百度安全發(fā)布2016年DDoS攻擊報告 為企業(yè)挽回巨額

近日，百度安全發(fā)布《2016年DDoS攻擊報告》(以下簡(jiǎn)稱(chēng)《報告》)，針對2016年發(fā)生的DDoS攻擊事件進(jìn)行了深入分析，并基于百度安全實(shí)驗室的調查數據，對當前“DDoS攻擊”的現狀進(jìn)行了詳細解讀，同時(shí)就其發(fā)展趨勢進(jìn)行了預測。

　　據《報告》顯示，2016年全球DDoS攻擊正呈現出大流量、多手段、IOT化的趨勢。2016年全球DDoS攻擊峰值流量達1.1T，同比增長(cháng)40%，同時(shí)新增了多個(gè)種類(lèi)的反射放大攻擊手段和多個(gè)途徑的流量生成器。 2016年百度安全為用戶(hù)攔截的最大攻擊流量接近400G，時(shí)間最長(cháng)的攻擊超過(guò)43天。

　　超過(guò)七成攻擊集中在三大行業(yè)

　　哪些行業(yè)火、粉絲多、吸金快，哪些行業(yè)就容易被攻擊。尤其是企業(yè)宣布融資、發(fā)布游戲、促銷(xiāo)活動(dòng)等時(shí)期，更容易遭受黑產(chǎn)的勒索攻擊。

　　行業(yè)熱、高利潤、惡意競爭……，多種因素使得金融、游戲、電商三大行業(yè)歷來(lái)是DDoS攻擊的重災區?！秷蟾妗凤@示，2016年互聯(lián)網(wǎng)金融、電子商務(wù)、在線(xiàn)游戲依然位列前三，并且占據了全部DDoS攻擊的71%。

　　《報告》披露，百度安全服務(wù)的某Top10游戲企業(yè)，曾連續43天遭受黑產(chǎn)DDoS攻擊，峰值流量達到385G。攻擊讓這家游戲公司平均每天損失100萬(wàn)元。

　　頻繁騷擾 游擊作戰

　　DDoS攻擊流量的數據不斷刷新，峰值流量一年間翻了一番。這一方面是因為互聯(lián)網(wǎng)企業(yè)的安全投入不斷提升，帶寬、DDoS防御能力越來(lái)越強，另一方面隨著(zhù)DDoS攻擊黑色產(chǎn)業(yè)鏈的發(fā)展，攻擊的門(mén)檻越來(lái)越低，“資源”也越來(lái)越豐富。黑客只要花上一頓飯功夫，用不到200元，就能發(fā)起一次DDoS攻擊，并且讓企業(yè)損失上百萬(wàn)元甚至更多。

　　雖然峰值流量不斷被刷新，但是 10G以下的DDoS攻擊仍然是現在的主流，占比將近一半。10G是什么概念呢？這相當于10萬(wàn)人在同時(shí)觀(guān)看網(wǎng)紅直播，或者是相當于12306最忙碌時(shí)候的帶寬量。不過(guò)，即使這樣的攻擊規模，已經(jīng)足以打垮大多數中小網(wǎng)站。而游戲、視頻網(wǎng)站這些帶寬充裕的行業(yè)，遭遇的攻擊通常是這些量的10倍甚至幾十倍。百度安全認為，未來(lái)隨著(zhù)越來(lái)越多的物聯(lián)網(wǎng)設備被黑客利用，大流量攻擊甚至超高流量的DDoS攻擊將越來(lái)越普遍。

　　從攻擊時(shí)間上看，黑客就像是在打游擊戰，短時(shí)間、小流量的攻擊居多。單次攻擊在2小時(shí)以下的占到將近80%。之所以這樣做，是因為既可以達到影響業(yè)務(wù)的目的，又難以被網(wǎng)管員覺(jué)察。而且黑產(chǎn)攻擊的目的通常是勒索，只要達到 “威脅”“恐嚇”的效果即可，不必動(dòng)用大量成本發(fā)動(dòng)大規模攻擊。

　　從攻擊方法上看，隨著(zhù)黑產(chǎn)的分工協(xié)作越來(lái)越緊密、黑產(chǎn)技術(shù)水平的不斷提升，各種復雜的攻擊手段混合起來(lái)，形成了復雜、隱蔽、高效的黑產(chǎn)產(chǎn)業(yè)鏈。給攻擊檢測和流量清洗都帶來(lái)了更大的挑戰。

　　即便是單純的DDoS攻擊中，也有45%的流量型攻擊中混合了CC攻擊。此外，反射放大型攻擊因為效率高、流量大，也被越來(lái)越多的黑產(chǎn)所引用。百度安全預測，2017年反射型攻擊比例將持續上升，攻擊類(lèi)型將越來(lái)越復雜。

　　攻擊手段更加隱蔽復雜

　　隨著(zhù)越來(lái)越多的互聯(lián)網(wǎng)應用承載在HTTP協(xié)議之上，針對HTTP應用的應用層DDoS攻擊日漸頻繁，攻擊手段也更加隱蔽、復雜化，DDoS攻擊不是一個(gè)單一事件，而是由許多事件的組合而成的。有攻擊者利用DDoS攻擊作為煙幕，竊取服務(wù)器數據?！秷蟾妗窋祿砻?，45%的攻擊為流量攻擊混合CC攻擊，并且有近10家受攻擊者在遭受流量和CC混合攻擊時(shí)同時(shí)發(fā)現服務(wù)器也被黑客種植了webshell或者正在拖庫。

　　目前來(lái)看，SYN Flood、UDP Flood依然是DDoS攻擊的常見(jiàn)手段，但各類(lèi)反射型攻擊比例持續上升，攻擊類(lèi)型日趨復雜，如夾雜著(zhù)UDP Flood、CC、DNS、SSDP和NTP反射的混合攻擊比例大幅增長(cháng)，這給攻擊檢測和流量清洗都帶來(lái)了更大的挑戰。據百度安全的數據顯示，在單純的流量型攻擊中，作為最常用的攻擊方式，SYN FLOOD攻擊占比超過(guò)八成，達到80.99%，UDP FLOOD攻擊占比17.44%；1.02%為ACK FLOOD。

　　小心你的手機成為黑客的幫兇

　　去年的2016世界互聯(lián)網(wǎng)大會(huì )上，百度創(chuàng )始人李彥宏曾經(jīng)斷言移動(dòng)互聯(lián)網(wǎng)時(shí)代已經(jīng)結束，未來(lái)是人工智能和物聯(lián)網(wǎng)的時(shí)代。在這個(gè)新時(shí)代，基于智慧城市、智能家居的不斷發(fā)展，各種IOT設備數量大幅增加。

　　這些IOT設備也可能成為黑客發(fā)起DDoS攻擊的幫兇。因為黑客發(fā)起客戶(hù)攻擊時(shí)，需要大量的“肉雞”。這里的“肉雞”與傳統概念上的不同，黑客不會(huì )遠程控制整個(gè)系統，只是劫持用戶(hù)的某些行為。當用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站或者某些APP的時(shí)候，就在不知情的情況下執行了惡意代碼，從而對“目標”發(fā)起了一次非目的訪(fǎng)問(wèn)，而眾多用戶(hù)形成的訪(fǎng)問(wèn)就形成了DDOS攻擊，尤其是cc攻擊居多。

　　2016年網(wǎng)站類(lèi)劫持83%，APP類(lèi)劫持17%。其中APP類(lèi)劫持呈現出上升的趨勢，這是因為：

　　第一，隨著(zhù)企業(yè)加大對網(wǎng)絡(luò )安全的投入和技術(shù)升級，對于網(wǎng)站的劫持、掛碼越來(lái)越難，劫持生命周期也越來(lái)越短，只要用戶(hù)清除服務(wù)器的頁(yè)面木馬，即可阻斷攻擊。

　　第二，隨著(zhù)移動(dòng)互聯(lián)網(wǎng)的到來(lái)，以APP端形式提供的網(wǎng)絡(luò )服務(wù)越來(lái)越多，同時(shí)由于A(yíng)ndroid自身版本的碎片化以及應用市場(chǎng)的管理混亂導致安全漏洞百出，一些黑產(chǎn)組織開(kāi)始逐漸偏向于利用端用戶(hù)來(lái)發(fā)起攻擊；

　　第三，APP用戶(hù)只要下載并啟動(dòng)了綁定惡意代碼的APP，就會(huì )向“目標”發(fā)起攻擊。這意味著(zhù)攻擊量級受限于A(yíng)PP的分發(fā)量和活躍量。一般這類(lèi)有規模的攻擊背后通常都有實(shí)力不凡的黑產(chǎn)組織。

　　百度安全認為，未來(lái)人工智能將在與人們密切相關(guān)的衣食住行領(lǐng)域實(shí)現越來(lái)越多的行業(yè)應用。這些領(lǐng)域的DDoS攻擊造成的危害也會(huì )越來(lái)越深刻。因此，智能家居、物聯(lián)網(wǎng)相關(guān)企業(yè)，在發(fā)展之初就需要將安全因素納入產(chǎn)品的頂層設計之中。

     重大活動(dòng)需提前設計網(wǎng)絡(luò )安全策略

　　去年，記者在采訪(fǎng)百度安全事業(yè)部總經(jīng)理馬杰時(shí)，對方曾表示，遇到DDoS攻擊，企業(yè)切不可圖眼前就向黑客支付勒索費，而是要與專(zhuān)業(yè)的第三方安全服務(wù)機構合作，聯(lián)合起來(lái)抵御黑產(chǎn)。同時(shí)還要保存好證據，通過(guò)法律途徑維護自身權益。

　　統計數據表明，惡意競爭是DDoS攻擊的主要原因之一，尤其是在企業(yè)發(fā)布融資信息、新產(chǎn)品發(fā)布、促銷(xiāo)和推廣活動(dòng)期間，最容易遭到惡意攻擊和勒索。百度安全專(zhuān)家建議企業(yè)特別是在突發(fā)事件或者一些重大活動(dòng)期間，最好預先設計網(wǎng)絡(luò )安全策略，防止遭遇突發(fā)DDoS攻擊。

　　此外，隨著(zhù)企業(yè)安全意識的提高，百度安全認為，取證并利用法律捍衛自身權益，將成未來(lái)的普遍趨勢。因此，攻擊溯源技術(shù)未來(lái)將成為安全廠(chǎng)商的服務(wù)標配。