2018年第四季度DDoS攻擊規模同比下降85％

至頂網安全頻道 03月21日 編譯： 根據行內研究人員的報告稱，2018年12月聯邦調查局採取行動關閉網上的Booter網站（即DDoS出租網站）後，2018年第四季度的分散式拒絕服務（DDoS）平均攻擊規模減小了85％。

去年年底，美國當局推出打擊全球Booter網站的行動，查獲關閉了15個熱門域名。網路犯罪分子收取費後可以利用Booter網站（也叫“Stresser”網站）針對特定目標發起DDoS攻擊並目標離線。Booter網站為一眾網路小白攻擊者打開了大門，因為他們可以付費對受害者網站發起毀滅性攻擊。

FBI在採取這次行動前約一年前曾釋出安全通告（https://www.ic3.gov/media/2017/171017-2.aspx），通告詳細描述了Booter服務對DDoS攻擊規模和頻率的影響。這些Booter服務多在暗網論壇和暗網市場中進行廣告宣傳，Booter服務可用於合法測試網路的抗壓性，但同時也可被網路攻擊者輕鬆地用於針對受感染裝置網路發起DDoS攻擊。

研究人員在Nexusguard的2018年第四季度DDoS威脅報告（https://www.nexusguard.com/threat-report-q4-2018）表示，一些大型Booter網站的關閉顯著影響了2018年第四季度的DDoS攻擊趨勢。該季度的DDoS攻擊數量同比下降近11％，最大攻擊規模下降近24％。平均攻擊規模的下降最大，達85％。

Nexusguard產品總監Donny Chong的解釋如下，Booter網站是許多DDoS攻擊的源頭，因為業餘黑客可以利用Booter網站“非常簡單”地癱瘓目標網站。雖然Booter網站的關閉對DDoS趨勢產生了積極的影響，但是“Bit-and-piece”（點塊式）技術的普及則導致了攻擊頻率的環比增長。

Chong表示，Bit-and-piece技術是指通過將小部分惡意程式碼注入到幾百個IP字首的合法流量裡的手段，這種策略可以逃過檢測。由於流量大幅增加的話會導致警報，而垃圾流量少則不會。 Nexusguard的研究人員發現，比較2018年的第四季度和第三季度裡這種方法所造成的攻擊次數、最大和平均攻擊規模，可以發現各自分別增加了36％、49％和3.75％。

Nexusguard還提到第三季度出現的Bit-and-piece的趨勢，Bit-and-piece是Nexusguard威脅報告的焦點。在典型的DDoS攻擊裡，行動者鎖定一個特定的目標IP地址，Bit-and-piece DDoS和典型的DDoS攻擊不同，Bit-and-piece攻擊分佈在同一字首的多個IP地址上。由於Bit-and-piece是分散的流量，服務提供商可能監測不到大規模的Bit-and-piece式DDoS攻擊。

SSDP 放大攻擊呈增加趨勢 —— 據Nexusguard的報告，SSDP放大攻擊是最受歡迎的Bit-and-piece攻擊向量，同比增長了31.22倍，環比增長了91.2％。這種型別的攻擊佔全部DDoS攻擊的48.3％，SSDP放大攻擊主要是利用通用即插即用裝置（例如印表機，網路攝像頭，路由器和伺服器）通過UDP發動的。

SSDP放大攻擊者首先搜尋可被利用的裝置並利用殭屍網路將具有目標欺騙IP地址的UDP資料包發到所有易受攻擊裝置的UDP埠1900。研究人員表示，裝置會“大量地響應”，目標就會被回覆所淹沒。

網路犯罪分子在Booter網站被關閉後是否會增加利用Bit-and-piece進行DDoS攻擊呢？ “Chong表示，這在很多程度上處決於他們的攻擊物件是什麼。在DDoS的世界中，攻擊者會真的去研究他們的目標，有些攻擊有可能會更有效些。Chong說網路攻擊者和防禦者之間的關係是“貓捉老鼠”的遊戲：只要犯罪分子採用SSDP和UDP攻擊，攻擊目標也就自然會針對這些模式做出部署並阻止攻擊。

Chong認為DDoS出租網站肯定會捲土重來。 他稱，“這是肯定的事。”他還表示， DDoS攻擊規模下降的趨勢在未來某個時候可能會逆轉。他指出， “這些Booter網站只是代表了整個問題的表面。它們只是個支付閘道器，只是個用於啟用殭屍網路的購物車。”他還進一步指出，消費者物聯網的增長導致了易遭受網路攻擊裝置數量的增加。