作者 | 天地和兴工业网络安全研究院

【编者按】最近几个月发生的大规模勒索软件和DDoS(分布式拒绝服务)攻击活动，破坏了世界各地的关键基础设施，包括美国最大石油管道系统运营商Colonial Pipeline及全球最大肉类加工商JBS。今年5月份，比利时超过200个组织，包括政府和议会网站和其他服务，也遭到了DDoS攻击。

Kaspersky发布的2021年第二季度DDoS攻击态势分析报告指出，第二季度相对比较平静，与上一季度相比DDoS攻击总数略有下降，预计这一趋势会持续到第三季度。此外，第二季度DDoS攻击持续的时间也接近常态，不同时期之间的波动幅度不超过30%。第二季度遭到DDoS攻击最多的是美国（36%），其次是中国（10.28%）和波兰（6.34%）。DDoS攻击最活跃的一天是6月2日，发生了1164次攻击；最长的一次攻击持续了776小时（超过32天）；60%的DDoS攻击使用了UDP泛洪；僵尸网络C&C服务器最多的是美国（47.95%）。

7月4日，当美国大部分地区在庆祝独立日时，数百家美国公司遭到勒索攻击，要求支付7000万美元的比特币。俄罗斯勒索软件组织REvil的攻击者利用IT管理软件Kaseya中多个以前未知的漏洞进行攻击，攻击目标包括学校、小型公共部门机构、旅游和休闲组织以及信用社等。虽然勒索软件和勒索DDoS的威胁并不新鲜，但最新的网络攻击包括针对酿酒厂、专业运动队、渡轮服务和医院等，已经成为影响人们日常生活的重大事件。而最近发生的攻击事件，更是将勒索软件和DDoS攻击推到了美国总统拜登的国家安全议程的首位。

Kaspersky在2021年第二季度观察到的DDoS攻击趋势，反映了全球网络威胁的整体格局。

一、事件概述

就重大事件而言，2021年第二季度相对平静，但并非完全没有事件发生。例如，四月出现了一种名为Simps的新型DDoS僵尸网络活跃传播，恶意软件的创造者在一个专门设置的YouTube频道和Discord服务器上宣传他们的想法，并在那里讨论DDoS攻击。Simps的实际DDoS功能并非原创，代码与Mirai和Gafgyt僵尸网络重叠。

Gafgyt不依赖于原创性，由Uptycs检测到的新变体中的少数模块都是从最广泛的僵尸网络Mirai借来的。Gafgyt的作者复制了其各种DDoS方法，如TCP、UDP和HTTP泛洪，以及通过Telnet协议攻击物联网设备的暴力功能。

本季度发现的ZHtrap僵尸网络利用了Mirai的代码作为基础。该恶意软件利用受感染的设备作为蜜罐，从而备受关注。ZHtrap首先收集攻击该trap的设备的IP地址，然后再尝试攻击该设备本身。

最近，网络犯罪分子一直在积极寻找新的服务和协议来放大DDoS攻击，2021年第2季度也不例外。7月初，Netscout研究人员报告称，使用NAT会话遍历实用程序（STUN）协议的攻击有所增加。该协议用于将隐藏在NAT后面的主机的内部IP地址和端口映射到外部IP地址和端口。利用该协议，攻击者能够将垃圾流量增加2.32倍，与其他攻击向量结合，DDoS功率达到2TB/s。此外，劫持用作反射器的STUN服务器可以禁用其主要功能。使用STUN的组织应该确保他们的服务器免受此类攻击。全世界有超过75,000台易受攻击的服务器。

另一种新的DDoS载体尚未被网络罪犯利用，它与DNS解析器中的一个漏洞有关，该漏洞允许对权威DNS服务器进行放大攻击，这个漏洞被命名为TsuNAME。其工作原理如下：如果配置错误导致某些域的DNS记录相互指向，解析程序将无休止地将请求从一个域转发到另一个域，从而显著增加其DNS服务器上的负载。此类错误可能是偶然发生的，2020年初，两个配置错误的域名导致新西兰域名区权威DNS服务器上的流量增加50%，而欧洲域名区的类似事件导致流量增加10倍。如果攻击者创建多个相互指向的域，则问题的规模将大得多。

对DNS服务器的攻击是危险的，因为无论DNS服务器的规模和DDoS保护级别如何，它们所服务的所有资源都将变得不可用。2016年，DNS提供商Dyn遭受攻击，导致80多家主要网站和在线服务瘫痪，就很好地说明了这一点。为了防止TsuNAME漏洞带来同样的毁灭性后果，研究人员建议权威服务器的所有者定期识别并修复他们域内的此类配置错误，并建议DNS解析器的所有者确保检测和缓存循环请求。

四月初的DNS泛滥扰乱了Xbox Live、微软Teams、OneDrive和其他微软云服务的运营。尽管处理大多数服务域名的Azure DNS服务拥有防止垃圾流量的机制，但一个未命名的编码错误意味着它无法处理请求流。合法用户徒劳地试图访问无响应的服务，使情况更加恶化。然而，微软很快修复了这个漏洞，这些服务也很快就重启并运行起来。

另一场大规模DDoS攻击席卷了比利时，攻击了Belnet和其他ISP。全国各地的用户都经历了服务中断，BE域区域中的网站暂时不可用。垃圾流量是从全球29个国家的IP地址发送的，正如Belnet指出的，攻击者不断改变策略，使得攻击极难阻止。它迫使比利时议会推迟了几次会议，而教育机构在远程教育方面遇到了问题，运输公司STIB也同样在售票方面遇到了问题。

新冠疫苗接种的在线登记系统也受到影响。法国格勒诺布尔-阿尔卑斯大都会委员会也不得不暂停会议数小时。一场涉及约6万个机器人的DDoS攻击使得现场直播无法进行。

总体而言，DDoS勒索软件攻击势头持续增长。一个以喜欢伪装成各种APT组织而闻名的网络犯罪组织又一次上了新闻，这次是用一个虚构的名字“Fancy Lazarus”，由Lazarus和Fancy Bear两个组织的名字组成。虽然网络犯罪组织的攻击遍布世界各地，但Fancy Lazarus的受害者主要在美国，赎金的规模也从10-20比特币降至2比特币。

Avaddon勒索软件运营商也试图通过DDoS攻击来恐吓受害者。5月初，垃圾邮件淹没了澳大利亚Schepisi Communications公司的网站。该组织与澳大利亚主要供应商Telstra合作，代表Telstra销售SIM卡和云服务。同月晚些时候，该领域最大的保险公司之一法国安盛保险(AXA)也成为Avaddon的受害者。就像Schepisi Communications的情况一样，网络犯罪分子除了从其多个分支机构加密和窃取数据外，还对其网站进行了DDoS攻击。在6月份发生了一系列毁灭性攻击后，勒索软件开发者宣布退出。

今年5月，爱尔兰卫生服务管理局(HSE)受到DDoS攻击。如果不是紧接着出现了Conti勒索软件的入侵，这些攻击就不会那么引人注目了。目前尚不清楚这些事件是否存在关联，但勒索者可能利用DDoS作为掩护，渗透该公司的网络并窃取数据。

对教育机构的攻击在第二季度继续发生。例如，攻击者迫使马萨诸塞州的阿格瓦姆公立学校关闭了其访客网络，以保护主网络。这意味着只有学校发放的设备才能接入互联网。

在本报告所述期间，视频游戏也没有逃过攻击。Titanfall和Titanfall 2服务器在4月和5月遭遇了与DDoS相关的宕机。

二、季度趋势

正如预期的那样，2021年第二季度表现平静。与上一季度相比，DDoS攻击的总数略有下降。这种下降通常与假期开始有关，这一趋势将持续到第三季度，预计今年不会有任何变化。

图1 2021年Q1及Q2、2020年Q2的DDoS攻击次数对比

请注意第二季度智能DDoS攻击的异常持续时间。这是由于对执法资源进行了几次异常长时间的攻击，尽管攻击力度不太大。但是这些攻击与任何引人注目的事件之间没有任何关联。在样本中排除这些攻击后，DDoS持续时间数据更接近正常值，不同时间段的相对波动不超过30%。

在第二季度，超过97%的DDoS攻击持续时间不到一个小时。短时间爆发式攻击可能会试图在DDoS检测系统未检测到的情况下造成损害。依赖手动分析和缓解的DDoS服务可能被证明对这些类型的攻击毫无用处，因为它们在分析师甚至识别攻击流量之前就已经结束。

或者，可以使用短攻击来探测目标的网络防御。例如，在暗网上广泛使用的负载测试工具和自动化DDoS工具可以产生短时间的SYN泛洪爆发，然后使用不同的攻击向量进行另一个短攻击。这允许攻击者在决定以更大的速度和更长的时间发动更大规模的攻击之前了解目标的安全态势。

在其他情况下，攻击者会进行小规模的DDoS攻击，以证明和警告目标组织攻击者以后造成实际破坏的能力。之后通常会向目标组织发送勒索邮件，要求支付赎金，以避免遭受可能更彻底地破坏网络基础设施的攻击。

这凸显了对始终在线的自动化DDoS保护方法的需求。依赖于手动重新路由、分析和缓解的DDoS保护服务可能会被证明对这些类型的攻击毫无用处，因为它们在分析师甚至可以识别攻击流量之前就已经结束了。

图2 2021年Q1及Q2，2020年Q2的DDoS攻击持续时间

三、攻击向量

攻击向量是用来描述攻击者试图引起拒绝服务事件所使用的方法的术语。正如之前所观察到的，利用SYN泛洪和基于UDP协议的攻击仍然是攻击者最常用的方法。

什么是SYN泛洪攻击？这是一种利用TCP协议基础的DDoS攻击。客户端和服务器之间的有状态TCP连接以3次TCP握手开始。客户端发送带有同步标志(SYN)的初始连接请求分组。服务器使用包含同步确认标志(SYN-ACK)的数据包进行响应。最后，客户端使用确认(ACK)数据包进行响应。此时，连接已建立，并且可以交换数据，直到连接关闭。攻击者可能会滥用此有状态进程来导致拒绝服务事件。

通过反复发送SYN数据包，攻击者试图覆盖跟踪TCP连接状态的服务器或路由器连接表。路由器使用SYN-ACK数据包进行应答，为每个给定连接分配一定数量的内存，并错误地等待客户端使用最终ACK进行响应。如果有足够数量的连接占用路由器的内存，路由器将无法为合法客户端分配更多内存，从而导致路由器崩溃或阻止其处理合法客户端连接，即拒绝服务事件。

四、统计分析

本报告包含了2021年第二季度的DDoS攻击统计数据。在本报告中，只有在僵尸网络活动周期之间的间隔不超过24小时的情况下，一次事件才被计算为一次DDoS攻击。例如，如果同一Web资源被同一僵尸网络攻击，且攻击时间间隔为24小时或以上，则视为两次攻击。来自不同僵尸网络但针对同一资源的Bot请求也被视为单独的攻击。本报告中DDoS攻击的唯一目标数按季度统计中的唯一IP地址数计算。

1、DDoS攻击地理分布

与网络层攻击不同，HTTP攻击不能欺骗源IP。某一特定国家的DDoS活动率高，表明大型僵尸网络从其内部运行。2021年第二季度的数据显示，美国和中国的组织是HTTP DDoS攻击的最大目标。事实上，每200个发往美国的HTTP请求中就有一个是DDoS攻击的一部分。

第二季度遭到DDoS攻击最多的是美国（36%），其次是中国（10.28%）和波兰（6.34%）。DDoS攻击最活跃的一天是6月2日，发生了1164次攻击；最长的一次攻击持续了776小时（超过32天）；60%的DDoS攻击使用了UDP泛洪；僵尸网络C&C服务器最多的是美国（47.95%）。

图3 2021年Q1及Q2的DDoS攻击国家分布

2、DDoS攻击数量

如上所述，第二季度相对平静。平均而言，每天的DDoS攻击数量在500到800之间波动。在报告期内最安静的一天即4月18日，只观察到60次攻击。在另外两天，即6月24日和25日，攻击次数不足200次。尽管如此，第二季度还是遭遇了1000多起DDoS攻击。例如，在4月13日观察到1061起攻击，在6月2日观察到1164起。

图4 2021年Q2的DDoS攻击数量

3、DDoS攻击持续时间及类型

第二季度，DDoS攻击的平均持续时间与上一季度相比几乎没有变化，为3.18小时，而第一季度为3.01小时。此外，持续时间小于4小时的极短攻击的比例(从91.37%上升到93.99%)、长攻击的比例(从0.07%上升到0.13%)和超长攻击的比例(从0.13%上升到0.26%)都有小幅上升。相比之下，最大攻击持续时间继续增加。第一季度最长的攻击是746小时(超过31天)，第二季度更是达到了776小时(超过32天)。

从攻击类型的分布来看，UDP泛洪在第二季度显著增加，SYN泛洪（23.67%）在2021年之前一直是最常见的DDoS类型，本季度它与TCP泛洪(13.42%)互换位置，位列第二。

图5 2021年Q2的DDoS攻击类型分布

4、僵尸网络地理分布

第二季度，僵尸网络C&C服务器90%位于10个国家。其中美国所占比例最大(47.95%)，较上一季度增加了6.64个百分点。

第二是德国(12.33%)，第三是荷兰(9.25%)。法国(4.28%)保持第4位，其次是加拿大(3.94%)。

图6 2021年Q2僵尸网络C&C服务器国家分布

5、物联网蜜罐攻击

在2021年第二季度，研究分析了哪些国家的机器人和服务器正在攻击物联网设备，以期扩大僵尸网络。这涉及到研究物联网蜜罐上Telnet和SSH攻击的统计数据。本季度发起SSH攻击的设备最多的国家是中国（31.79%）。第二位是美国（12.50%），第三位是德国（5.94%）。然而，通过SSH的大部分攻击源自爱尔兰（70.14%）和巴拿马(15.81%)，这两个国家的机器人数量相对较少。这可能表明，在这些国家的攻击设备中，有强大的服务器能够同时感染全球多台设备。

第二季度，攻击Telnet陷阱的机器人的是中国（39.60%）。此外，许多机器人位于印度(18.54%)、俄罗斯（5.76%）和巴西（3.81%）。这些攻击大多源自这些国家，唯一的区别是俄罗斯（11.25%）和巴西（8.21%）的机器人活动高于印度（7.24%），而中国（56.83%）占所有Telnet蜜罐攻击的一半以上。

图7 2021年Q2攻击卡巴斯基Telnet蜜罐的设备地理位置分布

五、结论

DDoS市场在去年的动荡后继续稳定。正如预期的那样，2021年第二季度呈现出传统的夏季低迷。除了一些异常的长时间攻击，以及DDoS地理位置的变化外，第二季度表现平平。

Kaspersky分析认为2021年第三季度DDoS市场没有大幅上涨或下跌的理由。与以前一样，市场将严重依赖加密货币价格，尽管相对于春季峰值有所下降，但价格一直居高不下。1个比特币价值3万-3.5万美元，少于几个月前，但仍然是一个相当可观的数字。由于加密货币的价格仍然具有吸引力，DDoS市场预计不会增长。

参考资料：

https://securelist.com/ddos-attacks-in-q2-2021/103424/

原文来源：关键基础设施安全应急响应中心

本文始发于微信公众号（网络安全应急技术国家工程实验室）：天地和兴：2021年第二季度DDoS攻击态势