云盾系统的一份最新的安全报告中，了解到2015年Q3以来，大量被架构师忽视及看不见的威胁趋势数据。

 

第三季度攻击流量持续走高，峰值流量达到450Gbps,日平均流量维持在200-300Gbps左右。

 

从攻击类型的分析来看，攻击者使用最多的是TCP、UDP、SYN、DNS、CC协议攻击，其中UDP占比最多（36%）。

 

持续时间0-30分钟的攻击超过70%，说明攻击者更喜欢使用短时大流量的DDoS攻击来冲击用户业务，而不是选择长时间持续性攻击。

 

攻击者更热衷于20-50Gbps左右的攻击，这个范围内的攻击数量最多。与此同时，300Gbps以上的攻击占总攻击数量的3.3%。

 

由僵尸网络发起的DDoS攻击中，以Windows平台控制端居多。从国内僵尸网络的监控数据发现，广东、江苏、浙江等省份的控制端系统最多。

 

游戏行业是DDoS攻击的重灾区，超过40%的DDoS攻击目标是游戏行业用户。同时，针对互联网金融行业和电商行业的DDoS攻击数量明显上升。

 

根据威胁情报关联分析，我们发现Top5的僵尸网络程序分别是BillGates，661，Dres，sAE和Xor。其中BillGates和661最为流行，两者之和超过总数的50%以上。

 

在移动端，以Android为例，由于发布平台的开放性，很多非官方发布平台，包括论坛和社区，成为黑客首选的恶意程序发布媒介。黑客往往将编写好的恶意程序（往往采用对现有APP重新编译打包的方式），上传到网站上发布。用户下载带有恶意代码的APP，就有可能成为黑客发动DDoS攻击的“肉鸡”。

 

通过这份报告，可以清晰看到黑客更多集中在哪些省份，当下最流行的攻击方式，黑客青睐攻击的网站等网络空间最新威胁趋势。

 

 

DDoS都从哪儿来

 

 

 

由僵尸网络发起的DDoS攻击中，以Windows平台控制端居多。

 

从国内僵尸网络的监控数据发现，广东、江苏、浙江等省份的控制端系统最多。

 

攻击来源地在海外的DDoS攻击中，越南、美国和韩国是最主要的三个来源国家。

 

 

黑客原来是这么进攻的

 

 

 

第三季度攻击流量持续走高，峰值流量达到450Gbps,日平均流量维持在200-300Gbps左右。

 

 

持续时间0-30分钟的攻击超过70%，说明攻击者更喜欢使用短时大流量的DDoS攻击来冲击用户业务，而不是选择长时间持续性攻击。

 

 

攻击者更热衷于20-50Gbps左右的攻击，这个范围内的攻击数量最多。与此同时，300Gbps以上的攻击占总攻击数量的3.3%。

 

黑客攻击的高峰时间段为：23点至次日凌晨1点，上午11点至下午14：00 。推断这两个高峰的形成与网络游戏以及电子商务的业务高峰具有一定的关联性，参看下图。

 

 

黑客青睐的行业

 

 

 

游戏行业是DDoS攻击的重灾区，超过40%的DDoS攻击目标是游戏行业用户。

 

同时，针对互联网金融行业和电商行业的DDoS攻击数量明显上升。

 

僵尸网络研究

 

 

僵尸网络为DDoS的壮大和日益泛滥提供了充足和可靠的资源和手段。由成千上万个人计算机、服务器以及移动设备组成的僵尸网络为DDoS 攻击提供了所需的计算资源和带宽，对互联网造成了极大的危害。

 

最为传统的DDoS攻击利用僵尸主机（英文：Zombies，俗称“肉鸡”）组成僵尸网络来发起。“肉鸡”是指中了木马，或者被一些人留了后门的计算机，成为“肉鸡”的计算机可以被黑客远程操控。“肉鸡”的存在多由于用户系统存在各种脆弱性导致，系统一旦被入侵，黑客可获得控制权。黑客在这些“肉鸡”所有者不知情的情况下，发起对既定攻击目标的攻击。

 

在僵尸网络的框架中，最为重要的一个组成部分是控制端系统，如下图所示：

控制端系统一方面接收来自黑客的攻击控制指令，同时负责将控制指令下发到成千上万的僵尸主机上，然后由僵尸主机依据控制指令中的信息统一发动针对受害者系统的DDoS攻击。

 

因此，通过对控制端系统的研究可以了解僵尸主机分布、攻击目标、行为、手段、工具、程序等重要威胁情报。

 

主要僵尸程序

 

 

根据威胁情报关联分析，我们发现Top5的僵尸网络程序分别是BillGates，661，Dres，sAE和Xor。其中BillGates和661最为流行，两者之和超过总数的50%以上。

新兴的威胁

 

 

在2015年第三季度，利用BitTorrent协议脆弱性进行分布式反射拒绝服务攻击的黑客行为引人瞩目。

 

分布式反射拒绝服务攻击又称DRDoS攻击（Distributed Reflection Denial of Service），其原理是黑客伪造成被攻击者的IP地址，向互联网上大量开放特定服务的服务器发起请求，接收到请求的那些主机根据源IP地址将响应数据包返回给受害者。下图是典型的DRDoS过程：

 

黑客往往会选择那些响应包远大于请求包的服务来利用，以较小的流量换取更大的流量，获得几倍甚至几十倍的放大效果。一般来说，可以被利用来做放大反射攻击的协议包括DNS、NTP、SNMP、Chargen以及SSDP等。

 

移动端的攻击流量提升

 

 

伴随移动互联网和IoT的发展，越来越多的互联网流量来自Android和iOS移动终端以及包括摄像头、家用路由器等智能终端设备。一方面，大多数移动设备和智能终端缺乏安全保护，另一方面，设备本身的带宽和处理能力在不断提高，使得移动终端逐渐成为攻击者的理想攻击利用平台。

 

以Android为例，由于发布平台的开放性，很多非官方发布平台，包括论坛和社区，成为黑客首选的恶意程序发布媒介。黑客往往将编写好的恶意程序（往往采用对现有APP重新编译打包的方式），上传到网站上发布。用户下载带有恶意代码的APP，就有可能成为黑客发动DDoS攻击的“肉鸡”。

 

阿里云云盾安全团队的研究发现，在第三季度中，针对WEB业务和移动APP的请求中，由移动终端发起的请求占了很大比重，主要体现为通过移动端发起CC攻击，以及刷单和刷好评等。