最近幾個(gè)月發(fā)生的大規(guī)模勒索軟件和DDoS（分布式拒絕服務(wù)）攻擊活動(dòng)，破壞了世界各地的關(guān)鍵基礎(chǔ)設(shè)施，包括美國(guó)最大石油管道系統(tǒng)運(yùn)營(yíng)商Colonial Pipeline及全球最大肉類加工商JBS。今年5月份，比利時(shí)超過200個(gè)組織，包括政府和議會(huì)網(wǎng)站和其他服務(wù)，也遭到了DDoS攻擊。

　　Kaspersky發(fā)布的2021年第二季度DDoS攻擊態(tài)勢(shì)分析報(bào)告指出，第二季度相對(duì)比較平靜，與上一季度相比DDoS攻擊總數(shù)略有下降，預(yù)計(jì)這一趨勢(shì)會(huì)持續(xù)到第三季度。此外，第二季度DDoS攻擊持續(xù)的時(shí)間也接近常態(tài)，不同時(shí)期之間的波動(dòng)幅度不超過30%。第二季度遭到DDoS攻擊最多的是美國(guó)（36%），其次是中國(guó)（10.28%）和波蘭（6.34%）。DDoS攻擊最活躍的一天是6月2日，發(fā)生了1164次攻擊；最長(zhǎng)的一次攻擊持續(xù)了776小時(shí)（超過32天）；60%的DDoS攻擊使用了UDP泛洪；僵尸網(wǎng)絡(luò)C&C服務(wù)器最多的是美國(guó)（47.95%）。

　　7月4日，當(dāng)美國(guó)大部分地區(qū)在慶祝獨(dú)立日時(shí)，數(shù)百家美國(guó)公司遭到勒索攻擊，要求支付7000萬美元的比特幣。俄羅斯勒索軟件組織REvil的攻擊者利用IT管理軟件Kaseya中多個(gè)以前未知的漏洞進(jìn)行攻擊，攻擊目標(biāo)包括學(xué)校、小型公共部門機(jī)構(gòu)、旅游和休閑組織以及信用社等。雖然勒索軟件和勒索DDoS的威脅并不新鮮，但最新的網(wǎng)絡(luò)攻擊包括針對(duì)釀酒廠、專業(yè)運(yùn)動(dòng)隊(duì)、渡輪服務(wù)和醫(yī)院等，已經(jīng)成為影響人們?nèi)粘Ｉ畹闹卮笫录?。而最近發(fā)生的攻擊事件，更是將勒索軟件和DDoS攻擊推到了美國(guó)總統(tǒng)拜登的國(guó)家安全議程的首位。

　　Kaspersky在2021年第二季度觀察到的DDoS攻擊趨勢(shì)，反映了全球網(wǎng)絡(luò)威脅的整體格局。

　　一、事件概述

　　就重大事件而言，2021年第二季度相對(duì)平靜，但并非完全沒有事件發(fā)生。例如，四月出現(xiàn)了一種名為Simps的新型DDoS僵尸網(wǎng)絡(luò)活躍傳播，惡意軟件的創(chuàng)造者在一個(gè)專門設(shè)置的YouTube頻道和Discord服務(wù)器上宣傳他們的想法，并在那里討論DDoS攻擊。Simps的實(shí)際DDoS功能并非原創(chuàng)，代碼與Mirai和Gafgyt僵尸網(wǎng)絡(luò)重疊。

　　Gafgyt不依賴于原創(chuàng)性，由Uptycs檢測(cè)到的新變體中的少數(shù)模塊都是從最廣泛的僵尸網(wǎng)絡(luò)Mirai借來的。Gafgyt的作者復(fù)制了其各種DDoS方法，如TCP、UDP和HTTP泛洪，以及通過Telnet協(xié)議攻擊物聯(lián)網(wǎng)設(shè)備的暴力功能。

　　本季度發(fā)現(xiàn)的ZHtrap僵尸網(wǎng)絡(luò)利用了Mirai的代碼作為基礎(chǔ)。該惡意軟件利用受感染的設(shè)備作為蜜罐，從而備受關(guān)注。ZHtrap首先收集攻擊該trap的設(shè)備的IP地址，然后再嘗試攻擊該設(shè)備本身。

　　最近，網(wǎng)絡(luò)犯罪分子一直在積極尋找新的服務(wù)和協(xié)議來放大DDoS攻擊，2021年第2季度也不例外。7月初，Netscout研究人員報(bào)告稱，使用NAT會(huì)話遍歷實(shí)用程序（STUN）協(xié)議的攻擊有所增加。該協(xié)議用于將隱藏在NAT后面的主機(jī)的內(nèi)部IP地址和端口映射到外部IP地址和端口。利用該協(xié)議，攻擊者能夠?qū)⒗髁吭黾?.32倍，與其他攻擊向量結(jié)合，DDoS功率達(dá)到2TB/s。此外，劫持用作反射器的STUN服務(wù)器可以禁用其主要功能。使用STUN的組織應(yīng)該確保他們的服務(wù)器免受此類攻擊。全世界有超過75,000臺(tái)易受攻擊的服務(wù)器。

　　另一種新的DDoS載體尚未被網(wǎng)絡(luò)罪犯利用，它與DNS解析器中的一個(gè)漏洞有關(guān)，該漏洞允許對(duì)權(quán)威DNS服務(wù)器進(jìn)行放大攻擊，這個(gè)漏洞被命名為TsuNAME。其工作原理如下：如果配置錯(cuò)誤導(dǎo)致某些域的DNS記錄相互指向，解析程序?qū)o休止地將請(qǐng)求從一個(gè)域轉(zhuǎn)發(fā)到另一個(gè)域，從而顯著增加其DNS服務(wù)器上的負(fù)載。此類錯(cuò)誤可能是偶然發(fā)生的，2020年初，兩個(gè)配置錯(cuò)誤的域名導(dǎo)致新西蘭域名區(qū)權(quán)威DNS服務(wù)器上的流量增加50%，而歐洲域名區(qū)的類似事件導(dǎo)致流量增加10倍。如果攻擊者創(chuàng)建多個(gè)相互指向的域，則問題的規(guī)模將大得多。

　　對(duì)DNS服務(wù)器的攻擊是危險(xiǎn)的，因?yàn)闊o論DNS服務(wù)器的規(guī)模和DDoS保護(hù)級(jí)別如何，它們所服務(wù)的所有資源都將變得不可用。2016年，DNS提供商Dyn遭受攻擊，導(dǎo)致80多家主要網(wǎng)站和在線服務(wù)癱瘓，就很好地說明了這一點(diǎn)。為了防止TsuNAME漏洞帶來同樣的毀滅性后果，研究人員建議權(quán)威服務(wù)器的所有者定期識(shí)別并修復(fù)他們域內(nèi)的此類配置錯(cuò)誤，并建議DNS解析器的所有者確保檢測(cè)和緩存循環(huán)請(qǐng)求。

　　四月初的DNS泛濫擾亂了Xbox Live、微軟Teams、OneDrive和其他微軟云服務(wù)的運(yùn)營(yíng)。盡管處理大多數(shù)服務(wù)域名的Azure DNS服務(wù)擁有防止垃圾流量的機(jī)制，但一個(gè)未命名的編碼錯(cuò)誤意味著它無法處理請(qǐng)求流。合法用戶徒勞地試圖訪問無響應(yīng)的服務(wù)，使情況更加惡化。然而，微軟很快修復(fù)了這個(gè)漏洞，這些服務(wù)也很快就重啟并運(yùn)行起來。

　　另一場(chǎng)大規(guī)模DDoS攻擊席卷了比利時(shí)，攻擊了Belnet和其他ISP。全國(guó)各地的用戶都經(jīng)歷了服務(wù)中斷，BE域區(qū)域中的網(wǎng)站暫時(shí)不可用。垃圾流量是從全球29個(gè)國(guó)家的IP地址發(fā)送的，正如Belnet指出的，攻擊者不斷改變策略，使得攻擊極難阻止。它迫使比利時(shí)議會(huì)推遲了幾次會(huì)議，而教育機(jī)構(gòu)在遠(yuǎn)程教育方面遇到了問題，運(yùn)輸公司STIB也同樣在售票方面遇到了問題。

　　新冠疫苗接種的在線登記系統(tǒng)也受到影響。法國(guó)格勒諾布爾-阿爾卑斯大都會(huì)委員會(huì)也不得不暫停會(huì)議數(shù)小時(shí)。一場(chǎng)涉及約6萬個(gè)機(jī)器人的DDoS攻擊使得現(xiàn)場(chǎng)直播無法進(jìn)行。

　　總體而言，DDoS勒索軟件攻擊勢(shì)頭持續(xù)增長(zhǎng)。一個(gè)以喜歡偽裝成各種APT組織而聞名的網(wǎng)絡(luò)犯罪組織又一次上了新聞，這次是用一個(gè)虛構(gòu)的名字“Fancy Lazarus”，由Lazarus和Fancy Bear兩個(gè)組織的名字組成。雖然網(wǎng)絡(luò)犯罪組織的攻擊遍布世界各地，但Fancy Lazarus的受害者主要在美國(guó)，贖金的規(guī)模也從10-20比特幣降至2比特幣。

　　Avaddon勒索軟件運(yùn)營(yíng)商也試圖通過DDoS攻擊來恐嚇受害者。5月初，垃圾郵件淹沒了澳大利亞Schepisi Communications公司的網(wǎng)站。該組織與澳大利亞主要供應(yīng)商Telstra合作，代表Telstra銷售SIM卡和云服務(wù)。同月晚些時(shí)候，該領(lǐng)域最大的保險(xiǎn)公司之一法國(guó)安盛保險(xiǎn)（AXA）也成為Avaddon的受害者。就像Schepisi Communications的情況一樣，網(wǎng)絡(luò)犯罪分子除了從其多個(gè)分支機(jī)構(gòu)加密和竊取數(shù)據(jù)外，還對(duì)其網(wǎng)站進(jìn)行了DDoS攻擊。在6月份發(fā)生了一系列毀滅性攻擊后，勒索軟件開發(fā)者宣布退出。

　　今年5月，愛爾蘭衛(wèi)生服務(wù)管理局（HSE）受到DDoS攻擊。如果不是緊接著出現(xiàn)了Conti勒索軟件的入侵，這些攻擊就不會(huì)那么引人注目了。目前尚不清楚這些事件是否存在關(guān)聯(lián)，但勒索者可能利用DDoS作為掩護(hù)，滲透該公司的網(wǎng)絡(luò)并竊取數(shù)據(jù)。

　　對(duì)教育機(jī)構(gòu)的攻擊在第二季度繼續(xù)發(fā)生。例如，攻擊者迫使馬薩諸塞州的阿格瓦姆公立學(xué)校關(guān)閉了其訪客網(wǎng)絡(luò)，以保護(hù)主網(wǎng)絡(luò)。這意味著只有學(xué)校發(fā)放的設(shè)備才能接入互聯(lián)網(wǎng)。

　　在本報(bào)告所述期間，視頻游戲也沒有逃過攻擊。Titanfall和Titanfall 2服務(wù)器在4月和5月遭遇了與DDoS相關(guān)的宕機(jī)。

　　二、季度趨勢(shì)

　　正如預(yù)期的那樣，2021年第二季度表現(xiàn)平靜。與上一季度相比，DDoS攻擊的總數(shù)略有下降。這種下降通常與假期開始有關(guān)，這一趨勢(shì)將持續(xù)到第三季度，預(yù)計(jì)今年不會(huì)有任何變化。

　　圖1 2021年Q1及Q2、2020年Q2的DDoS攻擊次數(shù)對(duì)比

　　請(qǐng)注意第二季度智能DDoS攻擊的異常持續(xù)時(shí)間。這是由于對(duì)執(zhí)法資源進(jìn)行了幾次異常長(zhǎng)時(shí)間的攻擊，盡管攻擊力度不太大。但是這些攻擊與任何引人注目的事件之間沒有任何關(guān)聯(lián)。在樣本中排除這些攻擊后，DDoS持續(xù)時(shí)間數(shù)據(jù)更接近正常值，不同時(shí)間段的相對(duì)波動(dòng)不超過30%。

　　在第二季度，超過97%的DDoS攻擊持續(xù)時(shí)間不到一個(gè)小時(shí)。短時(shí)間爆發(fā)式攻擊可能會(huì)試圖在DDoS檢測(cè)系統(tǒng)未檢測(cè)到的情況下造成損害。依賴手動(dòng)分析和緩解的DDoS服務(wù)可能被證明對(duì)這些類型的攻擊毫無用處，因?yàn)樗鼈冊(cè)诜治鰩熒踔磷R(shí)別攻擊流量之前就已經(jīng)結(jié)束。

　　或者，可以使用短攻擊來探測(cè)目標(biāo)的網(wǎng)絡(luò)防御。例如，在暗網(wǎng)上廣泛使用的負(fù)載測(cè)試工具和自動(dòng)化DDoS工具可以產(chǎn)生短時(shí)間的SYN泛洪爆發(fā)，然后使用不同的攻擊向量進(jìn)行另一個(gè)短攻擊。這允許攻擊者在決定以更大的速度和更長(zhǎng)的時(shí)間發(fā)動(dòng)更大規(guī)模的攻擊之前了解目標(biāo)的安全態(tài)勢(shì)。

　　在其他情況下，攻擊者會(huì)進(jìn)行小規(guī)模的DDoS攻擊，以證明和警告目標(biāo)組織攻擊者以后造成實(shí)際破壞的能力。之后通常會(huì)向目標(biāo)組織發(fā)送勒索郵件，要求支付贖金，以避免遭受可能更徹底地破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。

　　這凸顯了對(duì)始終在線的自動(dòng)化DDoS保護(hù)方法的需求。依賴于手動(dòng)重新路由、分析和緩解的DDoS保護(hù)服務(wù)可能會(huì)被證明對(duì)這些類型的攻擊毫無用處，因?yàn)樗鼈冊(cè)诜治鰩熒踔量梢宰R(shí)別攻擊流量之前就已經(jīng)結(jié)束了。

　　圖2 2021年Q1及Q2，2020年Q2的DDoS攻擊持續(xù)時(shí)間

　　三、攻擊向量

　　攻擊向量是用來描述攻擊者試圖引起拒絕服務(wù)事件所使用的方法的術(shù)語。正如之前所觀察到的，利用SYN泛洪和基于UDP協(xié)議的攻擊仍然是攻擊者最常用的方法。

　　什么是SYN泛洪攻擊？這是一種利用TCP協(xié)議基礎(chǔ)的DDoS攻擊。客戶端和服務(wù)器之間的有狀態(tài)TCP連接以3次TCP握手開始?？蛻舳税l(fā)送帶有同步標(biāo)志（SYN）的初始連接請(qǐng)求分組。服務(wù)器使用包含同步確認(rèn)標(biāo)志（SYN-ACK）的數(shù)據(jù)包進(jìn)行響應(yīng)。最后，客戶端使用確認(rèn)（ACK）數(shù)據(jù)包進(jìn)行響應(yīng)。此時(shí)，連接已建立，并且可以交換數(shù)據(jù)，直到連接關(guān)閉。攻擊者可能會(huì)濫用此有狀態(tài)進(jìn)程來導(dǎo)致拒絕服務(wù)事件。

　　通過反復(fù)發(fā)送SYN數(shù)據(jù)包，攻擊者試圖覆蓋跟蹤TCP連接狀態(tài)的服務(wù)器或路由器連接表。路由器使用SYN-ACK數(shù)據(jù)包進(jìn)行應(yīng)答，為每個(gè)給定連接分配一定數(shù)量的內(nèi)存，并錯(cuò)誤地等待客戶端使用最終ACK進(jìn)行響應(yīng)。如果有足夠數(shù)量的連接占用路由器的內(nèi)存，路由器將無法為合法客戶端分配更多內(nèi)存，從而導(dǎo)致路由器崩潰或阻止其處理合法客戶端連接，即拒絕服務(wù)事件。

　　四、統(tǒng)計(jì)分析

　　本報(bào)告包含了2021年第二季度的DDoS攻擊統(tǒng)計(jì)數(shù)據(jù)。在本報(bào)告中，只有在僵尸網(wǎng)絡(luò)活動(dòng)周期之間的間隔不超過24小時(shí)的情況下，一次事件才被計(jì)算為一次DDoS攻擊。例如，如果同一Web資源被同一僵尸網(wǎng)絡(luò)攻擊，且攻擊時(shí)間間隔為24小時(shí)或以上，則視為兩次攻擊。來自不同僵尸網(wǎng)絡(luò)但針對(duì)同一資源的Bot請(qǐng)求也被視為單獨(dú)的攻擊。本報(bào)告中DDoS攻擊的唯一目標(biāo)數(shù)按季度統(tǒng)計(jì)中的唯一IP地址數(shù)計(jì)算。

　　1、DDoS攻擊地理分布

　　與網(wǎng)絡(luò)層攻擊不同，HTTP攻擊不能欺騙源IP。某一特定國(guó)家的DDoS活動(dòng)率高，表明大型僵尸網(wǎng)絡(luò)從其內(nèi)部運(yùn)行。2021年第二季度的數(shù)據(jù)顯示，美國(guó)和中國(guó)的組織是HTTP DDoS攻擊的最大目標(biāo)。事實(shí)上，每200個(gè)發(fā)往美國(guó)的HTTP請(qǐng)求中就有一個(gè)是DDoS攻擊的一部分。

　　第二季度遭到DDoS攻擊最多的是美國(guó)（36%），其次是中國(guó)（10.28%）和波蘭（6.34%）。DDoS攻擊最活躍的一天是6月2日，發(fā)生了1164次攻擊；最長(zhǎng)的一次攻擊持續(xù)了776小時(shí)（超過32天）；60%的DDoS攻擊使用了UDP泛洪；僵尸網(wǎng)絡(luò)C&C服務(wù)器最多的是美國(guó)（47.95%）。

　　圖3 2021年Q1及Q2的DDoS攻擊國(guó)家分布

　　2、DDoS攻擊數(shù)量

　　如上所述，第二季度相對(duì)平靜。平均而言，每天的DDoS攻擊數(shù)量在500到800之間波動(dòng)。在報(bào)告期內(nèi)最安靜的一天即4月18日，只觀察到60次攻擊。在另外兩天，即6月24日和25日，攻擊次數(shù)不足200次。盡管如此，第二季度還是遭遇了1000多起DDoS攻擊。例如，在4月13日觀察到1061起攻擊，在6月2日觀察到1164起。

　　圖4 2021年Q2的DDoS攻擊數(shù)量

　　3、DDoS攻擊持續(xù)時(shí)間及類型

　　第二季度，DDoS攻擊的平均持續(xù)時(shí)間與上一季度相比幾乎沒有變化，為3.18小時(shí)，而第一季度為3.01小時(shí)。此外，持續(xù)時(shí)間小于4小時(shí)的極短攻擊的比例（從91.37%上升到93.99%）、長(zhǎng)攻擊的比例（從0.07%上升到0.13%）和超長(zhǎng)攻擊的比例（從0.13%上升到0.26%）都有小幅上升。相比之下，最大攻擊持續(xù)時(shí)間繼續(xù)增加。第一季度最長(zhǎng)的攻擊是746小時(shí)（超過31天），第二季度更是達(dá)到了776小時(shí)（超過32天）。

　　從攻擊類型的分布來看，UDP泛洪在第二季度顯著增加，SYN泛洪（23.67%）在2021年之前一直是最常見的DDoS類型，本季度它與TCP泛洪（13.42%）互換位置，位列第二。

　　圖5 2021年Q2的DDoS攻擊類型分布

　　4、僵尸網(wǎng)絡(luò)地理分布

　　第二季度，僵尸網(wǎng)絡(luò)C&C服務(wù)器90%位于10個(gè)國(guó)家。其中美國(guó)所占比例最大（47.95%），較上一季度增加了6.64個(gè)百分點(diǎn)。

　　第二是德國(guó)（12.33%），第三是荷蘭（9.25%）。法國(guó)（4.28%）保持第4位，其次是加拿大（3.94%）。

　　5、物聯(lián)網(wǎng)蜜罐攻擊

　　在2021年第二季度，研究分析了哪些國(guó)家的機(jī)器人和服務(wù)器正在攻擊物聯(lián)網(wǎng)設(shè)備，以期擴(kuò)大僵尸網(wǎng)絡(luò)。這涉及到研究物聯(lián)網(wǎng)蜜罐上Telnet和SSH攻擊的統(tǒng)計(jì)數(shù)據(jù)。本季度發(fā)起SSH攻擊的設(shè)備最多的國(guó)家是中國(guó)（31.79%）。第二位是美國(guó)（12.50%），第三位是德國(guó)（5.94%）。然而，通過SSH的大部分攻擊源自愛爾蘭（70.14%）和巴拿馬（15.81%），這兩個(gè)國(guó)家的機(jī)器人數(shù)量相對(duì)較少。這可能表明，在這些國(guó)家的攻擊設(shè)備中，有強(qiáng)大的服務(wù)器能夠同時(shí)感染全球多臺(tái)設(shè)備。

　　第二季度，攻擊Telnet陷阱的機(jī)器人的是中國(guó)（39.60%）。此外，許多機(jī)器人位于印度（18.54%）、俄羅斯（5.76%）和巴西（3.81%）。這些攻擊大多源自這些國(guó)家，唯一的區(qū)別是俄羅斯（11.25%）和巴西（8.21%）的機(jī)器人活動(dòng)高于印度（7.24%），而中國(guó)（56.83%）占所有Telnet蜜罐攻擊的一半以上。

　　五、結(jié)論

　　DDoS市場(chǎng)在去年的動(dòng)蕩后繼續(xù)穩(wěn)定。正如預(yù)期的那樣，2021年第二季度呈現(xiàn)出傳統(tǒng)的夏季低迷。除了一些異常的長(zhǎng)時(shí)間攻擊，以及DDoS地理位置的變化外，第二季度表現(xiàn)平平。

　　Kaspersky分析認(rèn)為2021年第三季度DDoS市場(chǎng)沒有大幅上漲或下跌的理由。與以前一樣，市場(chǎng)將嚴(yán)重依賴加密貨幣價(jià)格，盡管相對(duì)于春季峰值有所下降，但價(jià)格一直居高不下。1個(gè)比特幣價(jià)值3萬-3.5萬美元，少于幾個(gè)月前，但仍然是一個(gè)相當(dāng)可觀的數(shù)字。由于加密貨幣的價(jià)格仍然具有吸引力，DDoS市場(chǎng)預(yù)計(jì)不會(huì)增長(zhǎng)。