Akamai《2015第二季度互联网发展状况安全报告》

2015年8月19日，全球交付、优化及网络内容安全等云服务供应商阿卡迈技术公司发布了《2015年第二季度互联网发展状况安全报告》。本季度报告对全球云安全威胁状况进行了深度分析，并提出了独到见解。

Akamai云安全业务部副总裁John Summers表示：“分布式拒绝服务(DDoS)与网络应用攻击带来的威胁每个季度都在不断增加。黑客们通过转变战术在不断改变游戏规则，寻找新漏洞，甚至采用被视为过时的老式技术。通过对我们网络所观察到攻击加以分析，我们可以确认新兴威胁与趋势，从而为公众提供加强网络、网页与应用安全所需的信息，提高云端安全性。”

John Summers补充道：“例如，在本报告中，我们不仅将两种网络应用攻击向量纳入了我们的分析范围，还检查了由洋葱路由器(Onion Router/Tor)流量所带来的威胁，甚至还发现了第三方WordPress插件中以CVE形式出现的部分新漏洞。我们对网络安全威胁知道的越多，就越能够保护企业安全。”

　DDoS攻击活动一览

在过去三个季度内，DDoS攻击量同比增长了一倍。本季度，尽管攻击者倾向于发起不太强烈但持续时间较长的攻击，但危险的大规模攻击数量持续上升。2015年第二季度，12起攻击的峰值流量超过了100 Gbps，5起攻击的包转发率峰值超过了50 Mpps。只有极少数的企业能够以一己之力承受住这样的攻击。

2015年第二季度，最大规模的DDoS攻击峰值流量超过了240 Gbps，持续了13个小时以上。峰值带宽一般被限定至1-2小时的时间窗口。2015年第二季度还发现了Prolexic Routed网络迄今所记录到的包转发率最高的攻击之一，峰值达到了214 Mpps。这种规模的攻击足以摧毁一级路由器，例如互联网服务提供商(ISP)所使用的路由器。

2015年第二季度，DDoS攻击活动创下了新纪录，相比2014年第二季度增长了132%，相比2015年第一季度增长了7%。相对于2015年第一季度，2015年第二季度的平均峰值攻击带宽与容量略微增加，但仍显著低于2014年第二季度观测到峰值均值。

SYN与简单服务发现协议(SSDP)是本季度最常见的DDoS攻击向量——各占DDoS攻击流量的16%左右。随着采用通用即插即用(UPnP)协议的不安全家庭联网设备不断激增，这些设备常被当作SSDP反射器，持续发起攻击。SSDP攻击在一年前几乎销声匿迹，但在过去3个月内却成为了首要的攻击向量之一。SYN floods继续成为各种容量攻击中最常见的向量之一，可追溯至2011年第三季度第一期互联网安全报告。

自2014年第二季度以来，在线游戏行业受到的攻击最为严重，一直占DDoS攻击的35%。中国一直是过去两个季度内非欺骗攻击流量的首要来源地，并是自2011年第三季度发布首份报告以来的前三个来源国之一。

历史数据比较纵览

相比2014年第二季度

• DDoS攻击总量增长132.43%

• 应用层(第7层)DDoS攻击增长122.22%

• 基础架构层(第3 & 4层)攻击增长133.66%

• 平均攻击时长增长18.99%：20.64小时对比17.35小时

• 平均峰值带宽减少11.47%

• 平均峰值容量减少77.26%

• > 100 Gbps的攻击增长100%：12起对比6起

相比2015年第一季度

• DDoS攻击总量增长7.13%

• 应用层(第7层)DDoS攻击增长17.65%

• 基础架构层(第3 & 4层)攻击增长6.04%

• 平均攻击时长减少16.85%：20.64小时对比24.82小时

• 平均峰值带宽增长15.46

• 平均峰值容量增长23.98%

• > 100 Gbps的攻击增长50%：12起对比8起

• 与2015年第一季度一样，中国是本季度产生DDoS攻击的首要国家

网络应用攻击活动

Akamai在2015年第一季度首次公布网络应用攻击统计数据;本季度，又分析了两种新的攻击向量：Shellshock与跨站脚本(XSS)。

Shellshock是2014年9月首次跟踪到的Bash bug漏洞，而在本季度内，它是49%网络应用攻击的罪魁祸首。但是，在本季度最初几周持续不断的强烈攻击运动中，95%的Shellshock攻击瞄准金融服务行业内的单一客户。由于Shellshock攻击一般通过HTTPS发起，因而改变了经由HTTPS与HTTP攻击的均衡态势。2015年第一季度，仅9%的攻击通过HTTPS展开;而在本季度，56%的攻击是通过HTTPS渠道发起。

除了Shellshock，SQL注入(SQLi)占到全部攻击的26%。这意味着仅第二季度SQLi警报数量即增长了75%以上。相反，本地文件包含(LFI)攻击在本季度大幅下降。虽然它是2015年第一季度的首要网络应用攻击媒介，但LFI仅占2015年第二季度警报数量的18%。远程文件包含(RFI)、PHP注入(PHPi)、命令注入(CMDi)、使用OGNL Java表达语言(JAVAi)的OGNL注入、以及恶意文件上传(MFU)攻击共占网络应用攻击的7%。

与2015年第一季度一样，金融服务与零售行业受到的攻击最为频繁。

第三方WordPress插件与主题威胁

全球最受欢迎的网站与博客平台WordPress经常成为攻击者的目标，这些攻击者旨在利用数百个已知漏洞构建僵尸网络、传播恶意软件以及发起DDoS攻击行动。

第三方插件很少受到代码审查。为了更好地了解威胁状况，Akamai测试了1300多个最受欢迎的插件与主题。结果发现，25个单独插件与主题至少被检查出1个新漏洞。在部分情况下，插件或主题拥有多个漏洞，总共有49个可能被攻击者利用。本报告包含了新发现的完整漏洞列表，以及强化WordPress安装的建议。

Tor的利弊

洋葱路由器(TOR)确保了网络入口节点与出口节点不相匹配，借以让用户得到匿名掩护。虽然Tor拥有多种合法用途，但其匿名性对于黑客而言更具吸引力。为了评估因放行Tor网络流量而带来的风险，Akamai在7天内分析了Kona安全客户群内的网络流量。

分析显示，99%的攻击来自非Tor IP。但是，在380个离开Tor出口节点的请求中就有1个是恶意请求。相反，在11500个离开非Tor IP的请求中只有1个是恶意的。也就是说，阻断Tor流量将会产生负面业务影响。但是，指向电子商务相关页面的合法HTTP请求显示，Tor的出口节点拥有与非Tor IP相等的转换率。