安天2017全球僵尸网络DDOS攻击威胁态势报告网络安全2018130页

联合编写：安天捕风团队、电信云堤初稿完成时间：2018年1月9日08时首次发布时间：2018年1月9日08时本版更新时间：2018年1月9日08时2017全球僵尸网络DDOS攻击威胁态势报告文章分享二维码2017全球僵尸网络DDoS攻击威胁态势报告©安天实验室版权所有，欢迎无损转载第2页目录1概述.............................................................................................................................................32DDoS僵尸网络攻击情报.......................................................................................................42.1DDoS僵尸网络DDoS攻击情报全球分布情况......................................................................52.2DDoS僵尸网络发起DDoS攻击全国分布情报......................................................................63DDoS攻击带宽流量情报信息...............................................................................................64DDoS僵尸网络C2情报信息.................................................................................................94.1DDoS僵尸网络C2攻击情报.......................................................................................................94.1.1DDoS僵尸网络C2分布...................................................................................................................94.1.2DDoS僵尸网络C2存活时间.......................................................................................................124.2黑客攻击工具................................................................................................................................124.2.1DDoS僵尸网络木马传播...............................................................................................................124.2.2全球各DDoS家族僵尸网络威胁情报.......................................................................................154.3DDoS攻击方式.............................................................................................................................225DDoS攻击情报信息...............................................................................................................235.1全球范围受DDoS攻击情报统计...............................................................................................235.2全国受攻击DDoS攻击地区情报统计......................................................................................245.3攻击国内的DDoS攻击发起源情报分析..................................................................................255.4受攻击行业类型............................................................................................................................266国内“肉鸡“情报.......................................................................................................................276.1国内DDoS僵尸网络“肉鸡”设备类型情报..............................................................................276.2国内DDoS僵尸网络“肉鸡”分布地区情报..............................................................................277总结...........................................................................................................................................28附录一参考资料............................................................................................................................29附录二关于安天............................................................................................................................302017全球僵尸网络DDoS攻击威胁态势报告©安天实验室版权所有，欢迎无损转载第3页1概述本报告由安天捕风小组与电信云堤联合发布，本年度报告主要以安天捕风蜜网和电信云堤流量监测数据为基础，针对2017年发生的僵尸网络DDoS（分布式拒绝服务）攻击事件进行汇总分析。报告给出了2017年全球范围内僵尸网络发起DDoS攻击的事件分布、地区分布情况以及攻击情报数据，并对黑客的攻击方法、攻击资源、僵尸网络家族进行了详细分析。从整体的攻击情报数据来看，全球DDoS僵尸网络全年攻击态势呈“山”形，其主要爆发在第二季度的4、5、6三个月；在比特币交易价格暴涨期间，大部分DDoS僵尸网络被更换为挖矿僵尸网络，所以第四季度则处于相对低迷的阶段。根据全球数据统计，2017年，美国境内发起的DDoS攻击数量是最多的，占全球DDoS攻击总事件的37.06%；而中国则成为了遭受DDoS攻击的重灾区，承受了全球DDoS攻击数量的84.79%（占整个亚洲DDoS攻击量的98.63%）。DDoS攻击我国的事件，37.47%来源于美国，27.77%来源于我国国内，23.28%来源于法国，10.17%来源于韩国。黑客发起DDoS攻击事件采用的主流僵尸网络家族为Xor（Xor_Ex和Xor_D）家族，黑客通过控制Xor家族僵尸网络发起的DDoS攻击占全球DDoS攻击的51.04%。SYNflood为目前黑客使用的主流DDoS攻击方式，Xor、BillGates、Mayday等大型的僵尸网络家族的攻击方式均以SYNflood为主。物联网僵尸网络爆发式增长是2017年的一个趋势，由于Mirai[2]开源导致众多IoT变种出现，同时传统的Windows、Linux僵尸网络家族也向IoT平台进行拓展。2017年僵尸网络活动的主要表现为：以Linux僵尸网络为主流由于Linux服务器所在环境带宽大、长时间在线、安全措施落后，该类僵尸网络具有稳定性且易形成规模化。IoT僵尸网络大发展开源Mirai导致物联网僵尸网络变种快速增加，同时传统的Windows平台家族僵尸网络发觉IoT的规模和攻击威力后，也快速向IoT平台演进。Jenki、台风等僵尸家族就是典型代表。具有明显的趋利性今年以来比特币等电子加密货币快速发展，僵尸网络作为网络犯罪组织的重要工具从DDoS攻击转到挖矿，Linux、IoT僵尸网络成为DDoS攻击、挖矿的主流。2017全球僵尸网络DDoS攻击威胁态势报告©安天实验室版权所有，欢迎无损转载第4页DDoS攻击的受害者主要分布在中国和美国。近年来中国互联网事业飞速发展，数据中心和云服务发展迅速，网络服务需求与日俱增，导致勒索和因同行竞争导致的恶意攻击频繁。2DDoS僵尸网络攻击情报通过对2017年捕获的DDoS攻击情报进行统计分析，可得到全球及国内DDoS攻击情报在这2017年度的分布情况，如下图所示。图12017年全球DDoS僵尸网络发起DDoS攻击态势11,304,82428,448,67413,616,7719,687,35905,000,00010,000,00015,000,00020,000,00025,000,00030,000,0002017年全球DDoS僵尸网络发起DDoS攻击态势2017全球僵尸网络DDoS攻击威胁态势报告©安天实验室版权所有，欢迎无损转载第5页图22017年国内DDoS僵尸网络DDoS攻击态势2.1DDoS僵尸网络DDoS攻击情报全球分布情况跟据监测情报数据统计分析，2017年全球各国发起的DDoS攻击分布如下图。其中，C2位于美国境内对各国发起的DDoS攻击数为5800多万，占全球各国发起DDoS攻击总数的37.06%；C2位于中国境内对各国发起的DDoS攻击占总比的34.19%；C2位于法国境内对各国发起的DDoS攻击占比19.10%。图3DDoS僵尸网络发起攻击的全球分布比例4,661,05115,907,2451,526,9972,113,46502,000,0004,000,0006,000,0008,000,00010,000,00012,000,00014,000,00016,000,00018,000,0002017年国内DDoS僵尸网络发起DDoS攻击态势美国36.87%中国34.19%法国19.26%韩国8.41%日本0.82%加拿大0.31%荷兰0.03%罗马尼亚0.03%俄罗斯0.02%瑞士0.02%其他0.04%DDOS僵尸网络发起攻击的全球分布比例2017全球僵尸网络DDoS攻击威胁态势报告©安天实验室版权所有，欢迎无损转载第6页2.2DDoS僵尸网络发起DDoS攻击全国分布情报对国内各地区发