卡巴斯基发布《2020年第一季度的DDoS攻击报告》

本季度主要由冠状病毒大流行所控制,该大流行已经撼动了包括DDoS市场在内的世界上许多事情。与我们上一份报告中的预测相反,在2020年第一季度,我们发现DDoS攻击的数量和质量均显着增加。与上一个报告期相比,攻击次数增加了一倍,与2019年第一季度相比,攻击次数增加了80%。攻击次数也变得更长:我们观察到平均持续时间和最大持续时间均明显增加。每年第一季度DDoS活动都有一定的增长,但是我们没有想到这种激增。

2020年第一季度,2019年第一季度和第四季度DDoS攻击总数的比较; 以2019年第一季度为100%参考值

2020年第一季度以及2019年第一季度和第四季度DDoS攻击的持续时间; 以2019年第一季度为100%参考值

在总体增长的背景下,智能攻击的份额在过去一年中几乎保持不变:2019年和2020年第一季度处于相同水平,约为42%。这表明专业人士和业余爱好者对DDoS攻击的兴趣都在增加:总体攻击的数量与智能攻击的数量以相同的速度增长,因此比例没有​​改变。

2020年第一季度以及2019年第一季度和第四季度,智能攻击在DDoS攻击总数中所占的比例

有趣的是,对教育和行政Web资源的DDoS攻击数量与2019年同期相比增加了两倍。此外,此类攻击在2020年第一季度占事件总数的19%,而一年前仅为11%。

网络犯罪分子对此类资源的兴趣的上升可能与COVID-19的传播有关,COVID-19的传播引起了对远程学习服务和官方信息来源的更多需求。自2020年初以来,大流行影响了所有行业。因此,它也影响DDoS市场是合乎逻辑的。展望未来,这种影响可能会更加明显。

尽管很难在这种全球不稳定的情况下预测任何事情,但是可以假定攻击不会减少:许多组织现在都在转向远程工作,并且可行目标的数量正在增加。如果在大多数情况下,较早的目标是公司的公共资源,则现在关键的基础结构元素(如公司VPN网关或非公共Web资源(邮件,公司知识库等))可能会受到威胁。这为攻击组织者打开了新的壁ni,并可能导致DDoS市场的增长。

统计

方法

卡巴斯基在打击网络威胁方面有着悠久的历史,包括各种类型和复杂性的DDoS攻击。公司专家使用卡巴斯基DDoS智能系统监控僵尸网络。

作为Kaspersky DDoS Protection的一部分  ,DDoS Intelligence系统可以拦截并分析机器人从C&C服务器接收的命令。该系统是主动的,不是被动的,这意味着它不等待用户设备被感染或命令被执行。

该报告包含2020年第一季度的DDoS Intelligence统计信息。

在此报告的上下文中,仅当僵尸网络活动周期之间的间隔不超过24小时时,该事件才被视为一次DDoS攻击。例如,如果相同的Web资源被相同的僵尸网络攻击间隔为24小时或更长时间,则这被视为两次攻击。来自不同僵尸网络但针对一种资源的Bot请求也算作单独的攻击。

用于发送命令的DDoS攻击受害者和C&C服务器的地理位置由它们各自的IP地址确定。此报告中DDoS攻击的唯一目标数是按季度统计中的唯一IP地址数来计算的。

DDoS Intelligence统计信息仅限于卡巴斯基检测和分析的僵尸网络。请注意,僵尸网络只是用于DDoS攻击的工具之一,并且本节并不涵盖在审核期间发生的每一个DDoS攻击。

季度总结

  • 到2020年第一季度,大多数C&C服务器仍在美国注册(39.93%),而大多数僵尸程序在巴西。
  • 就总体攻击次数的动态而言,本季度与上一季度非常相似-2月14日和15日的攻击次数超过了230次,而1月25日的攻击次数则下降至16次。
  • DDoS攻击者在星期一最活跃,而更有可能在星期三休息。
  • SYN泛滥仍然是最受欢迎的攻击类型(甚至以92.6%的攻击强度巩固了它的地位),而ICMP攻击出乎意料地跃居所有其他攻击类型的第二位。
  • Windows僵尸网络继续流行:使用它们的攻击份额增长了3个百分点,达到5.64%。

攻击中使用的唯一IP地址的地理位置

本季度,我们决定研究僵尸网络及其组成的僵尸网络在国家/地区的分布。为此,我们分析了用于注册蜜罐攻击的唯一IP地址的位置。

在漫游器数量排名前十的国家中,第一名是巴西,其唯一IP地址占12.25%。排在第二位的是中国(11.51%),仅落后于一个百分点,而埃及(7.87%)则排在第三位,差距更大。其余前十个国家的僵尸IP地址总数得分从6.5%到2.5%。该评级还包括几个亚洲国家(越南(6.41%),第四(台湾(3.96%),第七(3.65%)),伊朗(5.56%),俄罗斯(4.65%),俄罗斯(4.65%)。 ,而美国(3.56%)排名第九。土耳其排名前十,这是用于攻击的唯一地址的2.86%的来源。

2020年第一季度按国家/地区分布的僵尸网络(下载

奇怪的是,这种分布只与攻击统计信息部分相关。尽管中国长期以来一直是攻击次数排名第一的国家,而越南是常规排名前十的游客,但按独特IP数量排名的领先者巴西在过去一年仅进入前20名。 ,在2019年第一季度排名第20位。它经常只出现在TOP 30的后三分之一中,与伊朗不同,伊朗在机器人数量上排名TOP 5。至于埃及(按机器人数量排名第三),它是极少发生注册攻击的来源,因此,它甚至位于前30名之外。

僵尸网络分布地理

如果单个攻击设备主要位于南美,亚洲和中东,则与上一季度一样,C&C服务器在美国和欧洲的注册频率更高。美国的C&C数量排名第一,在美国,到2020年第一季度,美国的C&C数量几乎占总注册量的40%(与去年年底相比下降了18.5个百分点)。荷兰位居第二(10.07%),从第八位上升,第三位是德国(9.55%),上个季度在前十名中无人可及。如前所述,在前三名中在C&C服务器数量的国家/地区中,只有美国托管了大量的漫游器。

C&C数量排名第四的是另一个欧洲国家,这次是法国(8.51%),在梯级上爬了两个梯级。中国呈现出完全相反的趋势,从第三下降到第五(2019年第四季度为3.99%vs 9.52%)。加拿大(2.95%)从第九位上升到第六位,而俄罗斯,罗马尼亚(每季度休息后回到前十名)和新来的克罗地亚则排在第七位。这些国家/地区分别占C&C服务器总数的2.43%。排名前十的是另一位新进入者,新加坡,占2.08%。

2020年第一季度按国家/地区分布的僵尸网络C&C服务器

DDoS攻击数量的动态变化

2020年第一季度的攻击数量动态在许多方面与我们在2019年底所看到的类似。峰值指标每天不超过250次攻击(最热的是2月14日和15日,即在情人节之后(分别是242次和232次攻击),以及当月的3日和10日。该季度最平静的日子是1月25日和3月18日,一天的攻击次数不足20次(回想一下,2019年第四季度最安静的一天只有8次已记录的攻击)。

2020年第一季度DDoS攻击数量的动态变化

在过去的一个季度中,星期一的攻击次数显着增加-几乎增加了4 pp。如果在上一个报告期内,这一天仅占攻击的14%,则现在已接近18%。该季度最平静的一天是星期三(攻击率略高于11%,比上一季度下降3.7个百分点),在攻击强度方面,周四仅稍低于前一个评级的反领导者(下降1.5个百分点)。

按星期几,2019年第四季度和2020年第一季度进行DDoS攻击的分布

DDoS攻击类型

在过去的一个季度中,DDoS攻击的类型分布发生了一些显着变化:ICMP泛洪增加了2个百分点,并且自信地从最后一位移至第二位(上一报告期为3.6%,而上一报告期为1.6%)。因此,HTTP泛滥以自2019年1月以来的最低分数(仅为0.3%)排名最低。UDP和TCP泛洪再次交换了位置。唯一未采取行动的是排名最高的SYN洪水,其份额持续增长,并在观察期内达到92.6%的历史新高(超过了上个季度创下的历史记录84.6%)。

2020年Q1按类型分布的DDoS攻击载)

Windows僵尸网络越来越流行。如果在上一个报告期内,他们仅从Linux表亲那里抢走了0.35 pp,那么这次他们采取了3 pp的策略(从攻击的2.6%上升到5.64%)。话虽如此,它们仍然是一个严重的竞争对手:十分之九的攻击继续部署Linux僵尸网络。

Windows / Linux僵尸网络攻击的比例,2019年第四季度和2020年第一季度

结论

2020年第一季度没有带来任何重大冲击。C&C服务器数量排名前10位的国家/地区欢迎了两个新条目(克罗地亚和新加坡),并且看到了两个熟悉的面孔(罗马尼亚和德国)的回归。尽管我们观察到Windows僵尸网络和ICMP泛滥有所增加,但这并没有显着影响整体情况。仅攻击在星期几的分布发生了实质性变化,但是即使如此,也仅表示重新分配了工作,而不是定量转移。在情人节那天,DDoS攻击数量增加,随后出现平静,这也是可预见的季节性现象。

0 0 vote
Article Rating

未经允许不得转载:x-sec » 卡巴斯基发布《2020年第一季度的DDoS攻击报告》

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x