DDoS 及網頁攻擊激增、重複攻擊已成攻擊標準

DDoS 攻擊其實並非複雜的事，只要你擁有肉雞及相關工具，要發動大規模的 DDoS 攻擊真是十分容易！可能是門檻低，加上 DDoS 商品化的關係，在最新一份由 Akamai 發表的 2015 年第四季互聯網現況 – 安全報告便顯示分散式阻斷服務 (DDoS) 和網頁應用程式攻擊的威脅愈來愈多。

據報告指出，現時 Akamai 客戶在每一季所面臨的攻擊數量仍不斷攀升。相較於 2015 年第三季，這一季的網頁應用程式攻擊數量激增了 28%，DDoS 攻擊則增加了 40%。惡意攻擊者非但毫不退縮，更不斷重複攻擊相同的目標，等待其防護終有鬆懈之時。

在第四季，重複的 DDoS 攻擊已成為標準攻擊模式，每位被針對的客戶在該季平均遭受 24 次攻擊。有三個攻擊目標分別遭受逾 100 次攻擊，而其中一位客戶甚至經歷了 188 次攻擊，即平均每天受到超過兩次攻擊。

DDoS 攻擊活動一覽

在第四季，Akamai 的路由解決方案緩解了超過 3,600 次 DDoS 攻擊，數量是一年前的兩倍以上。這些攻擊絕大部分是利用 stresser/booter 殭屍網絡發動。這些受雇型 DDoS 攻擊極度依賴反射技術來擴增他們的流量，較欠缺能力製造大型攻擊。因此，2015 年第四季的超大規模攻擊比去年少。此外，stresser/booter 網站通常有使用時間限制，使得平均攻擊時間減少至低於 15 小時。

反射型 DDoS 攻擊：2014 年第四季至 2015 年第四季

如上圖左軸所示，SSDP、NTP、DNS 和 CHARGEN 最常用於反射攻擊，而如右軸所示，從 2014 年第四季開始，反射攻擊的使用頻率大幅上升 。

基建架構層 (第三和第四層) 攻擊在數個季度以來都一直佔最高比例，在第四季所觀察到的攻擊中便有 97% 屬這類攻擊。在 2015 年第四季，有 21% 的 DDoS 攻擊含有 UDP 片段，當中有些是直接源自於反射型攻擊的放大效果。這些攻擊主要涉及 CHARGEN、DNS 和 SNMP 通訊協定的濫用，並且全都可能造成超大酬載 (payload) 。

相較於第三季，NTP 和 DNS 攻擊的數量皆大幅攀升。內建安全功能的網域 (DNSSEC) 通常會產生更大量的回應數據，所以惡意攻擊者力求濫用這些網域，使 DNS 反射攻擊增加了 92%。儘管 NTP 反射的運算資源已隨時間耗盡，NTP 攻擊仍在上一季有所增加，增幅逼近 57%。

另一項趨勢則是多向手法的攻擊更為常見。在 2014 年第二季，只有 42% 的 DDoS 攻擊採用多向手法；到了 2015 年第四季，已有 56% 的 DDoS 攻擊採用多向手法。雖然大部分多向手法攻擊僅使用兩種手法 (佔全部攻擊的 35%) ，在第四季所觀察到的攻擊中仍有 3% 採用 5 至 8 種手法。

去年第四季最大型的攻擊尖峰流量高達 309 Gbps 及 202 Mpps。這次攻擊以軟件與科技行業的客戶為目標並使用罕見的 SYN、UDP 和 NTP 攻擊組合，由 XOR 和 BillGates 殭屍網絡發動。該攻擊是一項持續攻擊計畫的一部分，而受害企業在 8 日內受到 19 次攻擊，更在今年一月初再次遭受攻擊。

第四季中有逾半數的攻擊 (54%) 以遊戲公司為攻擊目標，另有 23% 是以軟件和科技行業為目標。

DDoS 攻擊數據一覽

與 2014 年第四季比較

• 整體 DDoS 攻擊數目增加 148.85%
• 基建架構層 (第三和第四層) 攻擊增加 168.82%
• 平均攻擊時間減少 49.03%：14.95 比 29.33 小時
• 高頻寛攻擊 (超過 100 Gbps) 的攻擊減少 44.44%：5 比 9

與 2015 年第三季比較

• 整體 DDoS 攻擊增加 39.89%
• 基建架構層 (第三和第四層) 攻擊增加 42.38%
• 平均攻擊時間減少 20.74%：14.95 比 18.86 小時
• 高頻寛攻擊 (超過 100 Gbps) 減少 37.5%：5 比 8

網頁應用程式攻擊活動

雖然與對上一季相比，第四季的網頁應用程式攻擊數量增加了 28%，這兩季以 HTTP 和 HTTPS 傳送網頁應用程式攻擊的比率則相當一致：在第四季有 89% 透過 HTTP 傳送，而在第三季就有 88% 透過 HTTP 傳送。

第四季最常觀察到的攻擊手法包括 LFI (41%)、SQLi (28%) 和 PHPi (22%)，還有 XSS (5%) 及 Shellshock (2%)。剩餘的 2% 攻擊就包含 RFI、MFU、CMDi 與 JAVAi 攻擊。利用 HTTP 和 HTTPS 傳送的攻擊中，各個攻擊手法所佔的比例差不多，但 PHPi 除外。只有 1% 由 HTTPS 傳送的攻擊採用 PHPi。

第四季的網頁應用程式攻擊中有 59% 以零售商為攻擊目標，相對第三季為 55%。媒體與娛樂界以及酒店與旅遊業均是第二常見的攻擊目標，分別遭受 10% 的攻擊。這也是自第三季以來所發生的變化，之前金融服務業是第二常見的攻擊目標 (佔整體攻擊數目的 15%)，而本季卻只面對 7% 的攻擊。

延續上一季的趨勢，美國不但是網頁應用程式攻擊的主要源頭 (56%) ，同時亦是最常被攻擊的目標 (77%) 。巴西是第二大的攻擊源頭 (6%) 以及第二常被攻擊的國家 (7%)，這似乎與一家大型雲端基建即服務 (IaaS) 供應商在巴西開設新的數據中心有關。Akamai 發現，自相關數據中心啟用以來，源自巴西 (特別是上述數據中心) 的惡意流量即大幅增長。這類攻擊絕大部分是針對一家巴西零售業客戶。

網頁應用程式攻擊數據一覽

與 2015 年第三季比較

• 整體網頁應用程式攻擊數目增加 28.10 %
• 透過 HTTP 傳送的網頁應用程式攻擊增加 28.65%
• 透過 HTTPS 傳送的網頁應用程式攻擊增加 24.05%
• SQLi 攻擊增加 12.19%

掃描與刺探活動

惡意攻擊者依賴掃描程式和刺探活動來偵察他們的目標，然後再發動攻擊。Akamai 分析過 Akamai Intelligent Platform 周邊所提供的防火牆數據後，發現偵察活動最常用的連接埠有 Telnet (24%) 、NetBIOS (5%) 、MS-DS (7%) 、SSH (6%) 和 SIP (4%)。根據 ASN 判定，掃描活動的三大來源皆位於亞洲。Akamai 亦發現攻擊者會主動掃描適合的反射器以利濫用，包括 NTP、SNMP 和 SSDP。

憑 ASN 找出的主要反射源頭可以看出，嚴重濫用的網絡反射器多數位於中國和其他亞洲地區。SSDP 攻擊一般是由家用連線發動，至於 NTP、CHARGEN 和 QOTD 就大多來自於運行這些服務的雲端託管服務供應商。SSDP 與 NTP 反射器是最常被濫用的反射器，分別佔了 41%，其次是 CHARGEN (6%) 以及 RPC (5%)。接著則是 SENTINEL 和 QOTD，各佔 4%。