2015年下半年云盾互联网DDoS状态和趋势报告

12015年下半年云盾互联网DDoS状态和趋势报告1执行摘要2015年初，阿里云云盾推出国内第一家按量使用（可按天计费）的DDoS高防服务，同时也是国内第一个防御能力可弹性动态扩展的云安全服务正式上线。在2015年Q3季度，高防服务有效化解某用户遭受的350万QPS的CC攻击（相当于70万肉鸡同时访问）。在2015年“1105”事件中，云盾成功防御了攻击者的海量HTTPSSSL/CC攻击，峰值达到95万QPS，这是迄今为止全球有统计数据的最大的HTTPSSSL/CC攻击。云盾对超大规模攻击的成功防御，展示了其独一无二的防御能力。在2015年下半年，阿里云安全团队共监控到DDoS攻击事件超过10万次，较2015年上半年攻击事件增加了32%。其中流量达到300Gbps以上的攻击次数达到66次。相对于2015年上半年，环比增加127%。阿里云云盾防御的最大攻击峰值流量为477Gbps，创造了2015年度云盾DDoS防御的新高，同时超越了2014年同期云盾创造的峰值为453.8Gbps的互联网DDoS攻击防御记录。从被攻击者的行业分布来看，游戏行业仍旧是DDoS攻击的重灾区，也是大流量攻击的主要对象。从绝对数量来看，针对互联网金融行业和电商行业的DDoS攻击并非突出，但是由于严酷的行业竞争环境，DDoS威胁却尤为显著。攻击者的攻击目标明确，手段恶劣，倾向选择被害者举办重大商业活动期间发起攻击。从DDoS攻击手段上来说，TCPflood和UDPflood仍旧是最主要的网络层威胁。与此同时，应用层HTTP/CC攻击威胁显著提升，尤其需要关注HTTPSSSL/CC攻击。阿里云是国内最大的公共云计算服务提供商。阿里云云盾Anti-DDoS服务具备Tb级别的防御带宽和攻击检测能力，防御的背后是阿里云大数据分析系统，PB级日数据处理和万亿量级会话分析能力。云盾几十个清洗集群遍布全国，保护了中国30%的网站。阿里云安全团队依托阿里云云盾系统为用户提供四到七层的所有类型的DDoS攻击防护服务。阿里云安全团队通过对阿里云云计算服务平台、互联网用户和阿里集团系统的安全防护，以及对网络攻击持续的分析与研究，发布2015下半年云盾互联网DDoS状态和趋势报告。2核心发现2发现1：2015年下半年DDoS攻击事件频发，超过10万次，较上半年增加32%。大流量攻击事件越来越多，相对于2015年上半年，峰值超过300Gbps的DDoS攻击事件数量环比增加127%，最大DDoS攻击峰值流量达到477Gbps;发现2：UDPFlood和TCPFlood仍旧是网站的最大威胁。从另一方面来说，随着越来越多的网站追求数据的安全性采用HTTPS协议进行流量传输，网站遭受到HTTPSCC攻击的事件数量随之上升。由于对HTTPS协议的处理相对HTTP会占用消耗的资源，因此无论是网站运营者还是安全服务商在面对HTTPSCC资源消耗型攻击时，防护能力与效果会面临巨大挑战。发现3：游戏和互联网金融行业是DDoS攻击的重灾区，攻击背后的动机多以商业竞争和敲诈勒索为主。重大商业活动期间成为DDoS攻防的关键时刻。发现4：攻击持续时间在1小时内的攻击数量超过总数的80%，说明攻击者更倾向在短时间内达到攻击的目标，而不是长时间持续攻击。这也使得“首小时防御”（First-HourDefense）显得非常关键。发现5：阿里云安全团队预测，在2016年可能会发生流量在800Gbps－1TGbps之间的攻击事件。以商业竞争或敲诈勒索为背景的DDoS攻击威胁形势仍将严峻。游戏仍旧是DDoS事件高发行业。来自移动终端APP的应用层的DDoS攻击将迅速崛起。3分析与趋势3.1攻击类型分布从攻击类型的分析来看，网络层（Layer－4）DDoS攻击中利用UDP协议发起洪水攻击的比例占到四分之一。在2015年Q4，UDP洪水攻击比例环比大幅下降，TCP洪水攻击数量上升。阿里云安全团队分析，由于互联网大量存在UDP协议漏洞的设备，使得UDP洪水仍旧占据最大的比例。同时，TCP洪水攻击的门槛低，工具丰富，操作方便，成本低，深受黑客喜爱。此外，SYNFlood攻击同样值得关注，SYNFlood自身也在不断发展，例如增加Payload大小等方式，可以提高攻击的效率。3图3-1网路层DDoS攻击分类CC攻击的数据可以发现大部分的攻击还是用HTTPGET的方式。4图3-2CC攻击分类3.2攻击事件在2015年下半年，共发生104,692起DDoS攻击事件。5图3-3攻击事件月度变化从攻击事件的变化趋势来看，仍维持了下半年DDoS攻击多发的威胁态势。较2015年上半年，攻击事件增加了32%。6图3-4攻击事件趋势3.3攻击来源分布在2015年下半年，来自国内（包含港澳台地区）的DDoS攻击占94%，来自海外的DDoS攻击占6%。7图3-5攻击来源分布3.3.1来自海外的攻击攻击来源地在国外的DDoS攻击中，巴西、韩国和俄罗斯是最主要的三个来源国家。8图3-6攻击来源按国家分布（国外）3.3.2来自国内的攻击来源于国内的DDoS攻击，排名最为靠前三个省份分别是浙江、广东和山东。9图3-7攻击来源按照省分布（国内）3.4攻击行业分布从被DDoS攻击骚扰的行业来看，游戏行业遭受的威胁最大，占到被攻击行业的近一半。10图3-8攻击按照行业分布3.5攻击时长在2015年下半年，攻击者攻击持续时间在0-30分钟的攻击数量超过总数的60%，1小时内的攻击数量超过总数的80%，说明攻击者更倾向在短时间内达到攻击的目标，而不是长时间持续攻击。与此同时，时长超过24小时的攻击超过600次。11图3-9攻击时长分布3.6大流量攻击在2015年下半年，峰值流量超过300Gbps的攻击总数达到66次。其中，DDoS攻击峰值出现在10月，超过云盾在2014年年底创造的453.8Gbps的记录，达到477Gbps。攻击峰值月度趋势如下：12图3-10攻击峰值分布4专题研究－HTTPSSSL/CC攻击与防御在2015年下半年，阿里云安全团队发现了数起大流量甚至超大流量的HTTPSSSL/CC攻击，其中最大的一次SSL／CC攻击峰值接近100万QPS。如此海量的SSL/CC攻击，无疑是对网站运营者的严峻考验。4.1HTTPS的概念及防御挑战HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。然而，尽管HTTPS对HTTP的流量数据进行了加密，可以一定程度上避免数据在传输的过程中被监听劫持，但是并不意味着网站进入了HTTPS时代后就是绝对安全的。攻击者依然可以研究网站的业务情况，有针对性的向目标发起业务层面的SSL/CC攻击以及Web应用攻击。13网站采用HTTPS协议后，从某种角度上，并非意味着对发起攻击的一方设置了更多的门槛，反而对防守方带来了巨大的挑战。以往对HTTP网站的防护系统一般如下所示：图4-1传统的网站防护系统从上图可以看出，当网站采用HTTPS协议之后，由于报文内容数据均被加密，因此防护系统并不能对加密之后的流量数据进行安全分析、统计及检测，那么自然也就无法识别夹杂在合法流量中的SSL/CC攻击及Web应用攻击。4.2防御思路如何能够有效透过数据加密的“迷雾”中看到攻击的真相呢？典型的防御方式是在网站用户与服务器之间部署可以揭开数据加密层的防御系统。网站用户将其SSL的相关证书与私钥导入到防护系统中。这样一来，防御系统就能够利用证书和私钥对流经的数据进行解密分析和统计，从而抽丝剥茧找出恶意的攻击请求。对于合法流量，则通过重新加密传输到源站服务器，这样既能够顺利检测非法攻击、同时也实现了全链路加密，保障了数据在传输过程中的的安全性。改造后的防护系统如下图所示:14图4-2改进的网站防护系统当然，典型方案可能因导入证书私钥额外增加了新的风险，改进的解决方案是并不要求用户提交用来确认网站身份的密钥，而是将私钥的操作转移到一个远端独立的密钥服务器上，此服务器可以被放置在网站客户的架构中，让网站握有私钥的独家管理权，这样可以充分保障私钥的安全性。4.3HTTPS下的SSL/CC防御当前CC攻击的手法越来越专业化，有两种攻击场景极大提升了服务器安全防护的挑战。场景一：发起的攻击请求大多均是高度模拟真实业务的访问行为，在并且肉鸡海量分布造成攻击源相对分散。由于每个攻击源攻击业务的流量和频率与相对真实业务相差无几，也没有携带具有明显特征的User-Agent或者Referer，因此在这种场景下无法通过行为特征或字段特征的方式快速区分出攻击流量，对攻击防护也无从下手。场景二：针对类似APP或者API调用的接口。在此场景下，传统的防御手段诸如验证码、重定向跳转验证均不能生效。针对该场景采用包括粗暴的限流、通过限制单一源的连接数或者整体的连接数来缓解攻击，并不能起到有效的防御效果，甚至会造成对正常业务的误杀。15此外，由于HTTPS相对HTTP在数据加／解密上会消耗更多的资源，因此在同样量级下的攻击效果将被急剧放大，平常采取通用的防护手段可能在处理HTTP流量下还游刃有余，但在HTTPS下则会明显地捉襟见肘。当然，海量SSL/CC攻击并非无法防御，在请求内容上是有迹可循的，为了让防御手段更加有效，需要防御一方能够根据实际情况进行更加综合的分析判断。如下：1）通常扫描式攻击会对资源目录进行不断遍历，那么其访问不同URL的可能性会非常大，同时获取到的响应码也是不确定的，可能会出现大量的非200正常响应码；2）在请求方法上，也可能会进行不停的变换尝试，如GET、POST、OPTION等；3）针对请求同一URL的参数，会进行不同的替换；4）集中时间段内，可能会有大量IP访问同一个固定的URL；5）会不断的伪造合法的User-Agent来避免UA规则的特征查杀。我们可以根据攻击者的上述攻击手法特征，对请求进行各种维度的统计分析，从而针对性地采取对应的安全措施。除了以上的综合防护手段，一些有实力的安全服务商在建设自己的威胁情报能力。希望能够通过日常的海量数据学习分析，构建出威胁情报的恶意攻击源以及网站维度下的可信分析模型。一个可参考的HTTPS环境下的情报和大数据驱动的网站HTTP/HTTPS防御体系如下：16图4-3情报和大数据驱动的网站防护系统近年来，互联网网站在逐步加快网站HTTPS的速度。特别是搜索引擎巨头Google、淘宝天猫、百度等均全站启用HTTPS，相信在未来，会有越来越多的网站加入全站HTTPS化的行列中。未来针对HTTPS的网站的CC、Web攻击也会层出不穷，如何更好的打造一个HTTPS环境下相对可靠的安全防护体系，值得所有互联网安全从业者的深思与研究。5案例2015.11.5下午14点开始到晚上22点结束，阿里云云盾成功防御黑客对阿里云某金融用户的HTTPS/SSLCC流量攻击。黑客全天总攻击量达到了5亿次请求，峰值95万QPS（HTTPS），真实源IP数量超过1万个。攻击者此次主要的攻击目标为网站门户页面。从攻击行为上看，攻击者并没有对网站做过多的目录及资源分析研究。从攻击资源上来看，黑客在短时间组织如此大规模的僵尸网络，说明攻击一方具有丰富的攻击资源。阿里云安全团队认为此次攻击出于商业竞争的目的。5.1攻击概览攻击事件“1105”事件17攻击时间2015年11月5日攻击流量类型HTTPS/SSLCC攻击攻击峰值95万QPS攻击特点黑客组织大量僵尸主机频繁请求网站页面攻击源数量约15000僵尸主机攻击主要来源广州、北京、江苏等省份CC攻击请求（拦截）总数511,357,687次表5-1攻击概览5.2攻击分析攻击者从下午14点开始针对网站开始发起攻击，出现两次波峰分别在14点10和晚上7点30左右