大选在即，巴西多个重点行业目标遭受大规模DDoS攻击

一、背景

早在2017年，美国安全评估公司BitSight的报告显示，巴西是企业网络安全风险最高的国家之一。根据SonicWall发布的网络威胁报告，2021年，巴西遭受了3300多万次入侵尝试，遭遇的勒索软件攻击仅次于美国、德国和英国。IDC数据显示，自新冠肺炎疫情开始，巴西遭受网络攻击的趋势不断上升。

绿盟科技伏影实验室全球威胁狩猎系统监测到针对巴西的DDoS攻击趋势异常，在7月份和8月中上旬有明显的增高趋势，疑似与10月即将举行的巴西大选有关。

二、典型攻击事件

在全球威胁狩猎系统监测到的一系列DDoS攻击活动中，巴西的政府机构、教育机构、新闻机构、通信运营商等均遭到攻击。

2.1 针对重要部门机构的攻击

2.1.1 政府部门

7月31日9时10分20秒，监测到针对巴西政府网站皮拉尔市政厅（pilar.al.gov.br）的反射型DDoS攻击。此外，巴西还有其他15家市政厅网站均遭受大规模DDoS攻击。

8月29日13点8分38秒，监测到针对巴西联邦政府网站的DDoS反射攻击。

2.1.2 教育机构

7月17日18时12分26秒，监测到针对巴西圣卡塔琳娜州教育局的DDoS反射攻击。

2.1.3 新闻门户

8月10日5时39分59秒，监测到针对巴西最大的传媒公司Organizacoes Globo旗下的Globo门户网官网的DDoS反射攻击。

2.1.4 通信运营商

8月10日早上6点9分46秒，监测到针对巴西光纤服务提供商kyatera网站的DDoS反射攻击。

2.2 扫段攻击

以往攻击者只盯着单个目标IP不断变换攻击手法、寻求突破防护策略短板的攻击方式不同，扫段攻击多使用已知的通用攻击手法，攻击期间基本不会变换，但黑客对IP段内每个IP均施以小流量DDoS攻击，致使每个IP遭受的攻击流量都不会达到DDoS防御系统的清洗阈值，导致一个段多个IP攻击流量汇聚就会超出接入交换机的最高带宽，间接影响整个IP段的用户业务。

全球威胁狩猎系统此次监测到针对C段201.158.xx.0/24和138.186.xx.0/24的扫段攻击，经研判，这两个C段分别属于巴西著名的互联网服务提供商Webfibra和Weblacerda。

三、巴西DDoS攻击分析

7月份以来，全球威胁狩猎系统监测到巴西有224090个IP/域名遭受DDoS攻击。

3.1 受害IP分布

3.1.1 受害IP区域分布

通常情况下，DDoS攻击的地域分布和当地的经济发展水平以及人口数量呈正相关趋势，针对巴西的多个区域的反射型DDoS攻击中，里约热内卢州作为巴西的重要经济中心，受攻击占比达36.71%，成为本次DDoS攻击最集中的区域，圣埃斯皮里图州作为巴西发达的沿海城市。占比高达35.51%。除此之外，DDoS受攻击区域总体分布比较均衡。

3.1.2 主要受害IP ISP分布

在经济成长衰退的全球环境下，网络攻击愈演愈烈，而且攻击手法愈来愈复杂， 互联网服务供应商(ISP)面临着日益增长的DDoS攻击威胁。在本次攻击事件中，巴西遭到DDoS攻击的ISP分布极为广泛，多达1195家， K2 Telecom，GTI Telecom，Fazzy为遭受攻击最多的前三甲，均是巴西重要的互联网通信服务提供商。

3.1.3 受害IP所属行业分布

DDoS攻击通常会针对金融或者关键基础设施行业。根据全球威胁狩猎系统监测数据，巴西受反射型DDoS攻击IP所属行业呈现多元化趋势，其中分布绝大多数为光纤运营商公司，占比86.35%。在巴西受害行业中，除了针对互联网公司、教育机构、游戏等大众化的行业外，主要都是针对关键设施和国家政府部门的攻击，包括光纤运营商公司、政府部门机构、银行等，对于这些行业，反射型DDoS攻击具有很强的针对性，容易使国家通信设施瘫痪，造成严重的后果。

3.2 攻击持续时长分布

根据全球威胁狩猎系统监测数据， 绝大多数的DDoS攻击时长都在5分钟以内，瞬时攻击占比高，表明攻击者非常重视攻击成本、效率和技术对抗，倾向于发动短时间、多次的脉冲攻击，导致目标无法正常提供服务。长远来看，在有效控制成本的情况下，高频率、多次的瞬时攻击严重影响目标的服务质量，给DDoS防护人员造成极大的精力损耗。

3.3 具体受害域名 (部分)

根据全球威胁狩猎系统监测数据,此次事件巴西受害域名包含政府网站、通信运营商官网、教育部门等，均是巴西重要的核心部门，可以看出这是一场针对性较强的DDoS攻击行动。

四、总结

随着数字化时代的加速发展，各种类型的网络威胁日益加剧， DDoS攻击作为破坏性极强、溯源难度较大的攻击类型，在网络战中备受黑客青睐。针对本次巴西遭受大规模DDoS攻击，主要有以下启示：

1.攻击时间较长，受害行业广泛，或与巴西大选有关

据绿盟科技伏影实验室全球威胁狩猎系统监测，巴西从7月初至今，境内的多个政府网站、网络运营商、教育机构、新闻门户网站等重要行业均遭受到DDoS攻击，不难看出这是一场持续时间较长，目的性较强的DDoS攻击活动，很容易与10月初即将举行的巴西大选联系到一起，全球威胁狩猎系统将持续全程监测实时攻击动态。

2.关键基础设施依然是大规模DDoS攻击的主要目标

从年初的俄乌网络攻防战到本次巴西遭受DDoS攻击，攻击者的主要攻击目标均为国家的重要关键基础设施，包括政府网站、通信运营商官网、能源系统等，这些设施一旦瘫痪，将破坏国家体系的正常运转，甚至影响社会经济发展。

3.DDoS防护任重而道远

随着互联网技术的蓬勃发展，DDoS攻击这种古老的攻击方式依然焕发着强大的生命力。大到国家，小到企业，都需要加强安全生态合作，共同协同防护，多组织大规模DDoS流量的实战模拟，不断完善DDoS防护体系，让DDoS攻击“无孔可入”。

声明：本文来自绿盟科技威胁情报，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。