Akamai 日前(9/12)發表《2015 年第三季互聯網發展狀況概述-保安報告》。 該報告就全球雲端安全威脅概況作出分析及見解, 當中包括 DDos 和網絡應用攻擊的情況和趨勢。
Akamai 雲端安全業務部副總裁 John Summers 表示:「Akamai 每季均看見愈來愈多拒絕服務攻擊, 而此趨勢在最近一季仍然持續。雖然最近的分佈式阻隔服務(DDoS)攻擊規模較小而且時間較短,但仍然對雲端保安構成重大風險。 由於受僱型分布式阻隔服務(DDoS-for-hire)網站的普及,它們辨別及利用公開的互聯網服務,例如 SSDP、NTP、 DNS、CHARGEN,甚至 Quote of the Day,導致攻擊活動愈趨頻繁。」
DDoS 攻擊破記錄 平均時間變短
本季經過 Akamai 路由網絡的 DDoS 攻擊活動, 打破上季錄得的新紀錄,上升 23% 至 1,510 宗; 相比去年第三季,更錄得 180% 的升幅。縱然攻擊數量明顯增加, 惟攻擊的平均時間卻較短,而平均頻寬及流量亦較低。本季流量高於 100 Gbps 的大型攻擊出現得較少,共錄得 8 宗; 而今年第二季及去年同期,則分別錄得 12 及 17 宗。 第三季錄得利用 XOR DDoS 彊屍網絡的最高頻寬 DDoS 攻擊是 149 Gbps,而上季的高峰則有 250 Gbps。在該 8 宗大型攻擊中,媒體及娛樂業遭受最多攻擊,共有 3 宗。
第三季觀察到攻擊頻寬減少的同時, 其中一項攻擊規模則打破原有紀錄。 一家媒體及娛樂公司遭受破紀錄的 222 Mpps DDoS 攻擊,較上季的原有紀錄 214 Mpps 略高。此大型攻擊可與 Akamai 在第三季觀察到的所有 攻擊平均高峰流量 1.57 Mpps 相比;如此規模的攻擊足以拖垮一個一級的路由器, 例如互聯網服務供應商(Internet Service Providers;ISP)使用的路由器。
2015 年第三季,網上遊戲業尤其遭受嚴重攻擊,佔總錄得 DDoS 攻擊的 50%。僅隨其後的是軟件及科技界,佔所有攻擊的 25% 。在過去一年多,網上遊戲業一直是遭受最多攻擊的行業。
相比感染式 DDoS 攻擊,反射式 DDoS 攻擊現時較為流行。DDoS 攻擊者不再像以往一樣,花時間去建立及維繫DDoS 彊屍網絡 ,取而代之的是利用公開的現有網絡設備及不安全的服務協議。 去年第三季時,反射式 DDoS 攻擊只佔所有 DDoS 流量的 5. 9%;今年第三季,這些攻擊載體卻已佔 DDoS 流量的 33. 19%。
Akamai Edge 顯示中國是攻擊源頭 ASN
本季的保安報告,首次納入了 Akamai Edge 防火牆(Akamai Edge Firewall)所觀察到的攻擊活動。Edge 防火牆的數據在全球平台周邊提供對攻擊活動的較廣泛觀察,包括來自超過 200, 000 個配備了 Akamai 技術的伺服器的攻擊流量資訊。 我們辨別出首 10 個攻擊流量的源頭 ASN, 主要來自中國及其他亞洲國家,而美國及歐洲的反射體, 則主要被用作發佈攻擊。
DDoS 攻擊數據一覽
與 2014 年第三季相比:
- 整體 DDoS 攻擊上升179.66%
- 應用層(第七層)DDoS 攻擊上升25.74%
- 基礎架構層(第三及四層)DDoS 攻擊上升198.1%
- 平均攻擊時間減少 15.65%:18.86 小時比 22.36 小時
- 平均高峰頻寬下跌 65.58%
- 平均高峰攻擊次數下跌 88.72%
- 反射式攻擊上升 462.44%
- 高頻寬攻擊(超過100Gbps)下跌 52.94%:8 比 17
與 2015 年第二季相比:
- 整體 DDoS 攻擊上升 22.79%
- 應用層(第七層)DDoS 攻擊下跌 42.27%
- 基礎架構層(第三及四層)DDoS 攻擊上升 30.21%
- 平均攻擊時間下跌 8.87%:18.86 比 20.64小時
- 平均高峰頻寬下跌 25.13%
- 平均高峰攻擊次數下跌 42.67%
- 反射式攻擊上升40.14%
- 高頻寬攻擊(超過100Gbps) 下跌33.33%:8比12
透過 HTTPS 進行網絡應用攻擊或上升
上季 Shellshock 漏洞主導了使用 HTTPS 的網絡應用攻擊,但第三季的情況則不盡相同 — 分別透過 HTTP 及 HTTPS 發出的網絡應用攻擊百分比回復較傳統的水平(88% 透過 HTTP ,12% 透過 HTTPS)。透過 HTTPS 使用網絡應用攻擊這種手法,很有可能會有上升趨勢,因為愈來愈多網站採用 TLS 可用流量作為標準保安層。攻擊者亦有可能利用HTTPS, 企圖入侵後端數據庫,而此通常是由透過 HTTPS 的應用程式進入 。
在之前數季,本地文件包含(LFI)及 SQL 注入(SQLi) 攻擊為最常見的網絡應用攻擊載體。 零售業是遭受最多網絡應用攻擊的行業,佔總數的 55%; 而金融服務業則排第二,大大少於零售業,只佔總網絡攻擊的 15% 。網絡應用攻擊非常倚賴彊屍網絡,利用不安全的家居路由器及設備發動。
我們亦發現,第三季 WordPress 插入攻擊亦有明顯上升, 不單是常見的插入,而較鮮為人知的插入漏洞亦如是。
在 2015 年第三季,美國是網絡應用攻擊的主要來源, 佔攻擊源頭流量的 59%,同時亦是這些攻擊的 75% 目標。 首三位攻擊自治系統號碼(Autonomous System Number;ASN) 均與由美國著名的雲端供應商持有的虛擬專用系統(virtual private system;VPS)有聯繫。 每日有很多在雲端推出的虛擬伺服器均缺乏足夠的保安措施, 因此被彊屍網絡或其他攻擊平台利用。
何為網站 scrapers?
Scraper 是一種特定的機械人,目的是從目標網站取得數據,以儲存及分析,再售賣或使用數據。善意的scraper例如有搜尋器機械人,其他的例子則有速率收集商、 分銷商及搜尋器優化分析服務。本保安報告中的一部份用作探討scrapers,並提供簡易的辨別方法。
網絡應用攻擊數據一覽
相比 2015 年第二季:
- HTTP網絡應用攻擊上升96.36%
- HTTPS網絡應用攻擊下跌79.02%
- SQLi攻擊上升21.64%
- LFI攻擊上升204.73%
- RFI攻擊上升57.55%
- PHPi攻擊上升238.98%
