绿盟科技：九成DDoS攻击30分钟内完成

近日，绿盟科技发布了2014年上半年DDoS威胁报告，报告指出，2013年以来的数据显示，DDoS攻击时间的分布一直比较稳定，30分钟内完成的攻击始终占90%左右。2014上半年的数据显示，DDoS的攻击流量开始整体上升，500M以上的攻击已占总数的三分之一，4G以上则超过了5%。绿盟科技在此期间内监测到的攻击流量最高达到45G。

政府网站依然是最主要的攻击对象，攻击者选择目标具有“潮流性”

绿盟科技收集了2013至2014年全球发生的重大DDoS攻击事件。在这些攻击事件中，2014上半年政府网站依然DDoS攻击最主要的目标，占总数的三分之一，其次则是针对商业公司的攻击。与2013下半年相比，政府网站和在线游戏受到的攻击比例有所下降，而运营商和商业公司则有所上升。与2013上半年相比，最明显的区别是针对银行的DDoS急剧减少。这体现了攻击者除了具有“逐利性”以外，对目标选择其实同其他商品一样具有的“潮流性”。

广州、上海和浙江是最集中的受害区域，受攻击的地区有越来越集中的趋势

2013至2014年DDoS攻击目标在中国国内的地理分布变化明显。从下图可以看出，2014上半年广州、上海和浙江是最集中的受害区域。受害区域有越来越集中的趋势，2013前三位的地区共占攻击的65%左右，而在2014上半年则上升82%。其中变化最明显的事北京市，受害者数量逐年减少，2013上半年位列第三，到2014就已经跌出了前十。

四成的受害者遭受2次或以上DDoS攻击，40位中会有1位遭受10次以上

下图表现了2013至2014年DDoS攻击目标每半年受到的DDoS攻击次数。从中可以看出，2014上半年中四成的受害者（42.9%）遭受过2次或以上的DDoS攻击，而每40个受害者中会有一位遭受10次以上的攻击，半年内单一目标最多遭受过68次攻击。整体现象与2013下半年基本一致。而与2013上半年相比，情况已经有所改善，当时有超过三分之二的受害者遭受过2次或以上DDoS攻击。

DNS FLOOD依然是最主要的DDoS攻击方式，HTTP FLOOD持续减少

2014上半年绿盟科技的监测数据显示，DNS FLOOD依然是最主要的DDoS攻击方式，占总数的42%，其次是TCP FLOOD，UDP FLOOD和HTTP FLOOD。与2013下半年相比，DNS FLOOD和HTTP FLOOD的数量有所减少，而TCP FLOOD则大幅上升。与2013上半年相比，DNS FLOOD的上升和HTTP FLOOD的下降最为显著。

30分钟内的DDoS攻击始终占总数的90%左右

2013年以来的数据显示，DDoS攻击时间的分布一直比较稳定，30分钟内完成的攻击始终占90%左右。由此可见，对于DDoS的缓解而言，从检测发现攻击到启动清洗的响应速度会成为评判缓解效果的关键因素一。此外，长期连续的DDoS攻击虽然少见但依然存在，2014上半年绿盟科技监测到持续最久DDoS长达228个小时。

大流量高速的攻击正越来越多

2013年，大部分DDoS的实际流量并不大，500M以下的攻击占90%以上。然而，2014上半年的数据显示，DDoS的攻击流量开始整体上升，500M以上的攻击已占总数的三分之一，4G以上则超过了5%。绿盟科技在此期间内监测到的攻击流量最高达到45G。

与流量提升同步，DDoS攻击的包速率也在全面加快。0.2Mpps以上的已经超过一半，而在2013下半年这个数字还仅为16%。超过3.2Mpps的攻击也超过了2%，最快速率达到了23Mpps，高速攻击的时代正在来到。

总结

回顾4年来DDoS的跟踪数据以及更早期的研究成果，我们会发现其发展并不平稳。从一些角度看，攻击者在行为在不断变化，例如受害行业和攻击方法；而从另一些角度，似乎存在比较明显的趋势，例如受害者的地域分布和攻击的流量时长。

引发这些现象的原因包括了技术自身的发展，网络环境的演进，以及利益格局的变化。技术发展为攻击者提供了越来越多的工具选择，但这并不是关键的因素。网络环境的演进使得攻防的战场更为复杂，可用的战术多样化的同时，也有一些高效原则开始被普遍接受。

最后，也是最重要的，大部分DDoS攻击者依然以获利为目的，网络中自身利益格局的变化，对攻击行为的影响是最大的。事实表明，这个观点正是得益于绿盟科技长期跟踪及分析DDoS数据。相信这些观点对于大家预测未来的攻击形态，以及进一步完善企业及组织的解决方案，是有价值的。