卡巴斯基——2019年Q1 DDoS攻击动态

一、季度变化

• 在攻击源方面，中国仍排在第一。尽管在 2018 年 Q4 其份额大幅下跌，但在 2019 年 Q1 又回到了正常水平。
• 在攻击目标方面，前三名和攻击源的分布一模一样：中国（ 59.85% ）、美国（ 21.28% ）和中国香港（ 4.21% ）。
• 与前几个季度相比，攻击源 / 目标的地理分布 Top10 几乎没什么变化。
• DDoS 攻击数量的最高峰出现在 3 月后半月；最平静的时期则是 1 月。
• 一周中最危险的一天是周六，周日最为安全。
• 与上一季度相比， DDoS 攻击的最长持续时间减少了一天多，尽管超过 5 个小时的攻击增长至 21.34% （ 2018 年 Q4 是 16.66% ）。
• SYN 泛洪增长至 84% ，导致 UDP 和 TCP 泛洪的份额下跌。 HTTP 和 ICMP 分别增长至 3.3% 和 0.6% 。
• Linux 僵尸网络的份额略微下降，但仍占主导地位（ 95.71% ）。
• 大多数 C&C 服务器仍位于美国（ 34.10% ），其次是荷兰（ 12.72% ），然后是俄罗斯（ 10.40% ）。值得注意的是韩国重返前十，尽管排在最后一名（ 2.31% ）。

二、新闻概览

新僵尸网络

今年初 DDoS 攻击者的武器库中出现了各种新工具，例如 2 月初出现了由 Qbot 、 Mirai 等公开恶意软件的组件构成的新僵尸网络 Cayosin 。该僵尸网络频繁更新漏洞利用库，并且不仅在暗网上打广告，还在 YouTube 上打广告，甚至在 Instagram 上出售（犯罪者显然正在最大化利用社交媒体的便利性）。在跟踪犯罪者的账户时，研究人员还发现了其它的恶意软件和僵尸网络，例如 Yowai 。

3 月中旬出现了另一个针对商业设备的 Mirai 变体 。该恶意软件现在不仅可以攻击网络入口点、路由器和网络摄像头，还可以攻击无线演示系统和数字标牌系统。

攻击事件

尽管如此，高调的 DDoS 攻击事件并不多。在 2 月 5 日至 3 月 1 日期间，美国 奥尔巴尼大学 （ UAlbany ）共受到 17 次攻击，导致服务器至少宕机 5 分钟。

2 月初， 菲律宾 国家 记者联盟 的官网也遭到攻击。攻击流量的峰值达 468GB/s ，导致该网站在数个小时内无法访问。该攻击或与政治目的有关。

同样在 3 月中旬， Facebook 和 Instagram 用户发现自己无法登录账户，许多人认为该事件与 DDoS 有关，但 Facebook 官方并未承认。

警方行动

DDoS 新闻的缺乏伴随着警方对犯罪组织的逮捕、指控等行动的增长。

1 月初美国司法部 查获 了与去年 12 月的 DDoS 攻击有关的 15 个域名。根据 DoJ 的文件，这些域名被用于实施针对全球政府、 ISP 、大学、金融机构和游戏平台的攻击之中。

1 月底，美国法院因对 DDoS 两家医疗机构而对马萨诸塞州黑客判处 10 年 监禁 。还是在 1 月，一名黑客因破坏利比里亚和德国的移动网络而在英国 被捕 （在 2015 年他的犯罪生涯高峰期，该黑客使得整个利比里亚的网络离线）。

去年关闭 DDoS 服务网站 Webstresser.org 的冲击波还在延续。警方决定不仅追踪组织者，还追踪购买了 DDoS 服务的用户。 1 月底，欧洲刑警组织宣布在英国和荷兰 逮捕 了 250 多名用户。还有消息称针对更多用户的 调查 正在进行中（ 20 个国家的 1.5 万 Webstresser 用户）。

三、季度趋势

上一季度卡巴斯基预测称全球的 DDoS 市场正在萎缩，并且对长期“智能”型攻击（ HTTP 泛洪）的需求将增长。

第一个预测显然已经失败： 2019 年 Q1 的所有 DDoS 攻击指标都有所增长。总体攻击数量增长了 84% ，持续超过 60 分钟的 DDoS 攻击数量翻番。平均攻击时间延长了 4.21 倍，超长型攻击增长了 487% 。

2018 年 Q3 及 Q4 的报告中我们假设 DDoS 攻击的减少与挖矿的兴起有关，显然这一假设至少部分是错误的，我们被迫重新对这一情况进行评估。

一个可能性更大的解释是： 2018 年下半年我们观察到较少的僵尸网络被用于其它目的，而市场真空在扩大。最有可能的是，这一供应短缺与 DDoS 攻击的下滑、出售相关服务的网站被关闭以及主要成员被 逮捕 有关。显然现在市场真空已被填补：相关指标的爆炸式增长几乎可以肯定与新供应商及客户的出现有关。这使得即将到来的 Q2 的指标十分令人期待，指标会继续上涨，还是市场稳定在当前水平呢？

第二个预测要更为成功一些：长期、难以组织的攻击在数量和质量上都在增长。我们认为这种趋势在 Q2 不会持续下去。

四、统计分析

地理分布

攻击源

在攻击源方面，中国仍是第一，并且在经历了上一季度的下滑后回复至正常水平：从 50.43% 增长至 67.89% 。第二名是美国，其份额从 24.90% 下降至 17.17% 。然后是中国香港，从第七名冲到了第三，份额从 1.84% 增长至 4.81% 。

有趣的是，除了中国外，其它地区的份额都在下降。 2018 年 Q4 的第三名澳大利亚下滑至最后一名（从 4.57% 下降至 0.56% ，跌了 4 个百分点）。

英国的变化也很值得注意，它从第五名跌至第七名（从 2.18% 到 0.66% ，跌了 1.52 个百分点）。加拿大和沙特阿拉伯分别下跌了约 1 个百分点，但这并没有阻止加拿大（ 0.86% ）从第六攀升至第四，相反沙特阿拉伯（ 0.58% ）则跌至榜单边缘。

同时巴西跌出了 Top10 ，让位给新加坡，后者位列第五（ 0.82 ％，其份额也有下降，但非常轻微）。

曾经经常和美国争夺第二第三的韩国这一季度还是在 Top10 之外（ 0.30 ％）。虽然 Top10 看起来仍然有点奇怪，但过去三个季度并未重复出现意料之外的变化。

2018 年 Q4-2019 年 Q1 ， DDoS 攻击源分布

攻击目标

攻击目标的地理分布和攻击源保持一致：中国继续第一（从 43.26% 增长至 59.85% ），美国第二（从 29.14% 下降至 21.28% ），中国香港第三（从 1.76% 攀升至 4.21% ）。

沙特阿拉伯从第五下降至第六，略微下跌了 1 个百分点（从 2.23% 跌至 1.08% ）。加拿大的数字差不多（从 2.21% 跌至 1.30% ），但从第六增长至第四。英国跌幅较大（从 2.73% 跌至 1.18% ），从第四跌至第五。

与此同时澳大利亚和巴西跌出了前十（上一季度分别是第三和第八）。取代者是新加坡（从 0.72% 增长至 0.94% ，第八名）和波兰（从 0.33% 增长至 0.90% ，第九名）。同往常一样，第十名是德国（ 0.77 ％）。

2018 年 Q4-2019 年 Q1 ， DDoS 攻击目标分布

DDoS 动态

在 2019 年 Q1 中， 3 月份的 DDoS 攻击活动最多，尤其是后半月。最高峰出现在 3 月 16 日（ 699 个攻击）。 1 月 17 日也有一个高峰，我们记录到 532 个攻击。 1 月初较为平静，没有高峰和低谷，但最平静的一天是 2 月 5 日，只有 51 个攻击。

2019 年 Q1 ， DDoS 攻击动态

至于一周分布， DDoS 强度最高的一天是星期六（ 16.65% ），其次是星期五（ 15.39% ）。星期天相对较为平静（ 11.41% ）。回想一下 2018 年 Q4 ，最激烈的一天是星期四（ 15.74% ），而最平静的一天还是周日。（犯罪分子也需要休息， 233 ）

2018 年 Q4-2019 年 Q1 ， DDoS 攻击的星期分布

持续时间及类别

持续时间

在 2019 年 Q1 ，超长型攻击的份额几乎翻番 – 从 0.11 ％增长至 0.21 ％。然而，与 2018 年 Q4 的近 14 天（ 329 个小时）相比，本季度持续时间最长的攻击也只有 12 天（ 289 个小时）。

最重要的是，持续时间 >5 个小时的攻击大幅增长： 2018 年 Q4 是 16.66% ，现在已达 21.34% 。如下图所示，继续细分可以发现，除了持续时间在 100-139 个小时之间的 DDoS 攻击份额轻微下降之外（从 0.14 ％降至 0.11 ％），其它类别都有所增长。相对地，短持续时间的 DDoS 攻击份额下降了约 5 个百分点，至 78.66% 。

2018 年 Q4-2019 年 Q1 ， DDoS 攻击的持续时间分布（单位：小时）

类别

一如既往， 2019 年 Q1 中 SYN 泛洪仍然占据最大的份额，其数字相比 2018 年 Q4 甚至有所增长，达 84.1% 。当然，如此大的增长（从 58.2% 增长了超过 20 个百分点）会导致其它类别的份额下降。

例如，虽然还是第二，但 UDP 泛洪本季度的份额只有 8.9% ，从 31.1% 大幅下跌。之前排在第三的 TCP 泛洪从 8.4% 下跌至 3.1% ，只能排在第四。 HTTP 泛洪有所增长（增长了 1.1 个百分点，达 3.3% ），排在第三。 ICMP 还是最后一名，尽管它的份额从 0.1% 增长到 0.6% 。

2019 年 Q1 ， DDoS 攻击的类别分布

Linux 僵尸网络的数量仍然碾压 Windows ，尽管在 2019 年 Q1 这一差距略微缩小： Linux 僵尸网络从 97.11% 下跌至 95.71% ，相对的 Windows 僵尸网络增长了 1.5 个百分点，达 4.29% 。这一变化的原因并不是 Windows 设备变得更加流行，而是僵尸网络 Mirai 及其变体 Darkai 的 C&C 服务器数量的下滑。这两个僵尸网络的攻击数量也相应地减少了 3 倍和 7 倍。

2018 年 Q4-2019 年 Q1 ， Windows/Linux 僵尸网络比例

僵尸网络

僵尸网络数量最多的国家仍然是美国（ 34.10% ）。荷兰则从 2018 年 Q4 的第三名上升至本季度的第二名（ 12.72% ）。第三名是俄罗斯（ 10.40% ），从第七名爬升至第三。中国从榜末爬升至第四（ 7.51% ），错失了回到 Top3 的机会。

希腊和德国离开了 Top10 榜单，为越南（ 4.05% ）和韩国让位（ 2.31% ）。尽管韩国曾长期处于靠前的位置，现在也只能排在第十。

2019 年 Q1 ，僵尸网络 C&C 服务器的地理分布