最近幾個月發(fā)生的大規(guī)模勒索軟件和DDoS（分布式拒絕服務(wù)）攻擊活動，破壞了世界各地的關(guān)鍵基礎(chǔ)設(shè)施，包括美國最大石油管道系統(tǒng)運營商Colonial Pipeline及全球最大肉類加工商JBS。今年5月份，比利時超過200個組織，包括政府和議會網(wǎng)站和其他服務(wù)，也遭到了DDoS攻擊。

　　Kaspersky發(fā)布的2021年第二季度DDoS攻擊態(tài)勢分析報告指出，第二季度相對比較平靜，與上一季度相比DDoS攻擊總數(shù)略有下降，預(yù)計這一趨勢會持續(xù)到第三季度。此外，第二季度DDoS攻擊持續(xù)的時間也接近常態(tài)，不同時期之間的波動幅度不超過30%。第二季度遭到DDoS攻擊最多的是美國（36%），其次是中國（10.28%）和波蘭（6.34%）。DDoS攻擊最活躍的一天是6月2日，發(fā)生了1164次攻擊；最長的一次攻擊持續(xù)了776小時（超過32天）；60%的DDoS攻擊使用了UDP泛洪；僵尸網(wǎng)絡(luò)C&C服務(wù)器最多的是美國（47.95%）。

　　7月4日，當(dāng)美國大部分地區(qū)在慶祝獨立日時，數(shù)百家美國公司遭到勒索攻擊，要求支付7000萬美元的比特幣。俄羅斯勒索軟件組織REvil的攻擊者利用IT管理軟件Kaseya中多個以前未知的漏洞進(jìn)行攻擊，攻擊目標(biāo)包括學(xué)校、小型公共部門機(jī)構(gòu)、旅游和休閑組織以及信用社等。雖然勒索軟件和勒索DDoS的威脅并不新鮮，但最新的網(wǎng)絡(luò)攻擊包括針對釀酒廠、專業(yè)運動隊、渡輪服務(wù)和醫(yī)院等，已經(jīng)成為影響人們?nèi)粘Ｉ畹闹卮笫录?。而最近發(fā)生的攻擊事件，更是將勒索軟件和DDoS攻擊推到了美國總統(tǒng)拜登的國家安全議程的首位。

　　Kaspersky在2021年第二季度觀察到的DDoS攻擊趨勢，反映了全球網(wǎng)絡(luò)威脅的整體格局。

　　一、事件概述

　　就重大事件而言，2021年第二季度相對平靜，但并非完全沒有事件發(fā)生。例如，四月出現(xiàn)了一種名為Simps的新型DDoS僵尸網(wǎng)絡(luò)活躍傳播，惡意軟件的創(chuàng)造者在一個專門設(shè)置的YouTube頻道和Discord服務(wù)器上宣傳他們的想法，并在那里討論DDoS攻擊。Simps的實際DDoS功能并非原創(chuàng)，代碼與Mirai和Gafgyt僵尸網(wǎng)絡(luò)重疊。

　　Gafgyt不依賴于原創(chuàng)性，由Uptycs檢測到的新變體中的少數(shù)模塊都是從最廣泛的僵尸網(wǎng)絡(luò)Mirai借來的。Gafgyt的作者復(fù)制了其各種DDoS方法，如TCP、UDP和HTTP泛洪，以及通過Telnet協(xié)議攻擊物聯(lián)網(wǎng)設(shè)備的暴力功能。

　　本季度發(fā)現(xiàn)的ZHtrap僵尸網(wǎng)絡(luò)利用了Mirai的代碼作為基礎(chǔ)。該惡意軟件利用受感染的設(shè)備作為蜜罐，從而備受關(guān)注。ZHtrap首先收集攻擊該trap的設(shè)備的IP地址，然后再嘗試攻擊該設(shè)備本身。

　　最近，網(wǎng)絡(luò)犯罪分子一直在積極尋找新的服務(wù)和協(xié)議來放大DDoS攻擊，2021年第2季度也不例外。7月初，Netscout研究人員報告稱，使用NAT會話遍歷實用程序（STUN）協(xié)議的攻擊有所增加。該協(xié)議用于將隱藏在NAT后面的主機(jī)的內(nèi)部IP地址和端口映射到外部IP地址和端口。利用該協(xié)議，攻擊者能夠?qū)⒗髁吭黾?.32倍，與其他攻擊向量結(jié)合，DDoS功率達(dá)到2TB/s。此外，劫持用作反射器的STUN服務(wù)器可以禁用其主要功能。使用STUN的組織應(yīng)該確保他們的服務(wù)器免受此類攻擊。全世界有超過75,000臺易受攻擊的服務(wù)器。

　　另一種新的DDoS載體尚未被網(wǎng)絡(luò)罪犯利用，它與DNS解析器中的一個漏洞有關(guān)，該漏洞允許對權(quán)威DNS服務(wù)器進(jìn)行放大攻擊，這個漏洞被命名為TsuNAME。其工作原理如下：如果配置錯誤導(dǎo)致某些域的DNS記錄相互指向，解析程序?qū)o休止地將請求從一個域轉(zhuǎn)發(fā)到另一個域，從而顯著增加其DNS服務(wù)器上的負(fù)載。此類錯誤可能是偶然發(fā)生的，2020年初，兩個配置錯誤的域名導(dǎo)致新西蘭域名區(qū)權(quán)威DNS服務(wù)器上的流量增加50%，而歐洲域名區(qū)的類似事件導(dǎo)致流量增加10倍。如果攻擊者創(chuàng)建多個相互指向的域，則問題的規(guī)模將大得多。

　　對DNS服務(wù)器的攻擊是危險的，因為無論DNS服務(wù)器的規(guī)模和DDoS保護(hù)級別如何，它們所服務(wù)的所有資源都將變得不可用。2016年，DNS提供商Dyn遭受攻擊，導(dǎo)致80多家主要網(wǎng)站和在線服務(wù)癱瘓，就很好地說明了這一點。為了防止TsuNAME漏洞帶來同樣的毀滅性后果，研究人員建議權(quán)威服務(wù)器的所有者定期識別并修復(fù)他們域內(nèi)的此類配置錯誤，并建議DNS解析器的所有者確保檢測和緩存循環(huán)請求。

　　四月初的DNS泛濫擾亂了Xbox Live、微軟Teams、OneDrive和其他微軟云服務(wù)的運營。盡管處理大多數(shù)服務(wù)域名的Azure DNS服務(wù)擁有防止垃圾流量的機(jī)制，但一個未命名的編碼錯誤意味著它無法處理請求流。合法用戶徒勞地試圖訪問無響應(yīng)的服務(wù)，使情況更加惡化。然而，微軟很快修復(fù)了這個漏洞，這些服務(wù)也很快就重啟并運行起來。

　　另一場大規(guī)模DDoS攻擊席卷了比利時，攻擊了Belnet和其他ISP。全國各地的用戶都經(jīng)歷了服務(wù)中斷，BE域區(qū)域中的網(wǎng)站暫時不可用。垃圾流量是從全球29個國家的IP地址發(fā)送的，正如Belnet指出的，攻擊者不斷改變策略，使得攻擊極難阻止。它迫使比利時議會推遲了幾次會議，而教育機(jī)構(gòu)在遠(yuǎn)程教育方面遇到了問題，運輸公司STIB也同樣在售票方面遇到了問題。

　　新冠疫苗接種的在線登記系統(tǒng)也受到影響。法國格勒諾布爾-阿爾卑斯大都會委員會也不得不暫停會議數(shù)小時。一場涉及約6萬個機(jī)器人的DDoS攻擊使得現(xiàn)場直播無法進(jìn)行。

　　總體而言，DDoS勒索軟件攻擊勢頭持續(xù)增長。一個以喜歡偽裝成各種APT組織而聞名的網(wǎng)絡(luò)犯罪組織又一次上了新聞，這次是用一個虛構(gòu)的名字“Fancy Lazarus”，由Lazarus和Fancy Bear兩個組織的名字組成。雖然網(wǎng)絡(luò)犯罪組織的攻擊遍布世界各地，但Fancy Lazarus的受害者主要在美國，贖金的規(guī)模也從10-20比特幣降至2比特幣。

　　Avaddon勒索軟件運營商也試圖通過DDoS攻擊來恐嚇受害者。5月初，垃圾郵件淹沒了澳大利亞Schepisi Communications公司的網(wǎng)站。該組織與澳大利亞主要供應(yīng)商Telstra合作，代表Telstra銷售SIM卡和云服務(wù)。同月晚些時候，該領(lǐng)域最大的保險公司之一法國安盛保險（AXA）也成為Avaddon的受害者。就像Schepisi Communications的情況一樣，網(wǎng)絡(luò)犯罪分子除了從其多個分支機(jī)構(gòu)加密和竊取數(shù)據(jù)外，還對其網(wǎng)站進(jìn)行了DDoS攻擊。在6月份發(fā)生了一系列毀滅性攻擊后，勒索軟件開發(fā)者宣布退出。

　　今年5月，愛爾蘭衛(wèi)生服務(wù)管理局（HSE）受到DDoS攻擊。如果不是緊接著出現(xiàn)了Conti勒索軟件的入侵，這些攻擊就不會那么引人注目了。目前尚不清楚這些事件是否存在關(guān)聯(lián)，但勒索者可能利用DDoS作為掩護(hù)，滲透該公司的網(wǎng)絡(luò)并竊取數(shù)據(jù)。

　　對教育機(jī)構(gòu)的攻擊在第二季度繼續(xù)發(fā)生。例如，攻擊者迫使馬薩諸塞州的阿格瓦姆公立學(xué)校關(guān)閉了其訪客網(wǎng)絡(luò)，以保護(hù)主網(wǎng)絡(luò)。這意味著只有學(xué)校發(fā)放的設(shè)備才能接入互聯(lián)網(wǎng)。

　　在本報告所述期間，視頻游戲也沒有逃過攻擊。Titanfall和Titanfall 2服務(wù)器在4月和5月遭遇了與DDoS相關(guān)的宕機(jī)。

　　二、季度趨勢

　　正如預(yù)期的那樣，2021年第二季度表現(xiàn)平靜。與上一季度相比，DDoS攻擊的總數(shù)略有下降。這種下降通常與假期開始有關(guān)，這一趨勢將持續(xù)到第三季度，預(yù)計今年不會有任何變化。

　　圖1 2021年Q1及Q2、2020年Q2的DDoS攻擊次數(shù)對比

　　請注意第二季度智能DDoS攻擊的異常持續(xù)時間。這是由于對執(zhí)法資源進(jìn)行了幾次異常長時間的攻擊，盡管攻擊力度不太大。但是這些攻擊與任何引人注目的事件之間沒有任何關(guān)聯(lián)。在樣本中排除這些攻擊后，DDoS持續(xù)時間數(shù)據(jù)更接近正常值，不同時間段的相對波動不超過30%。

　　在第二季度，超過97%的DDoS攻擊持續(xù)時間不到一個小時。短時間爆發(fā)式攻擊可能會試圖在DDoS檢測系統(tǒng)未檢測到的情況下造成損害。依賴手動分析和緩解的DDoS服務(wù)可能被證明對這些類型的攻擊毫無用處，因為它們在分析師甚至識別攻擊流量之前就已經(jīng)結(jié)束。

　　或者，可以使用短攻擊來探測目標(biāo)的網(wǎng)絡(luò)防御。例如，在暗網(wǎng)上廣泛使用的負(fù)載測試工具和自動化DDoS工具可以產(chǎn)生短時間的SYN泛洪爆發(fā)，然后使用不同的攻擊向量進(jìn)行另一個短攻擊。這允許攻擊者在決定以更大的速度和更長的時間發(fā)動更大規(guī)模的攻擊之前了解目標(biāo)的安全態(tài)勢。

　　在其他情況下，攻擊者會進(jìn)行小規(guī)模的DDoS攻擊，以證明和警告目標(biāo)組織攻擊者以后造成實際破壞的能力。之后通常會向目標(biāo)組織發(fā)送勒索郵件，要求支付贖金，以避免遭受可能更徹底地破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。

　　這凸顯了對始終在線的自動化DDoS保護(hù)方法的需求。依賴于手動重新路由、分析和緩解的DDoS保護(hù)服務(wù)可能會被證明對這些類型的攻擊毫無用處，因為它們在分析師甚至可以識別攻擊流量之前就已經(jīng)結(jié)束了。

　　圖2 2021年Q1及Q2，2020年Q2的DDoS攻擊持續(xù)時間

　　三、攻擊向量

　　攻擊向量是用來描述攻擊者試圖引起拒絕服務(wù)事件所使用的方法的術(shù)語。正如之前所觀察到的，利用SYN泛洪和基于UDP協(xié)議的攻擊仍然是攻擊者最常用的方法。

　　什么是SYN泛洪攻擊？這是一種利用TCP協(xié)議基礎(chǔ)的DDoS攻擊?？蛻舳撕头?wù)器之間的有狀態(tài)TCP連接以3次TCP握手開始?？蛻舳税l(fā)送帶有同步標(biāo)志（SYN）的初始連接請求分組。服務(wù)器使用包含同步確認(rèn)標(biāo)志（SYN-ACK）的數(shù)據(jù)包進(jìn)行響應(yīng)。最后，客戶端使用確認(rèn)（ACK）數(shù)據(jù)包進(jìn)行響應(yīng)。此時，連接已建立，并且可以交換數(shù)據(jù)，直到連接關(guān)閉。攻擊者可能會濫用此有狀態(tài)進(jìn)程來導(dǎo)致拒絕服務(wù)事件。

　　通過反復(fù)發(fā)送SYN數(shù)據(jù)包，攻擊者試圖覆蓋跟蹤TCP連接狀態(tài)的服務(wù)器或路由器連接表。路由器使用SYN-ACK數(shù)據(jù)包進(jìn)行應(yīng)答，為每個給定連接分配一定數(shù)量的內(nèi)存，并錯誤地等待客戶端使用最終ACK進(jìn)行響應(yīng)。如果有足夠數(shù)量的連接占用路由器的內(nèi)存，路由器將無法為合法客戶端分配更多內(nèi)存，從而導(dǎo)致路由器崩潰或阻止其處理合法客戶端連接，即拒絕服務(wù)事件。

　　四、統(tǒng)計分析

　　本報告包含了2021年第二季度的DDoS攻擊統(tǒng)計數(shù)據(jù)。在本報告中，只有在僵尸網(wǎng)絡(luò)活動周期之間的間隔不超過24小時的情況下，一次事件才被計算為一次DDoS攻擊。例如，如果同一Web資源被同一僵尸網(wǎng)絡(luò)攻擊，且攻擊時間間隔為24小時或以上，則視為兩次攻擊。來自不同僵尸網(wǎng)絡(luò)但針對同一資源的Bot請求也被視為單獨的攻擊。本報告中DDoS攻擊的唯一目標(biāo)數(shù)按季度統(tǒng)計中的唯一IP地址數(shù)計算。

　　1、DDoS攻擊地理分布

　　與網(wǎng)絡(luò)層攻擊不同，HTTP攻擊不能欺騙源IP。某一特定國家的DDoS活動率高，表明大型僵尸網(wǎng)絡(luò)從其內(nèi)部運行。2021年第二季度的數(shù)據(jù)顯示，美國和中國的組織是HTTP DDoS攻擊的最大目標(biāo)。事實上，每200個發(fā)往美國的HTTP請求中就有一個是DDoS攻擊的一部分。

　　第二季度遭到DDoS攻擊最多的是美國（36%），其次是中國（10.28%）和波蘭（6.34%）。DDoS攻擊最活躍的一天是6月2日，發(fā)生了1164次攻擊；最長的一次攻擊持續(xù)了776小時（超過32天）；60%的DDoS攻擊使用了UDP泛洪；僵尸網(wǎng)絡(luò)C&C服務(wù)器最多的是美國（47.95%）。

　　圖3 2021年Q1及Q2的DDoS攻擊國家分布

　　2、DDoS攻擊數(shù)量

　　如上所述，第二季度相對平靜。平均而言，每天的DDoS攻擊數(shù)量在500到800之間波動。在報告期內(nèi)最安靜的一天即4月18日，只觀察到60次攻擊。在另外兩天，即6月24日和25日，攻擊次數(shù)不足200次。盡管如此，第二季度還是遭遇了1000多起DDoS攻擊。例如，在4月13日觀察到1061起攻擊，在6月2日觀察到1164起。

　　圖4 2021年Q2的DDoS攻擊數(shù)量

　　3、DDoS攻擊持續(xù)時間及類型

　　第二季度，DDoS攻擊的平均持續(xù)時間與上一季度相比幾乎沒有變化，為3.18小時，而第一季度為3.01小時。此外，持續(xù)時間小于4小時的極短攻擊的比例（從91.37%上升到93.99%）、長攻擊的比例（從0.07%上升到0.13%）和超長攻擊的比例（從0.13%上升到0.26%）都有小幅上升。相比之下，最大攻擊持續(xù)時間繼續(xù)增加。第一季度最長的攻擊是746小時（超過31天），第二季度更是達(dá)到了776小時（超過32天）。

　　從攻擊類型的分布來看，UDP泛洪在第二季度顯著增加，SYN泛洪（23.67%）在2021年之前一直是最常見的DDoS類型，本季度它與TCP泛洪（13.42%）互換位置，位列第二。

　　圖5 2021年Q2的DDoS攻擊類型分布

　　4、僵尸網(wǎng)絡(luò)地理分布

　　第二季度，僵尸網(wǎng)絡(luò)C&C服務(wù)器90%位于10個國家。其中美國所占比例最大（47.95%），較上一季度增加了6.64個百分點。

　　第二是德國（12.33%），第三是荷蘭（9.25%）。法國（4.28%）保持第4位，其次是加拿大（3.94%）。

　　5、物聯(lián)網(wǎng)蜜罐攻擊

　　在2021年第二季度，研究分析了哪些國家的機(jī)器人和服務(wù)器正在攻擊物聯(lián)網(wǎng)設(shè)備，以期擴(kuò)大僵尸網(wǎng)絡(luò)。這涉及到研究物聯(lián)網(wǎng)蜜罐上Telnet和SSH攻擊的統(tǒng)計數(shù)據(jù)。本季度發(fā)起SSH攻擊的設(shè)備最多的國家是中國（31.79%）。第二位是美國（12.50%），第三位是德國（5.94%）。然而，通過SSH的大部分攻擊源自愛爾蘭（70.14%）和巴拿馬（15.81%），這兩個國家的機(jī)器人數(shù)量相對較少。這可能表明，在這些國家的攻擊設(shè)備中，有強(qiáng)大的服務(wù)器能夠同時感染全球多臺設(shè)備。

　　第二季度，攻擊Telnet陷阱的機(jī)器人的是中國（39.60%）。此外，許多機(jī)器人位于印度（18.54%）、俄羅斯（5.76%）和巴西（3.81%）。這些攻擊大多源自這些國家，唯一的區(qū)別是俄羅斯（11.25%）和巴西（8.21%）的機(jī)器人活動高于印度（7.24%），而中國（56.83%）占所有Telnet蜜罐攻擊的一半以上。

　　五、結(jié)論

　　DDoS市場在去年的動蕩后繼續(xù)穩(wěn)定。正如預(yù)期的那樣，2021年第二季度呈現(xiàn)出傳統(tǒng)的夏季低迷。除了一些異常的長時間攻擊，以及DDoS地理位置的變化外，第二季度表現(xiàn)平平。

　　Kaspersky分析認(rèn)為2021年第三季度DDoS市場沒有大幅上漲或下跌的理由。與以前一樣，市場將嚴(yán)重依賴加密貨幣價格，盡管相對于春季峰值有所下降，但價格一直居高不下。1個比特幣價值3萬-3.5萬美元，少于幾個月前，但仍然是一個相當(dāng)可觀的數(shù)字。由于加密貨幣的價格仍然具有吸引力，DDoS市場預(yù)計不會增長。