綠盟科技發布《2017上半年DDoS與Web應用攻擊態勢報告》

　　網絡安全“新常態”呼吁多方協同作戰

　　從惡名昭著的“WannaCry”勒索病毒，到陰魂不散的“暗云Ⅲ”，再到席卷全球 140 個金融機構的“匿名者(Anonymous)”。在網絡安全事故頻發，網絡安全攻擊“常態化”的當下，如何及早洞察網絡安全局勢、了解網絡攻擊技術的發展以作出有效應對成為了大眾關注的焦點。日前，綠盟科技發布了《 2017 上半年DDoS與Web應用攻擊態勢報告》(下簡稱“該報告”)，針對當前高發的DDos攻擊與Web應用攻擊態勢進行了總結和盤點，并提供了針對性的防護措施與解決方案。

　　2017 年上半年DDos攻擊態勢盤點：

　　1、攻擊總次數下降，單次攻擊峰值上升。

　　在綠盟科技上半年監測到的 10 萬余次DDoS攻擊中，DDoS攻擊總次數比 2016 下半年下降30%，這符合以往的“年初DDoS攻擊放緩，年中攻擊活躍”的趨勢。

　　上半年單次DDoS攻擊平均峰值為32Gbps，相比 2016 年下半年升高47.5%。

　　2、長時攻擊增多，頻率增大。

　　2017 上半年，長時攻擊增多，短時攻擊略有下降，但仍然占主導地位。單次DDos攻擊平均攻擊時長為 9 小時，相比 2016 年下半年呈回升趨勢，增長28.6%。

　　有10.6%的目標IP曾經遭受過長達 24 小時以上的攻擊，其中38.3%曾在 1 個季度內遭受過 2 次或更多次DDoS攻擊，最高達到 20 次/季度。這與攻擊者的攻擊企圖密切相關，追求高利潤的攻擊者比起那些為了好玩發起攻擊的攻擊者來說，他們更愿意投入資源發起更持久的DDoS攻擊，如果一直沒能達到攻擊的目的或預期的收益，就會再次發起攻擊，直至達成目標。

　　3、超大流量攻擊數量顯著上升，SYN Flood大流量攻擊明顯增多。

　　2017 年上半年，300Gbps的超大流量DDoS攻擊呈增長趨勢，共發生 46 次， Q2 比Q1 增加了720%

　　特別值得注意的是，SYN Flood大流量攻擊明顯增多，其在大流量攻擊中占比明顯上升。尤其在大于300Gbps的超大流量攻擊中，SYN Flood占比高達91.3%，相比去年增長了52. 3 個百分點。

　　4、反射攻擊整體活動放緩。

　　上半年，反射攻擊整體活動放緩，Q2 總流量比Q1 下降80%，其中最明顯的是DNS反射攻擊，總流量下降301%。NTP Reflection Flood和SSDP Reflection Flood攻擊為主要攻擊類型。

　　各類反射攻擊流量的減少，最高攻擊峰值的降低，都跟各類反射攻擊在全球范圍內可用的反射器數量逐年減少有關。這主要有兩方面的原因，一是各運營商不斷對反射攻擊進行治理，如實施URPF(Unicast Reverse Path Forwarding)、BCP38 等策略;二是很多存在漏洞的服務器都已經被打了補丁或者升級到較新版本，再或者直接關閉了本不需要開啟的服務。

　　5、物聯網僵尸網絡肆虐。

　　綠盟科技威脅情報中心(NTI)數據顯示， 2016 下半年開始火遍全球的Mirai，其活動仍在繼續。除了Mirai，其他基于物聯網的惡意程序也在加緊搶占物聯網資源。目前物聯網僵尸網絡的種類越發增多，用途也更為廣泛。例如Mirai僵尸網絡新變種就已經拓展了自己的能力，加入了比特幣挖掘組件。

　　6、中國仍是首要攻擊源與攻擊目標。

　　2017 上半年，中國依然是DDoS攻擊受控攻擊源最多的國家，發起攻擊次數占全部的46.6%，其次是美國和俄羅斯，分別占3.0%和2.0%。中國發起DDoS攻擊次數的Top5 省份分別為江蘇、云南、北京、廣東、福建，合計占比達50.3%。

　　2017 上半年，受攻擊最嚴重的國家也是中國，攻擊次數占全部被攻擊國家的64.6%，其次是美國和加拿大，分別占18.1%、2.5%。受攻擊嚴重的Top5 省份分別為廣東、浙江、福建、江蘇、北京，合計占比達68%。

　　2017 年上半年Web應用攻擊態勢盤點：

　　1、攻擊覆蓋廣、頻率高。

　　2017 上半年，攻擊者對NSFOCUS所防御的Web站點發起了2, 465 萬次Web應用層攻擊。其中有82%的網站在 2017 上半年曾遭受Web應用攻擊，單個站點日平均被攻擊次數為 21 次。

　　2、近二成攻擊源可提前識別。

　　結合NSFOCUS 威脅情報中心(NTI)信譽數據進行分析，有19.6%的攻擊源IP曾經對 2 個及以上的Web站點發起過攻擊，這部分攻擊源IP中有74.3% 在綠盟威脅情報中心(NTI)中有不良IP信譽記錄，且被標識為中、高危的占比74.2%。

　　3、已知Web漏洞攻擊成為最大隱患。教育、政府、金融、互聯網成Struts2 相關高危漏洞主要“受害者”。

　　該報告指出，有79.3%的網站遭受的攻擊為已知Web漏洞攻擊，其中利用率最高的漏洞為Struts2 相關漏洞，占全部已知Web漏洞攻擊的58.7%。

　　Apache Struts2 作為世界上最流行的Java Web服務器框架之一，被廣泛用于政府、企業組織、金融等行業的門戶網站的底層模版建設，一旦出現漏洞，影響甚廣。Struts2 CVE-2017-5638 高危漏洞爆發一周內平均每天發生2, 771 次攻擊，教育(23%)、政府(19%)、金融(17%)、互聯網(10%)受該漏洞影響較大。

　　4、SQL注入攻擊成主要攻擊手段。

　　報告數據顯示，上半年SQL注入攻擊占比40.8%，從攻擊Payload Top10 來看，大部分攻擊發生在攻擊初期階段，主要是試探網站是否存在注入漏洞。

　　綠盟科技專家指出，DDoS攻擊和Web應用攻擊是當今互聯網面臨的較為突出的兩大安全威脅。DDoS攻擊技術門檻低，但攻擊影響面大、直接損失嚴重。Web應用層攻擊對知識和技能要求更高，其影響具有持久性、隱密性等特點。需要警惕的是，很多時候DDoS攻擊被黑客用作實施Web應用攻擊的煙霧彈，即先發起DDoS攻擊吸引安全團隊精力，同時暗地里進行Web應用層攻擊，最終達到篡改、竊取敏感信息、獲取系統控制權限等目的。

　　網絡安全“新常態”面前，企業和安全廠商需轉變觀念協同作戰

　　業內專家指出，近年來，伴隨“云大物移智”等新興IT技術的全面覆蓋，網絡威脅也變得日趨復雜，在這一態勢面前，企業與安全廠商亟待轉變觀念，實現協同運營，共同作戰。就企業端而言，需要將安全運營能力和開發能力相整合。對于安全服務商而言，則需要從單點的技術場景轉化為解決方案的提供。

　　對此，綠盟科技也于近期發布了相應的網絡安全系列解決方案，包括“面向監管方的網站安全監測平臺”、“面向監管方的網站安全監測服務”、“面向普通政企機構的網站安全監測與防護系統”、“面向普通政企機構的網站安全重要時期保障服務”、“面向重保會議的網站安全管理平臺”，真正實現對網絡安全數據的分析整合，安全態勢感知、攻擊威脅預警與攻擊事件溯源追蹤等，對傳統威脅和新興網絡威脅進行全面防護。

　　綠盟專家表示，在網絡攻擊常態化的當下，企業不僅僅需要硬件產品支撐安全服務的需求，還需要更加智能、敏捷的企業安全防護生態，以達到健康、高效的運營模式。未來網絡安全產業需要一個多元化的生態圈支撐，需要更智慧和更快速的響應，這也是綠盟科技“智慧安全2. 0 戰略”所著力的方向。

　　《 2017 上半年DDoS與Web應用攻擊態勢報告》下載鏈接：

　　http://blog.nsfocus.net/2017-mid-year-ddos-web-cybersecurity-threat-report/