野蛮的DDoS攻击与APT扯上什么关系？

《2015年上半年DDoS威胁报告》中，绿盟科技发现DDoS攻击存在两极分化的态势，大流量攻击不断增长（>100G的攻击有33起）并开始走向云端，小流量攻击（1分钟以下42.74%）变身脉冲及慢速攻击，主要针对行业业务特性。在此背景下，攻击流量呈现混合化，并以UDP混合流量为主（72%）。

面对如此恶劣的DDoS攻击态势，主管机构、运营商、行业组织、厂商及用户都在不断开展DDoS治理及缓解工作，在解决方案除了本地清洗、云清洗方案之外，更出现了分层清洗、信誉云及近源清洗多种方案及实践。

与此同时，基于SDN的攻击模式及缓解技术，更让笔者眼前一亮，由此也预测这些演变将与云计算及大数据一起，催生DDoS防护向下一代DDoS防护及APT时代迈进。

很多人的印象中，DDoS是一种野蛮的攻击方式，我们就来重点看一下DDoS是如何和APT扯上关系的？报告指出了几个特点：

攻击业务多样化

DDoS多年难以治理，有一方面原因就是因为业务形态的多样性。随着业务形态的不断发展及演变，结构及业务流程越来越复杂，攻击者无时无刻不在反复跟踪分析这些业务特点及可能存在的问题，而攻击形式也随之而变。

攻击流量多样化

在2015年上半年数据显示，在DDoS攻击中，攻击者往往混合使用多种攻击手段和多种类型的攻击源。UDP混合流量占主要比重，达到72%。这些流量组合正如前面的分析所展示的那样，并非无的放矢，而是跟随业务的特性发生的变化。

图 UDP混合流量占据大比例

攻击设备多样化

如今，用户连接互联网的设备越来越多样化，在终端方面，已经不再局限于PC，更多的设备也包括平板电脑、手机、电视等智能终端；同时，反射放大式攻击，让业界清晰的认识到，DDoS可利用的设备也不再局限于终端，更多的设备也包括路由器、打印机、摄像头、扫描仪等智能设备。

在2014年的报告中，绿盟科技统计了全球的这些可能被利用的智能设备超过80万，在6月份的数据中，我们统计了全球SSDP协议设备的分布状况（如下图），显然一情况并未得到大的改观，这也是基于SSDP协议的放大攻击仍旧肆虐的原因。在此我们呼吁这些设备的厂商尽快发布相关补丁or升级相关固件，最终用户也需要随时关注升级信息，尽快升级及采用对应的防护措施，不要被利用，成为“攻击者”！同时，在智能设备增加、混合流量攻击模式下，传统的业务场景和思路可能需要考虑新的模式和新的应用场景。

图 全球SSDP分布情况

在这些智能设备中，手机等相关移动终端的大量接入及快速增长，势必造成互联网环境的改变，而且它们缺乏受普遍遵循的规范和标准，很多传统的防护算法面临挑战。这种情况下，手机等移动终端被利用，成为攻击者或者被攻击者，只是一个时间或者时机的问题，防护厂商如何提供更有效的算法是当前行业需要解决的难题。

绿盟科技分析报告认为，2015年上半年DDoS的攻击呈现两极分化形式，一类持续大流量攻击，尤其是针对高性能、高价值、大范围的攻击目标；另一类则呈现小而快、小而慢的形式，进入细分行业，主要是针对小流量及特殊业务目标；同时，也发现这两类攻击并非格格不入，而是伴随着环境、业务、时间、流量、设备的变化而组合演变，这些演变将与云计算及大数据一起，催生DDoS防护向下一代DDoS防护及APT时代迈进。