOTD | 140.3 |
| BitTorrent | 3.8 |
| Kad | 16.3 |
| Quake Network Protocol | 63.9 |
| Steam Protocol | 5.5 |
| Multicast DNS (mDNS) | 2 to 10 |
| RIPv1 | 131.24 |
| Portmap (RPCbind) | 7 to 28 |
宽带标准被调高以及联网用户的(设备)增多,在方便用户使用的同时,也为大流量DDoS攻击的出现创造了条件,加之设备厂商和消费者在安全意识方面需要提升,这方面的因素也助长了DDoS放大式攻击的发生,这些方面都直接导致了DDoS风险的增高。同时智能设备的普及,也为SSDP反射攻击提供了更多反射攻击源
0x6: 反射攻击的攻击源地域分布
NTP反射源地域分布
SSDP反射源地域分布
DNS反射源地域分布
从这几年的态势发展来看,我们看到反射型攻击正逐渐占领DDOS市场的半壁江山,一方面,随着互联网上存在DNS、NTP、SNMP等协议脆弱性的开放服务漏洞不断被修复,可以用来发起反射攻击的服务器数量数量越来越少。另一方面,互联网上家用路由器、网络摄像头、打印机、智能家电等设备数量的激增,让黑客看到了另一个可以不断挖掘的金山。这些智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的发现是通过源端口为1900的SSDP(简单服务发现协议)进行相互感知
同时在此基础上,还衍生出了一些所谓的"压测平台",它们维护了大量的"反射源",在收到"订单后",可自动通过源IP伪造,向这些反射源发送UDP请求包,打出超大的反射DDOS流量
0x7: 和目标业务紧耦合的DDOS攻击
当前 CC 攻击的手法越来越专业化,有两种攻击场景极大提升了服务器安全防护的挑战
场景一: 发起的攻击请求大多均是高度模拟真实业务的访问行为,并且肉鸡海量分布造成攻击源相对分散
由于每个攻击源攻击业务的流量和频率与相对真实业务相差无几,也没有携带具有明显特征的 User-Agent 或者 Referer,因此在这种场景下无法通过行为特征或字段特征的方式快速区分出攻击流量,对攻击防护也无从下手
场景二: 针对类似 APP 或者 API 调用的接口
在此场景下,传统的防御手段诸如验证码、重定向跳转验证均不能生效。针对该场景采用包括粗暴的限流、通过限制单一源的连接数或者整体的连接数来缓解攻击,并不能起到有效的防御效果,甚至会造成对正常业务的误杀
此外,由于 HTTPS 相对 HTTP 在数据加/解密上会消耗更多的资源,因此在同样量级下的攻击效果将被急剧放大,平常采取通用的防护手段可能在处理 HTTP 流量下还游刃有余,但在 HTTPS 下则会明显地捉襟见肘
Relevant Link:
http://cert.tanet.edu.tw/pdf/UDP-DDoS_10202.pdf http://yundunddos-help.oss-cn-hangzhou.aliyuncs.com/%E4%BA%91%E7%9B%BE%E4%BA%92%E8%81%94%E7%BD%91DDoS%E7%8A%B6%E6%80%81%E5%92%8C%E8%B6%8B%E5%8A%BF%E6%8A%A5%E5%91%8A-2015H2-Final%20Version.pdf?spm=5176.7713072572.0.0.3uy80D&file=%E4%BA%91%E7%9B%BE%E4%BA%92%E8%81%94%E7%BD%91DDoS%E7%8A%B6%E6%80%81%E5%92%8C%E8%B6%8B%E5%8A%BF%E6%8A%A5%E5%91%8A-2015H2-Final%20Version.pdf http://blog.nsfocus.net/nsfocus-2016-q1-ddos-situation-report/ http://www.nsfocus.com.cn/content/details_62_2016.html http://www.nsfocus.com.cn/upload/contents/2015/08/20150820101444_29653.pdf http://www.freebuf.com/news/107261.html http://www.williamlong.info/archives/4334.html http://mp.weixin.qq.com/s?__biz=MzA3NTcwOTIwNg==&mid=200542788&idx=1&sn=e41f2bb76faea281c115fb73eef91efb&scene=4#wechat_redirect
Copyright (c) 2016 LittleHann All rights reserved
