DDoS攻擊慣犯圖鑒

人們對於一般黑客的刻板印象是：單打獨鬥，神出鬼沒。事實上，還有一群黑客團夥作戰。

僵屍網絡近年來已經成為企業的大敵，雷鋒網宅客頻道從綠盟科技發布的《IP團夥行為分析報告》中發現，有這樣一群僵屍機“捆綁銷售”，常年堅持多管道僵屍網絡活動和 DDoS 攻擊，“不拋棄”“不放棄”。

這群團夥中的“C位成員”（僅佔攻擊者中 2%）以一己之力發起了 20%的攻擊，“核心成員”（僅佔攻擊者中的20%）發起了 80%的攻擊，而且全員酷愛反射攻擊，特別是大流量攻擊。

安全研究者將這樣的團體稱為“IP團夥”（IP Chain-Gang）。雷鋒網了解到，每個 IP 團夥由某個或者一組黑客控制者，因此同一個團夥在不同的攻擊中必然會表現出相似的行為。

綠盟科技根據近兩年所搜集的 DDoS 攻擊數據、多個 IP 團夥並研究了他們的團夥行為，推出了《IP團夥行為分析》，希望通過研究團夥的歷史行為建立團夥檔案，以便更準確地描述其背後一個或多個攻擊控制者的行動方式，同時更有效地防禦這些團夥未來可能發起的攻擊，防患於未然。

攻擊者

IP團隊規模：千人團體佔主導

下圖展示了 IP 團夥規模的分布情況。大多數團夥成員不到1000人，但也有一個團夥的成員高達26000多人。

圖1 IP團夥規模

20/80法則，到哪裡都適用

下圖展示了各團夥發起的 DDoS 攻擊事件的數量，按事件次數統計。毫不意外，大約 20％的團夥發起了 80％的攻擊。

圖2 攻擊總次數（按各團夥攻擊統計）

團夥最長總攻擊時長超過 13“年”

下圖展示了同一團夥所有成員的總累計攻擊時長的分布情況。有些團夥的總攻擊時長高達 5000 多天（ ＞13“年”），但多數團夥不到 1000 天。

圖3 團夥總攻擊時長

更少的團員、更多攻擊次數、更大攻擊流量

人們一般覺得較大的團夥會發動較多攻擊時間，且產生的攻擊總流量也較大，但事實並非如此。

如下圖所示，與更大規模的 IP 團夥相比，擁有較少成員的團夥可能會發動更多攻擊並發出更多攻擊流量。這說明，特定團夥中的攻擊者可能擁有更多管道可以利用。

下圖展示了按總流量排名的前 10 個團夥，攻擊總流量以不同大小的橙色氣泡表示。

圖4 團夥規模、攻擊次數及攻擊總流量對比

如上圖所示，發動攻擊次數最多（> 50K）的團夥僅擁有 274 名成員，超過了所有其他團夥，而最大的氣泡（即攻擊總流量最大）對應的團夥攻擊次數竟然較少（>

攻擊類型

NTP反射攻擊由於出色的放大性能，在大流量攻擊中最常使用。SYN Flood攻擊方法較為簡單，使用較為廣泛。這兩種攻擊再加上UDP Flood和SSDP反射攻擊構成了最主要的攻擊類型。

圖5 攻擊類型與攻擊總流量

在混合攻擊中，UDP flood是常用的一種攻擊方式。下圖展示了某一團夥採用的攻擊方法，該團夥大多僅採用一種攻擊方法（92.8%），在混合攻擊中，75%的采取了兩種攻擊方法，4%的采取了四種方法。

圖6混合攻擊中各種攻擊方法的組合（某一攻擊團夥）

反射攻擊，特別是大流量攻擊，是各團夥最青睞的攻擊方法。從觸發較大流量的能力來看，NTP反射攻擊是一種更為強大的DDoS攻擊。從攻擊事件數量角度看，DNS反射攻擊佔比較大，佔全部反射型攻擊的57%。

圖8 反射攻擊流量與次數（某一攻擊團夥）

流量峰值：IP 團夥攻擊的最大“潛力”

流量峰值的整體分布

根據統計大多數IP團夥的流量峰值都超過了2 Tbps，流量峰值（Tbps）是衡量某一團夥的攻擊能力和惡意程度的關鍵參數，反映了攻擊團夥對目標的最大攻擊能力。

圖9 IP團夥的流量峰值分布（按IP團夥統計）

單個團夥的攻擊流量峰值

各團夥通常並未完全發揮其潛力，了解它們的能力極限對於規劃防禦非常重要。通過對某個團夥兩個季度流量峰值的對比，我們發現該團夥最大攻擊流量峰值比日常攻擊流量高出很多倍，當其潛力完全釋放出來時，破壞力是驚人的。

圖10 單一攻擊的流量峰值趨勢（某一攻擊團夥）

十大攻擊團夥

綠盟科技統計了2018年1至9月期間的攻擊流量，總結了排名前十的IP團夥的流量峰值起伏變化，最大流量峰值和平均流量峰值表示IP團夥的攻擊能力和攻擊時長，反映了這些團夥的攻擊活躍程度。

圖11 十大攻擊團夥的流量峰值

雷鋒網注：報告全文下載地址為http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/。