近日，騰訊安全云鼎實(shí)驗(yàn)室發(fā)布“2018上半年互聯(lián)網(wǎng)DDoS攻擊趨勢分析”，從2018年上半年DDoS攻擊情況的全局統(tǒng)計(jì)、DDoS黑色產(chǎn)業(yè)鏈條的人員分工與自動(dòng)化操作演進(jìn)兩個(gè)方面闡述。

2018年以來，以IoT設(shè)備為反射點(diǎn)的SSDP反射放大尚未平息，Memcached DDoS又異軍突起，以最高可達(dá)5萬的反射放大倍數(shù)、峰值可達(dá)1.7Tbps的攻擊流量成為安全界關(guān)注的新焦點(diǎn)。

一.整體分析

1. DDoS流量峰值情況

根據(jù)2013-2018DDoS攻擊流量峰值統(tǒng)計(jì)表明，DDoS攻擊流量峰值不斷被超越。今年3月份針對某游戲攻擊的Memcached DDoS，其峰值1.7 Tbps 達(dá)到了一個(gè)新的高度。目前，Memcached DDoS 已成為反射放大的一股主要力量。

2. DDoS攻擊行業(yè)情況

騰訊安全云鼎實(shí)驗(yàn)室列出了受DDoS攻擊的14種主要行業(yè)。游戲行業(yè)因日流水量最大、變現(xiàn)快，成為DDoS攻擊的首選目標(biāo)和遭受攻擊最多的行業(yè)。

隨著許多行業(yè)的互聯(lián)網(wǎng)化，DDoS的攻擊面不斷增多。根據(jù)分析，游戲占DDoS攻擊的37%，其次是門戶網(wǎng)站/社區(qū)和IT服務(wù)/軟件。

在游戲行業(yè)，手機(jī)游戲已超過了 PC 客戶端游戲成為了 DDoS 攻擊的主要目標(biāo)。H5 游戲的崛起，也成為了 DDoS 的關(guān)注點(diǎn)，占整體攻擊的1.4%。

3. DDoS攻擊類型

在攻擊類型中，反射放大占比最多，約為55.8%。 Memcached 作為今年三月以來的新興反射放大力量，迅速被 DDoS 黑產(chǎn)界利用，其在整體的占比中也相當(dāng)大。反射放大占比如此之多的一個(gè)原因是 DDoS 黑產(chǎn)的自動(dòng)平臺(tái)化，即無需人工干預(yù)，完全自動(dòng)流程可完成攻擊的所有操作。

SYN Flood 排名第二，一直是 DDoS 的主要攻擊手法。隨著 DDoS 黑產(chǎn)的平臺(tái)化，SYN Flood 的載體也發(fā)生了改變，由海量的肉雞漸漸轉(zhuǎn)移到了發(fā)包機(jī)上(以偽造源 IP 的 SYN Flood 為主)。

4. DDoS 所對應(yīng)的C2地域分布

通過監(jiān)控發(fā)現(xiàn)，在國內(nèi)的C2漸漸有外遷的現(xiàn)象。還有一些持有高性能肉雞的黑客，看到了虛擬貨幣的逐利遠(yuǎn)遠(yuǎn)大于 DDoS攻擊，將一部分高性能肉雞轉(zhuǎn)去挖礦。鑒于以上原因針對用于 DDoS 的 C2 監(jiān)控難度越來越大。

5. 被攻擊IP的地域情況

DDoS 攻擊目標(biāo)按地域分布統(tǒng)計(jì)中，國外受攻擊最多的國家是美國，其次是韓國、歐洲國家為主，DDoS 攻擊的主要目標(biāo)還是聚集在互聯(lián)網(wǎng)發(fā)達(dá)的國家中。

二.DDoS 黑色產(chǎn)業(yè)鏈條演進(jìn)

騰訊安全云鼎實(shí)驗(yàn)室分析了傳統(tǒng)的DDoS攻擊和目前的DDoS攻擊特點(diǎn)。

1. 傳統(tǒng)DDoS攻擊

早期的 DDoS 一般是黑客一個(gè)人的游戲，從工具開發(fā)、bot 傳播、接單、攻擊等都獨(dú)自完成。隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的飛速發(fā)展，網(wǎng)絡(luò)攻擊獲利越來越多，催生了DDoS 攻擊的大量需求，例如競品的攻擊、DDoS 勒索等。高額的利益便會(huì)催生對應(yīng)工作的精細(xì)化分工，DDoS 的黑產(chǎn)也不例外。我們針對傳統(tǒng) DDoS 攻擊的專業(yè)化人員分工進(jìn)行分析：

發(fā)單人：也可以稱為金主，是 DDoS 攻擊后的直接獲利者，提出攻擊需求。

擔(dān)保商：也可以稱為中間人，是 DDoS 黑產(chǎn)中較出名的人物，在各個(gè)不同分工人員間做“信任”擔(dān)保，與交易環(huán)節(jié)的資金中轉(zhuǎn)工作。擔(dān)保商也會(huì)自己架設(shè)接發(fā)單平臺(tái)或即時(shí)通訊工具群等形式來擴(kuò)大自己的知名度，帶來更多的 DDoS 攻擊業(yè)務(wù)。

接單人：也可以稱為攻擊手，通過操作 C2 服務(wù)器或發(fā)包機(jī)直接發(fā)起 DDoS 攻擊。

流量商：通過擔(dān)保商或直接將國外購買的流量服務(wù)器售賣給攻擊手。

肉雞商：手頭上擁有大量的肉雞資源，通過擔(dān)保商或直接將肉雞售賣/出租給攻擊手。

黑客軟件作者：開發(fā) botnet 程序，反射放大程序等各種 DDoS 工具。

這樣的多種分工，使 DDoS 在技術(shù)難度上被拆解，技術(shù)門檻降低，部署更容易。同時(shí)給互聯(lián)網(wǎng)安全人員的分析與溯源帶來更大的困難。在分析中我們發(fā)現(xiàn)，有一些人員也可能同時(shí)擔(dān)當(dāng)多個(gè)角色。

2. 目前 DDoS 攻擊

鑒于傳統(tǒng) DDoS 攻擊的不足，促使了 DDoS 多個(gè)環(huán)節(jié)的自動(dòng)化發(fā)展，頁端 DDoS 攻擊平臺(tái)便是發(fā)展的結(jié)果之一。其高度集成管理，在成單率、響應(yīng)時(shí)長、攻擊效果等方面都得到了可行的解決。在人員分工上，有了新的發(fā)展：

擔(dān)保商淡出 DDoS 黑產(chǎn)圈，發(fā)單人可直接在頁端 DDoS 攻擊平臺(tái)下單、支付費(fèi)用，且可以根據(jù)自己的攻擊目標(biāo)的情況選擇攻擊方式與流量大小，保障了百分之百的成單率。

攻擊手已被自動(dòng)化的攻擊平臺(tái)取代，不需要手動(dòng)操作攻擊。從發(fā)起攻擊命令到真正開始攻擊，一般延時(shí)在10s 左右，再也不用等幾小時(shí)或幾天了。

發(fā)包機(jī)提供人替代了流量商角色，且完成發(fā)包機(jī)的程序部署、測試，最終給出發(fā)包機(jī)的攻擊類型、穩(wěn)定流量、峰值流量等各種定量且穩(wěn)定的攻擊能力。穩(wěn)定的攻擊流量保障了最終的攻擊效果。

站長成為了頁端 DDoS 攻擊平臺(tái)的核心人員，進(jìn)行平臺(tái)的綜合管理、部署、運(yùn)維工作。例如：DDoS 攻擊套餐管理、注冊用戶(金主)管理、攻擊效果與流量穩(wěn)定保障、后續(xù)的升級(jí)等。

三.總結(jié)與趨勢展望

綜上所述，上半年的 DDoS 攻擊無論從流量的角度還是從次數(shù)的角度來看，都上升了一個(gè)新的高度。

DDoS 黑色產(chǎn)業(yè)鏈的人員與技術(shù)的演進(jìn)降低了整體 DDoS 入門的門檻，在溯源監(jiān)控中發(fā)現(xiàn)，有的 DDoS 黑產(chǎn)團(tuán)伙平均年齡 20 歲左右，甚至有未滿 16 周歲的學(xué)生也是其中的一員。

在 DDoS 的整體防御上，建議用戶采用具備大帶寬儲(chǔ)備和 BGP 資源的云服務(wù)商防御方案。如騰訊云大禹擁有30線 BGP IP 接入資源，豐富的場景化防護(hù)方案。

隨著智能 AI 設(shè)備與物聯(lián)網(wǎng)的飛速發(fā)展， DDoS 的新宿主平臺(tái)不斷出現(xiàn)，DDoS 攻防戰(zhàn)會(huì)越來越激烈。可以預(yù)期，2018年下半年 DDoS 會(huì)呈現(xiàn)出多樣化的發(fā)展：

1. 類似于 Memcached DDoS 的新反射放大方式會(huì)不斷的被曝光與利用

2. 智能設(shè)備的發(fā)展會(huì)催生出新平臺(tái)下的 botnet 產(chǎn)生，且這些平臺(tái)基本防護(hù)措施薄弱，更成了DDoS 的溫床

3. 隨著打擊 DDoS 力度的不斷加大， P2P 式僵尸網(wǎng)絡(luò)或半去中心化變種方式有望重回風(fēng)口，讓 DDoS 難于監(jiān)控與溯源分析

4. 基于暗網(wǎng)的 DDoS 平臺(tái)將逐漸替代目前流行的頁端 DDoS 攻擊平臺(tái)，使其平臺(tái)的存活時(shí)間更長。

注：本文主要內(nèi)容為騰訊安全云鼎實(shí)驗(yàn)室發(fā)布的“2018上半年互聯(lián)網(wǎng)DDoS攻擊趨勢分析”，有刪減。