2018年第四季度DDoS攻击规模同比下降85％

至顶网安全频道 03月21日 编译：根据行内研究人员的报告称，2018年12月联邦调查局采取行动关闭网上的Booter网站（即DDoS出租网站）后，2018年第四季度的分布式拒绝服务（DDoS）平均攻击规模减小了85％。

去年年底，美国当局推出打击全球Booter网站的行动，查获关闭了15个热门域名。网络犯罪分子收取费后可以利用Booter网站（也叫“Stresser”网站）针对特定目标发起DDoS攻击并目标离线。Booter网站为一众网络小白攻击者打开了大门，因为他们可以付费对受害者网站发起毁灭性攻击。

FBI在采取这次行动前约一年前曾发布安全通告（https://www.ic3.gov/media/2017/171017-2.aspx），通告详细描述了Booter服务对DDoS攻击规模和频率的影响。这些Booter服务多在暗网论坛和暗网市场中进行广告宣传，Booter服务可用于合法测试网络的抗压性，但同时也可被网络攻击者轻松地用于针对受感染设备网络发起DDoS攻击。

研究人员在Nexusguard的2018年第四季度DDoS威胁报告（https://www.nexusguard.com/threat-report-q4-2018）表示，一些大型Booter网站的关闭显著影响了2018年第四季度的DDoS攻击趋势。该季度的DDoS攻击数量同比下降近11％，最大攻击规模下降近24％。平均攻击规模的下降最大，达85％。

Nexusguard产品总监Donny Chong的解释如下，Booter网站是许多DDoS攻击的源头，因为业余黑客可以利用Booter网站“非常简单”地瘫痪目标网站。虽然Booter网站的关闭对DDoS趋势产生了积极的影响，但是“Bit-and-piece”（点块式）技术的普及则导致了攻击频率的环比增长。

Chong表示，Bit-and-piece技术是指通过将小部分恶意代码注入到几百个IP前缀的合法流量里的手段，这种策略可以逃过检测。由于流量大幅增加的话会导致警报，而垃圾流量少则不会。 Nexusguard的研究人员发现，比较2018年的第四季度和第三季度里这种方法所造成的攻击次数、最大和平均攻击规模，可以发现各自分别增加了36％、49％和3.75％。

Nexusguard还提到第三季度出现的Bit-and-piece的趋势，Bit-and-piece是Nexusguard威胁报告的焦点。在典型的DDoS攻击里，行动者锁定一个特定的目标IP地址，Bit-and-piece DDoS和典型的DDoS攻击不同，Bit-and-piece攻击分布在同一前缀的多个IP地址上。由于Bit-and-piece是分散的流量，服务提供商可能监测不到大规模的Bit-and-piece式DDoS攻击。

SSDP放大攻击呈增加趋势—— 据Nexusguard的报告，SSDP放大攻击是最受欢迎的Bit-and-piece攻击向量，同比增长了31.22倍，环比增长了91.2％。这种类型的攻击占全部DDoS攻击的48.3％，SSDP放大攻击主要是利用通用即插即用设备（例如打印机，网络摄像头，路由器和服务器）通过UDP发动的。

SSDP放大攻击者首先搜索可被利用的设备并利用僵尸网络将具有目标欺骗IP地址的UDP数据包发到所有易受攻击设备的UDP端口1900。研究人员表示，设备会“大量地响应”，目标就会被回复所淹没。

网络犯罪分子在Booter网站被关闭后是否会增加利用Bit-and-piece进行DDoS攻击呢？ “Chong表示，这在很多程度上处决于他们的攻击对象是什么。在DDoS的世界中，攻击者会真的去研究他们的目标，有些攻击有可能会更有效些。Chong说网络攻击者和防御者之间的关系是“猫捉老鼠”的游戏：只要犯罪分子采用SSDP和UDP攻击，攻击目标也就自然会针对这些模式做出部署并阻止攻击。

Chong认为DDoS出租网站肯定会卷土重来。 他称，“这是肯定的事。”他还表示， DDoS攻击规模下降的趋势在未来某个时候可能会逆转。他指出， “这些Booter网站只是代表了整个问题的表面。它们只是个支付网关，只是个用于激活僵尸网络的购物车。”他还进一步指出，消费者物联网的增长导致了易遭受网络攻击设备数量的增加。