卡巴斯基DDoS情報季度報告：放大攻擊和舊的殭屍網路捲土重來

卡巴斯基實驗室發布了2018年第一季度DDoS情報報告，介紹了殭屍網路輔助的DDoS攻擊情況。公司的安全專家注意到舊的和新的殭屍網路的活動情況都有所增加，放大攻擊變得更為普及，長期(持續多日)的DDoS攻擊又重新出現。

2018年第一季度，DDoS殭屍網路對79個國家的在線資源實施了攻擊。遭受攻擊數量最多的國家仍然是中國、美國和韓國，這些國家在攻擊者可用的伺服器數量以及託管在其上的站點和服務數量方面繼續領先。與此同時，中國香港和日本取代了荷蘭和越南，入選遭受攻擊最多的前十位國家和地區之列。

託管最多C&C伺服器的10個國家和地區的變化更為明顯，義大利、中國香港、德國和英國取代了加拿大、土耳其、立陶宛和丹麥。原因可能是Darkai(Mirai的一種克隆)活動的C&C伺服器數量減少，AESDDoS殭屍程序顯著增加，而舊的Xor和Yoyo殭屍網路恢復活動造成的。儘管這些殭屍網路中大多數是用Linux，但第一季度基於Linux的殭屍網路比例較去年末有稍微下降，比例為66%，而2017年則為71%。

2018年第1季度和2017年第4季度，按國家分布的DDOS攻擊

此外，經過短暫的喘息之後，持續時間較長的攻擊又回來了：本季度最長的DDoS攻擊持續了297個小時(超過12天)。上次我們看到較長時間的攻擊是在2015年底。

報告期結束以Memcached洪水攻擊史無前例的強度為標誌——有時候，這些攻擊的流量超過1TB。但是，卡巴斯基實驗室專家預計這些攻擊是短暫的，因為Memcached洪水攻擊不僅會影響被攻擊目標，同樣會影響參與實施攻擊的企業。

例如，2月份，一家公司聯繫了卡巴斯基DDoS防護技術支持，抱怨他們的通信渠道過載，他們懷疑自己正在遭受DDoS攻擊。結果發現，他們公司的一台伺服器包含Memcached服務漏洞，被網路罪犯用來攻擊另一項服務，產生了巨大的外出流量，導致自己公司的網路資源崩潰。這也是這些攻擊為什麼註定是短暫的原因。Memcached攻擊的幫凶很快就會注意到自己伺服器的高負載，並迅速修補漏洞以避免損失，從而減少了攻擊者可用於攻擊的伺服器數量。

整體看來，之前呈現下降狀態的放大攻擊在第一季度勢頭大增。例如，儘管其有效性，我們記錄到一種焊接類型的攻擊，利用LDAP服務為放大器。與Memcached、NTP和DNS一起，這項服務具有最大的擴增速率。但是，與Memcached攻擊不同的是，LDAP垃圾流量幾乎不會完全阻塞外出出口，使得包含漏洞的伺服器所有者更難發現和修復這一情況。儘管可用的LDAP伺服器數量相對較少，但這種類型的攻擊有可能在未來幾個月內成為Darknet的熱門話題。

卡巴斯基DDoS保護團隊項目經理Alexey Kiselev說：「漏洞利用是業務涉及製造DDoS殭屍網路的網路罪犯最喜歡用的工具。但是，今年的前幾個月顯示，這種攻擊方式不僅會影響到DDoS攻擊的受害者，基礎設施包含漏洞對象的企業也遭受影響。第一季度發生的事件重申了一個簡單的事實：公司用來實施多層級在線安全的平台必須包括定期漏洞修補功能和悠久的反DDoS攻擊保護功能。」

卡巴斯基DDoS保護解決方案結合了卡巴斯基實驗室在打擊網路威脅方面的全面技術以及公司獨特的內部開發。該解決方案能夠攔截所有類型的DDoS攻擊，無論其複雜性、強度或持續時間如何。為了降低網路罪犯使用漏洞進行DDoS攻擊的風險，卡巴斯基網路安全解決方案提供了漏洞和補丁管理組件。該產品能夠讓企業自動消除基礎設施軟體中的漏洞，主動修復漏洞並下載軟體更新。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！