綠盟科技《IP團伙行為分析》報告解讀

前言：近年來，DDoS攻擊已成為互聯網上最常見的一種攻擊方式，其中殭屍網路在DDoS攻擊中發揮著巨大作用。綠盟科技基於近幾年對多個IP團伙行為的研究跟蹤及數據積累，於近日推出了《IP團伙行為分析》報告。

內容提要

根據綠盟威脅情報中心觀測，2018年上半年，超過2700萬攻擊源IP中，被監測到多次攻擊的行為被稱之為「慣犯」。這些慣犯承擔了40%的攻擊事件，其中殭屍網路活動和DDoS攻擊是慣犯們的主流攻擊方式。由於殭屍網路活動和DDoS攻擊通常以協作方式從多個來源發起，這些慣犯通過勾結「作案」，這類群體被稱作「IP團伙」(IP Chain-Gang)。IP團伙成員雖然僅佔全部攻擊者的2%，但是卻發起了20%的攻擊。其中，有20%的IP團伙中發起了80%的攻擊。此外，反射攻擊，特別是大流量攻擊是各團伙樂於選擇的攻擊方式。

本文將對《IP團伙行為分析》報告中的IP團伙的攻擊方式、流量峰值、攻擊類型、攻擊者和受害者區域分布、攻擊團伙特徵等方面進行解讀。希望能夠通過相關數據分析，能夠更好地預測DDoS攻擊，防患於未然。

攻擊方式有哪些？

1、攻擊類型與攻擊總流量

下圖按攻擊總流量區間展示了各種攻擊的分布。

攻擊類型與攻擊總流量

NTP反射攻擊因其出色的放大性能，在大流量攻擊中最常使用。SYN Flood攻擊方法簡單所以使用最為普遍。這兩種攻擊再加上UDP Flood和SSDP反射攻擊構成了最主要的攻擊類型。

2、單一攻擊與混合攻擊

一些組織發動攻擊時會採取多種攻擊方法，下面兩個圖展示了某一團伙採用的攻擊方法。該攻擊團伙大多時候僅採用一種攻擊方法發起攻擊(92.8%)，不過有時也會採取多種攻擊方法對一個受害者發起協同性攻擊。在混合攻擊中，74.2%的採取了兩種攻擊方法，4%的採取了四種方法。此外，UDP flood是混合攻擊中比較常用的一種攻擊方式。

3、反射攻擊流量與事件

各類反射型攻擊，正越來越多地用於發起DDoS攻擊，特別是大流量攻擊。在攻擊事件數量上，DNS反射攻擊佔全部反射型攻擊的57%。從觸發較大流量的能力來看，NTP反射攻擊是一種更為強大的DDoS攻擊。

流量峰值：IP團伙最大攻擊力是多少？

了解攻擊團伙的能力極限對於規劃防禦非常重要。流量峰值是衡量某一團伙的攻擊能力和惡意程度的關鍵參數，反映了攻擊團伙對目標的最大攻擊能力。通常情況下，攻擊團伙的攻擊流量並不會總能達到其所能達到的最大峰值。不過，當攻擊團伙潛力完全釋放出來時，會展示出強大的攻擊能力。

單一攻擊的流量峰值趨勢(某一攻擊團伙)

攻擊者和受害者區域分布：歐洲成重災區

通過地理位置信息，攻擊者可確定哪些目標值得攻擊，受害者可查明攻擊來自何方。雖然。可能無法基於地理位置信息判斷起掌控作用的威脅源起方的具體位置，但至少可明確DDoS活動的熱點地區。

為展示中國以外的攻擊活動，綠盟科技收集了國外部署的感測器所生成的數據，對其地理位置進行了研究。其中，歐洲擁有最多的攻擊源，同時歐洲也是受害最嚴重的地區。

攻擊源國家分布

攻擊目標國家分布

IP團伙概要模型：各類型攻擊團伙特徵

我們可從攻擊流量、事件數量、受害者數量、攻擊IP數量和最大攻擊速率等多個角度分析某一IP團伙的不同特性。這樣，就可以對這一團伙的攻擊能力就有了一個大概的了解。

1、最大的攻擊團伙

從下圖可以看出，該團伙的攻擊目標和攻擊次數均不多，但是其攻擊峰值相對較高，這可能是因為該團伙成員基數龐大的原因。

IP團伙概要模型(最大團伙)

2、最活躍的攻擊團伙

下圖是攻擊數量最大且波及最多受害者的攻擊團伙。雖然，該團伙規模不大，但卻能產生很大的攻擊流量和流量峰值。可見，該團伙攻擊性很強。

IP團伙概要模型(最活躍的攻擊團伙)

3、流量最大的攻擊團伙

下圖是攻擊流量最大且流量峰值最高的攻擊團伙。不過，該攻擊團伙的規模相對較小，攻擊目標和攻擊次數也較少。可以推斷該團伙的成員可能具備較大的帶寬管道。

IP團伙概要模型(流量最大的團伙)

寫在最後：

據了解，將DDoS攻擊作為協同團伙活動進行研究尚屬首次。從這一全新角度來研究，可以獲得一些獨特見解，這也將有助於我們更準確地描述攻擊者的行為方式，有效防禦這些團伙在未來可能發起的攻擊。

了解更多，可查看綠盟科技《IP團伙行為分析》報告完整版 http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！