2015H1 绿盟科技 DDoS 威胁报告 2015 H1 NSFOCUS DDoS THREAT REPORT h t i g b u m o c . 5 目录 执行摘要 DDoS 攻击态势 3 观点 1：大流量呈现增长趋势 3 事件：历史上的 DDoS 6 计算器：动手算 DDoS 损失 6 观点 2：大流量走向云端 7 观点 3：大流量在游戏加剧 9 观点 4：小流量“快”变身脉冲攻击 11 事件：游戏行业中的脉冲攻击 12 观点 5：小流量“慢”攻击业务逻辑 13 事件：P2P 在线交易平台 13 观点 6：攻击手段 APT 化 14 DDoS 防护现状 17 治理：主管机构打造平台 17 治理：运营商治理大流量 17 治理：行业组织标准欠缺 17 缓解：厂商提升技术能力 17 缓解：用户加固特定业务 18 DDoS 解决方案及实践 本地清洗 云清洗方案 分层清洗 建立信誉云 20 g 21 解决方案方面，除了本地清洗、云清洗方案之外，更出现了分 层清洗、信誉云及近源清洗多种方案及实践。 m o c . 5 于此同时，基于 SDN 的攻击模式及缓解技术，更让笔者 眼前一亮，由此也预测这些演变将与云计算及大数据一起，催 生 DDoS 防护向下一代 DDoS 防护及 APT 时代迈进。 特别声明 b u 本次报告中涉及的所有数据，来源于绿盟科技的自身产 品、网络监测和合作伙伴的提供。所有数据在进行分析前都已 经过匿名化处理，不会在中间环节出现泄露，任何与客户有关 的具体信息，均不会出现在报告中。 如果您需要了解更多信息，请联系： 23 23 24 结束语 25 DDoS 威胁报告 面对如此恶劣的 DDoS 攻击态势，主管机构、运营商、行 业组织、厂商及用户都在不断开展 DDoS 治理及缓解工作，在 21 近源清洗 作者和贡献者 冲及慢速攻击，主要针对行业业务特性。在此背景下，攻击流 量呈现混合化，并以 UDP 混合流量为主（72%）。 ti h 19 防护：DDoS 防护生态环境 2015 年上半年报告中，绿盟科技发现 DDoS 攻击存在两 极分化的态势，大流量攻击不断增长（>100G 的攻击有 33 起） 并开始走向云端，小流量攻击（1 分钟以下 42.74%）变身脉 26 26 关注 DDoS 威胁报告 27 关于绿盟科技 27 扫描二维码，在线看报告 前言 多年来，绿盟科技致力于帮助客户实现业务的安全顺畅运行。每天，绿盟科技的防护产品和监测系统会发现数以千计的 DDoS （分布式拒绝服务）攻击危害客户安全。为了快速反馈 DDoS 攻击的相关信息，绿盟科技发布《2015 H1 DDoS 威胁报告》。 本报告为 2015 年上半年报告，用于快速跟踪及反馈 DDoS 威胁发展态势。如果您需要获取全年报告《2015 DDoS 威胁报 告》，请跳转到该章节，了解相关信息。 DDoS 攻击态势 Because of the closed context of the original ARPANET and NSFNet, noconsideration was given to denial-of-service attacks in the ori ginalInternet Architecture. As a result, almost all Internet services are vulnerable to denial-of-service attacks of sufficient scale. m o c . 5 ---RFC 4732 观点 1：大流量攻击呈现增长趋势 国外带宽及互联网用户发展态势 b u 在美国，美国联邦通信委员会（FCC）CC 对宽带重新定义: 下行速度从 4Mbps 调整至 25Mbps，上行速度从 1Mbps 调 整至 3Mbps。全球的互联网用户 2008-2012 共 4 年的年平均增长率高达 12%，2013 互联网用户数比例已经超过人口的 37.96%， 预期在 2015 年用户数量可以超过 30 亿。 h t i g 图 1.1 全球互联网用户增长趋势 3 2015H1 绿盟科技 DDoS 威胁态势报告 前言  观点 1：大流量呈现增长趋势 随着带宽增加，每个连接的速度也在相应提升，根据 Internet Society 预测 2013-2018 年期间的增幅将达到 35%左右，流量 显著提升，从中也可以看到平均每个连接的每月总流量也在持续升高。 m o c . 5 图 1.2 每连接速度增长趋势 中国出口带宽及互联网用户发展态势 b u 十二五以来，随着“宽带中国”战略实施方案的推进，城市和农村家庭宽带接入能力逐步达到 20 兆比特每秒（Mbps）和 4Mbps，部分发达城市达到 100Mbps，宽带首次成为国家战略性公共基础设施。根据 CNNIC 的统计，中国国际出口带宽呈现非 常快速的增长趋势。与此同时，中国的网民规模也在大幅度提升，5 年来平均增长幅度达到 7.2%，2014 年接近 6.5 亿。 h t i g 图 1.3 出口带宽增长幅度 4 2015H1 绿盟科技 DDoS 威胁态势报告 DDoS 攻击态势  观点 1：大流量呈现增长趋势 宽带标准被调高和联网用户（设备）增多，在方便用户使用的同时，也为大流量 DDoS 攻击的出现创造了条件，加之设备厂 商和消费者在安全意识方面需要提升，这方面的因素也助长了 DDoS 放大式攻击的发生，这些方面都直接导致了 DDoS 风险的增 高。 本报告数据显示，在 2015 年大流量 DDoS 攻击仍旧在持续增加。2015 年上半年，至少出现 33 起流量超过 100G 的攻击， 集中在 6 个相对独立的 IP 上。从全国范围分布上看，排名前五的城市包括上海、成都、东莞、济南、天津。 m o c . 5 b u h t i g 图 1.4 100G 以上被攻击区域分布 另外，从多年来为运营商服务的数据来看，也可以看到在 2015 年上半年的 DDoS 攻击中，百 G 以上的攻击频次明显增大。 以某运营商为例，2015 年受 100G 以上流量攻击的 IP 数增长到 1675 个，攻击的次数增长到 3729 次，照此计算 100G 以上的攻 击总量已经超过 300T。这个趋势相比 2014 年 IP 数量有所增长，单 IP 受到 100G 以上流量攻击的次数也明显上升。而 100G 以 下的攻击总量要远远超过这个数量。 5 2015H1 绿盟科技 DDoS 威胁态势报告 DDoS 攻击态势  观点 1：大流量呈现增长趋势 b u 图 1.5 100G 以上攻击流量历年增长趋势 事件：历史上的 DDoS m o c . 5 h t i g 纵观过去的 5 年间，DDoS 大流量攻击事件数不胜数，这里仅列出比较有代表性的几次事件，从这些事件中可以看到大流量 攻击逐步抬升的态势。 • 2013 年 3 月 26 日 欧洲反垃圾邮件组织 Spamhaus 受到 300G+的 DDoS 攻击 • 2014 年 2 月 11 日 CloudFlare 透漏其客户遭受 400G 的 NTP Flood 攻击，刷新历史 DDoS 攻击的流量峰值外，使 得 NTP Flood 攻击备受业界关注。 • 2014 年 12 月 20 日 阿里云发布声明称其遭受攻击峰值流量 453G 的攻击 • 2015 年 1 月 国外某安全厂商发现了一次大型 DDoS 攻击，334Gbps 的垃圾数据流攻击了一家亚洲网络运营 商的数据中心，事件的发生时间在 2015 年一月至三月之间。 这一趋势在 2014 年的报告中已经呈现出来①，DDoS 攻击峰值流量逐年上升，这一方面是由于攻击技术的不断发展, 另一方 面也是由于网络带宽等可利用资源显著增加。这一趋势通过历年的 DDoS 事件来看，不会有大的变化。 计算器：动手算 DDoS 损失 这些 DDoS 的攻击将会给业务带来多少损失？这里我们提供一个计算器，通过几个常规项的计算，让大家可以更为直观的感 受 DDoS 攻击将会给业务带来的影响。 ① 6 2014 绿盟科技 DDoS 威胁报告，http://www.nsfocus.com.cn/upload/contents/2015/03/20150304131640_45210.pdf 2015H1 绿盟科技 DDoS 威胁态势报告 DDoS 攻击态势  事件：历史上的 DDoS 业务营收及成本统计 DDoS 攻击带来的损失统计（一个小时） 统计项 金额(万元) 4000 业务每月营收 50 每年带宽租用费 统计项 金额(万元) 5.56 营收损失 0.01 带宽租用费损失 固定资产投入 800 固定资产成本损失 0.03 每月研发、运维人员投入费用 150 人员投入费用损失 0.21 100 每月机房托管费用(托管机房选填) 0 每月机房维护费用(自建机房选填) 0.14 机房托管费用损失 0.00 机房维护费用损失 小计 样例数据仅供参考 读者可以自行修改上面表格中的数值 右边就可以自动计算出损失情况 业务遭受 DDoS 攻击时间统计(每月) 统计项 m o c . 5 DDoS 攻击带来的经济损失合计 (一个月) 统计值 统计项 2 业务每月遭受 DDoS 攻击次数(次) 4.00 业务每月遭受 DDoS 攻击总时长(小时) 23.76 b u h t i g 观点 2：大流量攻击走向云端 金额（万元） 合计 2 业务每次 DDoS 攻击时长(小时) 5.94 在 DDoS 大流量攻击兴起的同时，为了抵御风险免受其害，许多用户将其业务向云端迁移，云计算技术的诸多优点使得云服 务得以广泛应用。中国信息通信研究院的报告①显示，我国公共云服务市场规模大概在 72 亿元左右，比去年增长 47.5%。中国私 有云市场规模也在不断扩张，2014 年国内私有云市场规模大概在 246 亿人民币左右，增长速度将近 30%。 云服务的增多在为用户带来了便利的同时，也在安全方面也带来了两个方面的变化，1 客户端轻量化，客户端原本的计算任 务，大幅度向云端转移，云端的流量会越来越大，这将会被大流量 DDoS 攻击所利用；2 环境复杂化，随着业务环境虚拟化，从 业务更加灵活多变到运维管理，其中不断产生新的不确定性，都可能为新的 DDoS 攻