最近幾個月發(fā)生的大規(guī)模勒索軟件和DDoS（分布式拒絕服務）攻擊活動，破壞了世界各地的關鍵基礎設施，包括美國最大石油管道系統(tǒng)運營商Colonial Pipeline及全球最大肉類加工商JBS。今年5月份，比利時超過200個組織，包括政府和議會網(wǎng)站和其他服務，也遭到了DDoS攻擊。

　　Kaspersky發(fā)布的2021年第二季度DDoS攻擊態(tài)勢分析報告指出，第二季度相對比較平靜，與上一季度相比DDoS攻擊總數(shù)略有下降，預計這一趨勢會持續(xù)到第三季度。此外，第二季度DDoS攻擊持續(xù)的時間也接近常態(tài)，不同時期之間的波動幅度不超過30%。第二季度遭到DDoS攻擊最多的是美國（36%），其次是中國（10.28%）和波蘭（6.34%）。DDoS攻擊最活躍的一天是6月2日，發(fā)生了1164次攻擊；最長的一次攻擊持續(xù)了776小時（超過32天）；60%的DDoS攻擊使用了UDP泛洪；僵尸網(wǎng)絡C&C服務器最多的是美國（47.95%）。

　　7月4日，當美國大部分地區(qū)在慶祝獨立日時，數(shù)百家美國公司遭到勒索攻擊，要求支付7000萬美元的比特幣。俄羅斯勒索軟件組織REvil的攻擊者利用IT管理軟件Kaseya中多個以前未知的漏洞進行攻擊，攻擊目標包括學校、小型公共部門機構、旅游和休閑組織以及信用社等。雖然勒索軟件和勒索DDoS的威脅并不新鮮，但最新的網(wǎng)絡攻擊包括針對釀酒廠、專業(yè)運動隊、渡輪服務和醫(yī)院等，已經(jīng)成為影響人們?nèi)粘Ｉ畹闹卮笫录６罱l(fā)生的攻擊事件，更是將勒索軟件和DDoS攻擊推到了美國總統(tǒng)拜登的國家安全議程的首位。

　　Kaspersky在2021年第二季度觀察到的DDoS攻擊趨勢，反映了全球網(wǎng)絡威脅的整體格局。

　　一、事件概述

　　就重大事件而言，2021年第二季度相對平靜，但并非完全沒有事件發(fā)生。例如，四月出現(xiàn)了一種名為Simps的新型DDoS僵尸網(wǎng)絡活躍傳播，惡意軟件的創(chuàng)造者在一個專門設置的YouTube頻道和Discord服務器上宣傳他們的想法，并在那里討論DDoS攻擊。Simps的實際DDoS功能并非原創(chuàng)，代碼與Mirai和Gafgyt僵尸網(wǎng)絡重疊。

　　Gafgyt不依賴于原創(chuàng)性，由Uptycs檢測到的新變體中的少數(shù)模塊都是從最廣泛的僵尸網(wǎng)絡Mirai借來的。Gafgyt的作者復制了其各種DDoS方法，如TCP、UDP和HTTP泛洪，以及通過Telnet協(xié)議攻擊物聯(lián)網(wǎng)設備的暴力功能。

　　本季度發(fā)現(xiàn)的ZHtrap僵尸網(wǎng)絡利用了Mirai的代碼作為基礎。該惡意軟件利用受感染的設備作為蜜罐，從而備受關注。ZHtrap首先收集攻擊該trap的設備的IP地址，然后再嘗試攻擊該設備本身。

　　最近，網(wǎng)絡犯罪分子一直在積極尋找新的服務和協(xié)議來放大DDoS攻擊，2021年第2季度也不例外。7月初，Netscout研究人員報告稱，使用NAT會話遍歷實用程序（STUN）協(xié)議的攻擊有所增加。該協(xié)議用于將隱藏在NAT后面的主機的內(nèi)部IP地址和端口映射到外部IP地址和端口。利用該協(xié)議，攻擊者能夠?qū)⒗髁吭黾?.32倍，與其他攻擊向量結(jié)合，DDoS功率達到2TB/s。此外，劫持用作反射器的STUN服務器可以禁用其主要功能。使用STUN的組織應該確保他們的服務器免受此類攻擊。全世界有超過75,000臺易受攻擊的服務器。

　　另一種新的DDoS載體尚未被網(wǎng)絡罪犯利用，它與DNS解析器中的一個漏洞有關，該漏洞允許對權威DNS服務器進行放大攻擊，這個漏洞被命名為TsuNAME。其工作原理如下：如果配置錯誤導致某些域的DNS記錄相互指向，解析程序?qū)o休止地將請求從一個域轉(zhuǎn)發(fā)到另一個域，從而顯著增加其DNS服務器上的負載。此類錯誤可能是偶然發(fā)生的，2020年初，兩個配置錯誤的域名導致新西蘭域名區(qū)權威DNS服務器上的流量增加50%，而歐洲域名區(qū)的類似事件導致流量增加10倍。如果攻擊者創(chuàng)建多個相互指向的域，則問題的規(guī)模將大得多。

　　對DNS服務器的攻擊是危險的，因為無論DNS服務器的規(guī)模和DDoS保護級別如何，它們所服務的所有資源都將變得不可用。2016年，DNS提供商Dyn遭受攻擊，導致80多家主要網(wǎng)站和在線服務癱瘓，就很好地說明了這一點。為了防止TsuNAME漏洞帶來同樣的毀滅性后果，研究人員建議權威服務器的所有者定期識別并修復他們域內(nèi)的此類配置錯誤，并建議DNS解析器的所有者確保檢測和緩存循環(huán)請求。

　　四月初的DNS泛濫擾亂了Xbox Live、微軟Teams、OneDrive和其他微軟云服務的運營。盡管處理大多數(shù)服務域名的Azure DNS服務擁有防止垃圾流量的機制，但一個未命名的編碼錯誤意味著它無法處理請求流。合法用戶徒勞地試圖訪問無響應的服務，使情況更加惡化。然而，微軟很快修復了這個漏洞，這些服務也很快就重啟并運行起來。

　　另一場大規(guī)模DDoS攻擊席卷了比利時，攻擊了Belnet和其他ISP。全國各地的用戶都經(jīng)歷了服務中斷，BE域區(qū)域中的網(wǎng)站暫時不可用。垃圾流量是從全球29個國家的IP地址發(fā)送的，正如Belnet指出的，攻擊者不斷改變策略，使得攻擊極難阻止。它迫使比利時議會推遲了幾次會議，而教育機構在遠程教育方面遇到了問題，運輸公司STIB也同樣在售票方面遇到了問題。

　　新冠疫苗接種的在線登記系統(tǒng)也受到影響。法國格勒諾布爾-阿爾卑斯大都會委員會也不得不暫停會議數(shù)小時。一場涉及約6萬個機器人的DDoS攻擊使得現(xiàn)場直播無法進行。

　　總體而言，DDoS勒索軟件攻擊勢頭持續(xù)增長。一個以喜歡偽裝成各種APT組織而聞名的網(wǎng)絡犯罪組織又一次上了新聞，這次是用一個虛構的名字“Fancy Lazarus”，由Lazarus和Fancy Bear兩個組織的名字組成。雖然網(wǎng)絡犯罪組織的攻擊遍布世界各地，但Fancy Lazarus的受害者主要在美國，贖金的規(guī)模也從10-20比特幣降至2比特幣。

　　Avaddon勒索軟件運營商也試圖通過DDoS攻擊來恐嚇受害者。5月初，垃圾郵件淹沒了澳大利亞Schepisi Communications公司的網(wǎng)站。該組織與澳大利亞主要供應商Telstra合作，代表Telstra銷售SIM卡和云服務。同月晚些時候，該領域最大的保險公司之一法國安盛保險（AXA）也成為Avaddon的受害者。就像Schepisi Communications的情況一樣，網(wǎng)絡犯罪分子除了從其多個分支機構加密和竊取數(shù)據(jù)外，還對其網(wǎng)站進行了DDoS攻擊。在6月份發(fā)生了一系列毀滅性攻擊后，勒索軟件開發(fā)者宣布退出。

　　今年5月，愛爾蘭衛(wèi)生服務管理局（HSE）受到DDoS攻擊。如果不是緊接著出現(xiàn)了Conti勒索軟件的入侵，這些攻擊就不會那么引人注目了。目前尚不清楚這些事件是否存在關聯(lián)，但勒索者可能利用DDoS作為掩護，滲透該公司的網(wǎng)絡并竊取數(shù)據(jù)。

　　對教育機構的攻擊在第二季度繼續(xù)發(fā)生。例如，攻擊者迫使馬薩諸塞州的阿格瓦姆公立學校關閉了其訪客網(wǎng)絡，以保護主網(wǎng)絡。這意味著只有學校發(fā)放的設備才能接入互聯(lián)網(wǎng)。

　　在本報告所述期間，視頻游戲也沒有逃過攻擊。Titanfall和Titanfall 2服務器在4月和5月遭遇了與DDoS相關的宕機。

　　二、季度趨勢

　　正如預期的那樣，2021年第二季度表現(xiàn)平靜。與上一季度相比，DDoS攻擊的總數(shù)略有下降。這種下降通常與假期開始有關，這一趨勢將持續(xù)到第三季度，預計今年不會有任何變化。

　　圖1 2021年Q1及Q2、2020年Q2的DDoS攻擊次數(shù)對比

　　請注意第二季度智能DDoS攻擊的異常持續(xù)時間。這是由于對執(zhí)法資源進行了幾次異常長時間的攻擊，盡管攻擊力度不太大。但是這些攻擊與任何引人注目的事件之間沒有任何關聯(lián)。在樣本中排除這些攻擊后，DDoS持續(xù)時間數(shù)據(jù)更接近正常值，不同時間段的相對波動不超過30%。

　　在第二季度，超過97%的DDoS攻擊持續(xù)時間不到一個小時。短時間爆發(fā)式攻擊可能會試圖在DDoS檢測系統(tǒng)未檢測到的情況下造成損害。依賴手動分析和緩解的DDoS服務可能被證明對這些類型的攻擊毫無用處，因為它們在分析師甚至識別攻擊流量之前就已經(jīng)結(jié)束。

　　或者，可以使用短攻擊來探測目標的網(wǎng)絡防御。例如，在暗網(wǎng)上廣泛使用的負載測試工具和自動化DDoS工具可以產(chǎn)生短時間的SYN泛洪爆發(fā)，然后使用不同的攻擊向量進行另一個短攻擊。這允許攻擊者在決定以更大的速度和更長的時間發(fā)動更大規(guī)模的攻擊之前了解目標的安全態(tài)勢。

　　在其他情況下，攻擊者會進行小規(guī)模的DDoS攻擊，以證明和警告目標組織攻擊者以后造成實際破壞的能力。之后通常會向目標組織發(fā)送勒索郵件，要求支付贖金，以避免遭受可能更徹底地破壞網(wǎng)絡基礎設施的攻擊。

　　這凸顯了對始終在線的自動化DDoS保護方法的需求。依賴于手動重新路由、分析和緩解的DDoS保護服務可能會被證明對這些類型的攻擊毫無用處，因為它們在分析師甚至可以識別攻擊流量之前就已經(jīng)結(jié)束了。

　　圖2 2021年Q1及Q2，2020年Q2的DDoS攻擊持續(xù)時間

　　三、攻擊向量

　　攻擊向量是用來描述攻擊者試圖引起拒絕服務事件所使用的方法的術語。正如之前所觀察到的，利用SYN泛洪和基于UDP協(xié)議的攻擊仍然是攻擊者最常用的方法。

　　什么是SYN泛洪攻擊？這是一種利用TCP協(xié)議基礎的DDoS攻擊?？蛻舳撕头掌髦g的有狀態(tài)TCP連接以3次TCP握手開始。客戶端發(fā)送帶有同步標志（SYN）的初始連接請求分組。服務器使用包含同步確認標志（SYN-ACK）的數(shù)據(jù)包進行響應。最后，客戶端使用確認（ACK）數(shù)據(jù)包進行響應。此時，連接已建立，并且可以交換數(shù)據(jù)，直到連接關閉。攻擊者可能會濫用此有狀態(tài)進程來導致拒絕服務事件。

　　通過反復發(fā)送SYN數(shù)據(jù)包，攻擊者試圖覆蓋跟蹤TCP連接狀態(tài)的服務器或路由器連接表。路由器使用SYN-ACK數(shù)據(jù)包進行應答，為每個給定連接分配一定數(shù)量的內(nèi)存，并錯誤地等待客戶端使用最終ACK進行響應。如果有足夠數(shù)量的連接占用路由器的內(nèi)存，路由器將無法為合法客戶端分配更多內(nèi)存，從而導致路由器崩潰或阻止其處理合法客戶端連接，即拒絕服務事件。

　　四、統(tǒng)計分析

　　本報告包含了2021年第二季度的DDoS攻擊統(tǒng)計數(shù)據(jù)。在本報告中，只有在僵尸網(wǎng)絡活動周期之間的間隔不超過24小時的情況下，一次事件才被計算為一次DDoS攻擊。例如，如果同一Web資源被同一僵尸網(wǎng)絡攻擊，且攻擊時間間隔為24小時或以上，則視為兩次攻擊。來自不同僵尸網(wǎng)絡但針對同一資源的Bot請求也被視為單獨的攻擊。本報告中DDoS攻擊的唯一目標數(shù)按季度統(tǒng)計中的唯一IP地址數(shù)計算。

　　1、DDoS攻擊地理分布

　　與網(wǎng)絡層攻擊不同，HTTP攻擊不能欺騙源IP。某一特定國家的DDoS活動率高，表明大型僵尸網(wǎng)絡從其內(nèi)部運行。2021年第二季度的數(shù)據(jù)顯示，美國和中國的組織是HTTP DDoS攻擊的最大目標。事實上，每200個發(fā)往美國的HTTP請求中就有一個是DDoS攻擊的一部分。

　　第二季度遭到DDoS攻擊最多的是美國（36%），其次是中國（10.28%）和波蘭（6.34%）。DDoS攻擊最活躍的一天是6月2日，發(fā)生了1164次攻擊；最長的一次攻擊持續(xù)了776小時（超過32天）；60%的DDoS攻擊使用了UDP泛洪；僵尸網(wǎng)絡C&C服務器最多的是美國（47.95%）。

　　圖3 2021年Q1及Q2的DDoS攻擊國家分布

　　2、DDoS攻擊數(shù)量

　　如上所述，第二季度相對平靜。平均而言，每天的DDoS攻擊數(shù)量在500到800之間波動。在報告期內(nèi)最安靜的一天即4月18日，只觀察到60次攻擊。在另外兩天，即6月24日和25日，攻擊次數(shù)不足200次。盡管如此，第二季度還是遭遇了1000多起DDoS攻擊。例如，在4月13日觀察到1061起攻擊，在6月2日觀察到1164起。

　　圖4 2021年Q2的DDoS攻擊數(shù)量

　　3、DDoS攻擊持續(xù)時間及類型

　　第二季度，DDoS攻擊的平均持續(xù)時間與上一季度相比幾乎沒有變化，為3.18小時，而第一季度為3.01小時。此外，持續(xù)時間小于4小時的極短攻擊的比例（從91.37%上升到93.99%）、長攻擊的比例（從0.07%上升到0.13%）和超長攻擊的比例（從0.13%上升到0.26%）都有小幅上升。相比之下，最大攻擊持續(xù)時間繼續(xù)增加。第一季度最長的攻擊是746小時（超過31天），第二季度更是達到了776小時（超過32天）。

　　從攻擊類型的分布來看，UDP泛洪在第二季度顯著增加，SYN泛洪（23.67%）在2021年之前一直是最常見的DDoS類型，本季度它與TCP泛洪（13.42%）互換位置，位列第二。

　　圖5 2021年Q2的DDoS攻擊類型分布

　　4、僵尸網(wǎng)絡地理分布

　　第二季度，僵尸網(wǎng)絡C&C服務器90%位于10個國家。其中美國所占比例最大（47.95%），較上一季度增加了6.64個百分點。

　　第二是德國（12.33%），第三是荷蘭（9.25%）。法國（4.28%）保持第4位，其次是加拿大（3.94%）。

　　5、物聯(lián)網(wǎng)蜜罐攻擊

　　在2021年第二季度，研究分析了哪些國家的機器人和服務器正在攻擊物聯(lián)網(wǎng)設備，以期擴大僵尸網(wǎng)絡。這涉及到研究物聯(lián)網(wǎng)蜜罐上Telnet和SSH攻擊的統(tǒng)計數(shù)據(jù)。本季度發(fā)起SSH攻擊的設備最多的國家是中國（31.79%）。第二位是美國（12.50%），第三位是德國（5.94%）。然而，通過SSH的大部分攻擊源自愛爾蘭（70.14%）和巴拿馬（15.81%），這兩個國家的機器人數(shù)量相對較少。這可能表明，在這些國家的攻擊設備中，有強大的服務器能夠同時感染全球多臺設備。

　　第二季度，攻擊Telnet陷阱的機器人的是中國（39.60%）。此外，許多機器人位于印度（18.54%）、俄羅斯（5.76%）和巴西（3.81%）。這些攻擊大多源自這些國家，唯一的區(qū)別是俄羅斯（11.25%）和巴西（8.21%）的機器人活動高于印度（7.24%），而中國（56.83%）占所有Telnet蜜罐攻擊的一半以上。

　　五、結(jié)論

　　DDoS市場在去年的動蕩后繼續(xù)穩(wěn)定。正如預期的那樣，2021年第二季度呈現(xiàn)出傳統(tǒng)的夏季低迷。除了一些異常的長時間攻擊，以及DDoS地理位置的變化外，第二季度表現(xiàn)平平。

　　Kaspersky分析認為2021年第三季度DDoS市場沒有大幅上漲或下跌的理由。與以前一樣，市場將嚴重依賴加密貨幣價格，盡管相對于春季峰值有所下降，但價格一直居高不下。1個比特幣價值3萬-3.5萬美元，少于幾個月前，但仍然是一個相當可觀的數(shù)字。由于加密貨幣的價格仍然具有吸引力，DDoS市場預計不會增長。