查看原文
其他

DDoS攻击趋势:攻击日益猖獗,办公设备占据肉鸡资源的半壁江山

绿盟君 绿盟科技 2022-09-12

全文共1615字,阅读大约需3分钟。

数字化时代加速发展,各种类型的网络威胁日益加剧。DDoS攻击作为破坏性极强的攻击类型,攻击手法和攻击目标呈现多元化趋势,溯源难度较大,给各行业的安全防护带来巨大挑战。2022年上半年DDoS攻击趋势有怎样的变化,哪些黑产团伙最为活跃?他们利用了哪些攻击手法?纂取了哪些攻击资源?绿盟科技联合腾讯安全、电信安全团队为您一一揭晓。

一.威胁态势

1、UDP反射攻击仍是黑客首选攻击手法,其中NTP反射是最热门反射攻击类型

2022年上半年,攻击手段继续多元化发展,大约三分之二的DDoS攻击是基于UDP协议发起,可见UDP反射仍最受黑客青睐。NTP反射攻击由于其具有400-500放大倍数,且在互联网上数量庞大,获取成本廉价,盘踞UDP反射攻击类型之冠,占UDP反射攻击数量的四分之三。


2. Mirai僵尸网络上半年称王,XoR.DDoS僵尸网络逐渐没落

无论是从攻击指令的角度,还是发起DDoS攻击次数的角度,Mirai僵尸网络都是上半年威胁最大的僵尸网络。从攻击指令分布来看,Mirai占据了接近一半数量。从发起DDoS攻击的维度来看,Mirai僵尸网络发起了超过6成的DDoS攻击。前两年较为活跃的Xor.DDoS僵尸网络现在已经非常式微,发起的DDoS攻击活动占比不到2%。


3.僵尸网络规模扩张迅猛,高危漏洞成最大武器

近年来,DDoS僵尸网络利用漏洞扩张控制范围。2022年上半年被僵尸网络利用的在野漏洞已达到 100 种,且迅速集成新发现的漏洞,在网络服务主机漏洞还未修复之前乘机入侵并控制。


针对TOP20的Linux/IoT高危漏洞利用进行统计发现,漏洞利用率的高低与僵尸网络的活跃程度、规模呈明显的正相关性。活跃度最盛的Mirai和Gafgyt僵尸网络携带漏洞几乎占满近两年利用率TOP20高危漏洞,反观近两年活跃程度持续下滑的XoR.DDoS僵尸网络对TOP20漏洞的利用率不足20%。


4.攻击资源的窃取日益猖獗,办公设备占据肉鸡资源的半壁江山 

综合来看,5月和6月成为2022年上半年DDoS威胁最大的月份。通过分析发现,5月份之后Tb级别的攻击,攻击手法几乎都是通过肉鸡直接发起巨量UDP大包攻击,说明当前的攻击者手中的资源非常充裕,已经可以做到不依赖UDP反射放大即可产生Tb级的攻击流量。

肉鸡的分布主要集中于远程办公设备和物联网设备,2022年上半年由于疫情影响,大量民众居家办公,VPN、Famatech Radmin(远程控制软件)、NAS(数据存储服务器)、Kubernetes(开源容器集群管理系统 )等办公相关的软件和应用占据了半壁江山,路由器和摄像头等常用的物联网设备超过四成。

这些设备由于其技术复杂,存在安全漏洞的风险较高,经常被黑客利用造成严重后果,企业和个人都需提升安全防范意识,让攻击者“无孔可入”。


二.攻防对抗案例

2022年6月上旬,拉美地区接入绿盟MSS可管理安全服务的某客户遭受了DDoS攻击,峰值期间攻击流量高达112.3Gbps,攻击持续时间约1小时,攻击类型为UDP攻击。绿盟IBCS团队在客户遭受攻击后迅速进行了响应,成功为客户防护了本次攻击。


对抗过程:


1、绿盟IBCS团队根据攻击呈现出的特点,迅速确认本次攻击为扫段攻击。


2、攻击流量以UDP流量为主,单个IP的攻击流量在100Mbps左右,因此在防护策略上使用了较低的UDP阈值,对UDP进行限速,以便尽可能过滤攻击流量同时,尽可能保障业务服务正常。


3、在防护设备上将客户的受灾IP段进行了单独的防护群组配置,对扫段攻击进行针对性的防护。


4、建议该客户使用绿盟威胁情报中心(NTI),通过威胁情报对公网上存在扫段攻击的IP进行识别和封堵,以降低未来的潜在风险。


经过约1个小时与黑客的对抗之后,绿盟IBCS团队为客户成功防护了这次大型扫段攻击,攻击结束。经过统计,本轮扫段攻击共涉及该客户两个C段超过500个的IP地址。


报告下载

2022上半年,DDoS攻击还有哪些趋势?

如何补齐安全短板,让黑客破防?

扫码下载报告完整版


点击“阅读原文”下载报告完整版 (手机端用户需要在浏览器模式下才可下载)


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存