近日,卡巴斯基发布《2022年第三季度DDoS攻击概览》,对本年度三季度的DDoS活动进行了回顾和总结。与上一季度相同,第三季度主导DDoS网络攻击的因素仍为政治动机,大多数攻击事件仍集中在俄乌冲突问题。
季度趋势
2021年第三季度、2022年第二季度和第三季度DDoS攻击的比较数量(2021年第三季度的数据被视为100%)
首先值得注意的是,相对于前一个报告期,所有类型的DDOS攻击活动数量都有显著上升。同时,本季度的情况也相当标准:夏季相对平静,随后DDoS攻击活动数量激增。
2021年第三季度和2022年第二、第三季度,智能攻击占比
2021年第二季度至2022年第三季度HTTP(S)和TCP攻击的比例(相应时期基于TCP的攻击数量取为100%)
从绝对数量上看,过去一年HTTP(S)的攻击数量相对稳定。TCP的攻击份额呈下降趋势,这种一份额变化很好地体现了总体趋势:DDoS攻击的份额正在下降,而智能攻击的份额正在增长,这是一种必然趋势,因为攻守双方的工具和技术都不断进步发展。组织L7攻击越来越容易,而L4攻击正在失去其有效性,专业人士逐渐放弃单纯的L4攻击方式,非专业人士更多的采用该攻击方式。
2022年第一季度的统计数据显示,对HTTP(S)的DDoS攻击数量为TCP攻击数量的二分之一。2月和3月,由于地缘政治局势,非专业攻击DDoS攻击数量迅速上升。到第三季度,它已趋于零。同时,高质量的专业攻击的数量,在第一季度持续增加后,仍然保持在较高的水平。主要攻击目标依旧没有发生变化,仍为金融和政府部门。
在DDoS攻击持续时间方面,第二季度的记录仍未被超越。同第二季度相比,第三季度相对平静,平均攻击事件约8个小时,最长的攻击事件不到4天。与上一季度相比,攻击程度相当温和,但数字量依旧庞大;去年第三季度,DDoS攻击的持续时间是以分钟为单位,这一形式仍然十分严峻。
2021年第三季度和2022年第二、第三季度:DDoS攻击持续时间
DDoS攻击统计
方法论
在报告中,只有在僵尸网络活动时间间隔不超过24小时的情况下,事件才被算作一次DDoS攻击。例如,如果同一资源在间隔24小时或更长时间后被同一僵尸网络攻击,则会被计算为两次攻击。源自不同僵尸网络但针对一个资源的僵尸请求也算作单独的攻击。
DDoS攻击受害者和用于发送命令的C2服务器的地理位置由其各自的IP地址决定。报告中的DDoS攻击的独特目标的数量是由季度统计中的独特IP地址的数量来计算的。请注意,僵尸网络只是用于DDoS攻击的工具之一,本节并不涵盖审查期间发生的每一次DDoS攻击。
季度总结
2022年第三季度卡巴斯基的DDoS情报系统检测到57,116次DDoS攻击。共有39.61%的目标,受39.60%的攻击影响,位于美国境内。一周中遭受攻击最频繁的是(15.36%的攻击)是周五,周四(12.99%)是攻击次数最少的日子。这种情况在7月出现了鲜明的对比。1日和5日分别发生了1494次和1492次袭击,而24日只有135次。持续时间少于4小时的攻击占总攻击时间的60.65%,占总攻击次数的94.29%。UDP flood占攻击总数的51.84%,SYN flood占26.96%。试图入侵卡巴斯基SSH蜜罐机器人比例最大的国家是美国(17.60%)。
DDoS攻击的地域性
2022年第三季度,受攻击资源排名前四的国家与上一报告期相比没有变化。美国(39.60%)尽管同比下降了6.35个百分点,但仍然位居第一。德国(5.07%)仍居第三位,法国(4.81%)居第四位。巴西(4.19%)升至第六位,而上季度排名第五和第六的加拿大(4.10%)和英国(3.02%)则分别降至第七和第八,新加坡(2.13%)和荷兰(2.06%)位列第九和第十名。
2022年第二季度和第三季度DDoS攻击分布情况(按国家和地区划分)
按国家和地区划分的独特DDoS攻击目标的分布几乎是攻击等级的翻版。排名第一的是美国(39.61%),第三位仍然属于德国(5.28%),第四位是法国(4.79%)。与攻击的分布一样,巴西(4.37%)按独特目标数量排名第五,巴西的DDoS目标略多。加拿大(3.21%)、英国(2.96%)和新加坡(2.11%)占据了表格的第七至第九位,而第十位是波兰(2.00%),将荷兰(1.86%)挤出了前十。
2022年第二季度和2022年第三季度独特目标分布情况(按国家和地区划分)
DDoS攻击数量的动态变化
2022年第三季度的DDoS攻击数量再次下降。在上一报告期相对于前一报告期下降了13.72%,本季度又下降了27.29%,达到57116次。8月是攻击最为频繁的一个月,卡巴斯基的DDoS情报系统平均每天检测到824次攻击。另一方面,7月很平静:该月45.84%的攻击发生在第一周,保持了6月的动态,平均每天1301次;但从第二周开始,平均每天攻击次数下降到448次。因此,7月平均每天只有641次DDoS攻击,略微领先于9月,后者的攻击次数平均为628.5次。同时,9月的整体攻击量分布更为均匀。
该季度的高峰和低谷都出现在7月:最激进的一天是1号(1494次攻击);最平静的一天是24号(135次)。8月,仅8日和12日就记录了超过1000次攻击(分别为1087和1079),最平静的一天是30日(373次)。9月没有出现值得注意的高点或低点。
2022年第三季度DDoS攻击数量的动态变化
第三季度的周日(13.96%)与上一报告期相比下降了1.85个百分点,失去了其在流量方面的领先地位。周六的份额也有所下降,但仍高于15%。按DDoS攻击数量计算的第一名是星期五,它显示了明显的增长:从13.33%到15.36%。周四是唯一份额下降到13%以下的一天,下降到12.99%。周四也是唯一份额下降的工作日。
2022年第三季度DDoS一周内攻击分布情况
DDoS攻击的持续时间和类型
在2022年第三季度,持续20小时以上的攻击占总攻击时间的19.05%。这一数字在上一报告期下降后几乎翻了三倍,几乎达到年初的水平。因此,长期攻击的比例在数量上有所增加:从0.29%增至0.94%。
持续时间不超过4个小时的短途袭击略微下降到94.29%。同时,它们在DDoS攻击总时长中的比例明显下降,从74.12%下降到60.65%。持续5至9小时的攻击仍然排在第二位(占攻击的3.16%);持续10至19小时的攻击排在第三位(1.60%)。
第三季度最长的一次攻击持续了451小时(18天19小时)。这远远超过了第二名的241小时(10天1小时),攻击的平均时间略微上升到2小时2分钟左右。
2022年第二季度和第三季度DDoS攻击的持续时间分布
在2022年第三季度,DDoS攻击类型的排名与上一报告期相比没有变化。UDPflood的份额从62.53%下降到51.84%,但仍然是最常见的DDoS类型。第二常见的SYNflood攻击则相反,其份额增加到26.96%。TCPflood攻击(15.73%)扭转了其下降趋势,增加了4个多百分点,稳居第三位。GREflood攻击和HTTPflood攻击分别占攻击比的3.70%和1.77%。
2022年第三季度DDoS攻击的类型分布
僵尸网络的地理分布
僵尸网络C2服务器仍主要位于美国(43.10.%),但其份额下降了3个百分点。上季度排名第二的荷兰(9.34%)下滑了5个百分点以上,再次与德国(10.19%)换位。俄罗斯(5.94%)保持在第四位。亚洲国家紧随其后:第五名是新加坡(4.46%),第六名是越南(2.97%),其在第三季度的份额继续增长。紧随其后的是新进入排名的保加利亚(2.55%),其份额增加了六倍多。法国从第五位降至第八位(2.34%),英国(1.91%)降至第九位。加拿大和克罗地亚在上一季度的前十名中,按C2服务器的数量让位于香港(1.49%)。
2022年第三季度僵尸网络C2服务器在各国和地区的分布情况
对物联网蜜罐的攻击
第三季度,在攻击卡巴斯基SSH蜜罐的机器人数量方面,中国大陆放弃了领先优势:其份额降至10.80%。排名第一的是美国的机器人(17.60%)。第三、第四和第五位之间再占比上几乎没有任何差距,分别属于印度(5.39%)、韩国(5.20%)和巴西(5.01%)。德国(4.13%)从上一季度的第三位下降到第七位,但第三季度以德国为基地的机器人是最为活跃,发起的攻击数量占比11.22%。这一数字仅次于美国的机器人(27.85%)。自新加坡的攻击占比5.95%,来自印度的机器人攻击占比5.17%,它们分别位列第三和第四位。
2022年第三季度排名前十的国家和地区(按卡巴斯基SSH陷阱被攻击的设备数量)
攻击数量排名第二的是美国(11.30%),俄罗斯排名第三(9.56%)。就其机器人的份额而言,这两个国家的排名略低:分别为第六位(4.32%)和第四位(4.61%)。按机器人数量排名前三的国家有韩国(8.44%)和印度(6.71%)。
2022年第三季度排名前十的国家和地区(按卡巴斯基Telnet陷阱被攻击的设备数量)
总结
2022年第三季度的情况表明,在经历了上半年的动荡之后,DDoS市场趋于稳定,尽管处境仍然十分严峻。然而,预测仅供参考,具体的情况仍在不断变化。报告预测第四季度不会有任何重大的激增或下降。在持续时间,预计DDoS市场仍然离正常情况很远,攻击的持续时间往往是上下波动,第四季度仍然可能出现大幅度的波动。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
