2014H1绿盟科技DDoS威胁报告

　　绿盟科技发布《2014 H1 DDoS威胁报告》。本报告为2014年半年报，用于快速跟踪及反馈DDoS威胁的发展态势。如果您需要了解全年报告《2014 DDoS威胁报告》的情况，请查看报告《DDoS威胁报告》章节。

　　关键发现

　　本次报告包括以下关键观点：

　　政府网站依然是最主要的攻击对象，攻击者选择目标具有“潮流性”

　　广州、上海和浙江是最集中的受害区域，受攻击的地区有越来越集中的趋势

　　四成的受害者遭受2次或以上DDoS攻击，40位中会有1位遭受10次以上

　　DNS FLOOD依然是最主要的DDoS攻击方式，HTTP FLOOD持续减少

　　30分钟内的DDoS攻击始终占总数的90%左右

　　大流量高速的攻击正越来越多

　　观点1：政府网站依然是最主要的攻击对象，攻击者选择目标具有“潮流性”

　　绿盟科技收集了2013至2014年全球发生的重大DDoS攻击事件。在这些攻击事件中，[ 2014上半年政府网站依然是DDoS攻击最主要的目标，占总数的三分之一，其次则是针对商业公司的攻击。与2013下半年相比，政府网站和在线游戏受到的攻击比例有所下降，而运营商和商业公司则有所上升。与2013上半年相比，最明显的区别是针对银行的DDoS急剧减少。] 这体现了攻击者除了具有“逐利性”以外，对目标选择其实同其他商品一样具有的“潮流性”。

　　观点2：广州、上海和浙江是最集中的受害区域，受攻击的地区有越来越集中的趋势

　　2013至2014年DDoS攻击目标在中国国内的地理分布变化明显。从下图可以看出，2014上半年广州、上海和浙江是最集中的受害区域。受害区域有越来越集中的趋势，2013前三位的地区共占攻击的65%左右，而在2014上半年则上升到82%。其中变化最明显的事北京市，受害者数量逐年减少，2013上半年位列第三，到2014就已经跌出了前十。

　　观点3：四成的受害者遭受2次或以上DDoS攻击，每40位中会有一位遭受10次以上

　　下图表现了2013至2014年DDoS攻击目标每半年受到的DDoS攻击次数。从中可以看出，2014上半年中四成的受害者（42.9%）遭受过2次或以上的DDoS攻击，而每40个受害者中会有一位遭受10次以上的攻击，半年内单一目标最多遭受过68次攻击。整体现象与2013下半年基本一致。而与2013上半年相比，情况已经有所改善，当时有超过三分之二的受害者遭受过2次或以上DDoS攻击。

　　观点4：DNS FLOOD依然是最主要的DDoS攻击方式，HTTP FLOOD持续减少

　　2014上半年绿盟科技的监测数据显示，DNS FLOOD依然是最主要的DDoS攻击方式，占总数的42%，其次是TCP FLOOD，UDP FLOOD和HTTP FLOOD。与2013下半年相比，DNS FLOOD和HTTP FLOOD的数量有所减少，而TCP FLOOD则大幅上升。与2013上半年相比，DNS FLOOD的上升和HTTP FLOOD的下降最为显著。

　　观点5：30分钟内的DDoS攻击始终占总数的90%左右

　　2013年以来的数据显示，DDoS攻击时间的分布一直比较稳定，30分钟内完成的攻击始终占90%左右。由此可见，对于DDoS的缓解而言，从检测发现攻击到启动清洗的响应速度会成为评判缓解效果的关键因素之一。此外，长期连续的DDoS攻击虽然少见但依然存在，2014上半年绿盟科技监测到持续最久DDoS长达228个小时。

　　观点6：大流量、高速率的攻击正越来越多

　　2013年，大部分DDoS的实际流量并不大，500M以下的攻击占90%以上。然而，2014上半年的数据显示，DDoS的攻击流量开始整体上升，500M以上的攻击已占总数的三分之一，4G以上则超过了5%。绿盟科技在此期间内监测到的攻击流量最高达到45G。

　　与流量提升同步，DDoS攻击的包速率也在全面加快。0.2Mpps以上的已经超过一半，而在2013下半年这个数字还仅为16%。  超过3.2Mpps的攻击也超过了2%，最快速率达到了23Mpps，高速攻击的时代正在来到。

　　结束语

　　回顾4年来DDoS的跟踪数据以及更早期的研究成果，我们会发现其发展并不平稳。从一些角度看，攻击者在行为在不断变化，例如受害行业和攻击方法；而从另一些角度，似乎存在比较明显的趋势，例如受害者的地域分布和攻击的流量时长。

　　引发这些现象的原因包括了技术自身的发展，网络环境的演进，以及利益格局的变化。技术发展为攻击者提供了越来越多的工具选择，但这并不是关键的因素。网络环境的演进使得攻防的战场更为复杂，可用的战术多样化的同时，也有一些高效原则开始被普遍接受。

　　最后，也是最重要的，大部分DDoS攻击者依然以获利为目的，网络中自身利益格局的变化，对攻击行为的影响是最大的。事实表明，这个观点正是得益于绿盟科技长期跟踪及分析DDoS数据。相信这些观点对于大家预测未来的攻击形态，以及进一步完善企业及组织的解决方案，是有价值的。

　　“知己知彼，百战不殆”，面对阴影中凶狠而狡猾的敌人，您做好准备了吗？

　　网络安全威胁正在变得日益复杂，各类攻击目标、手段及来源始终在不断的发生着变化，随之企业及各类组织需要不断关注这些发展态势，以便能够理解与预测未来可能遭遇的恶意攻击，进而应对复杂变化所带来的挑战。

　　DDoS（分布式拒绝服务）作为网络安全威胁中的典型攻击手段，从诞生的那天起就从未停止，绿盟科技威胁响应中心对此予以重点及持续关注，同时定期发布《DDoS威胁报告》，帮助大家：

　　持续了解及掌握DDoS威胁发展态势

　　在遭遇到攻击后，可以快速理解及检测可能的伤害程度

　　不断强化网络安全意识，完善解决方案

　　但随着DDoS攻击的日益加剧，年度报告已无法快速呈现其发展态势，故绿盟科技从2012年起，增发DDoS威胁报告半年报。本次报告即为2014年上半年DDoS威胁报告，在年底前后绿盟科技威胁响应中心将会发布《2014 DDoS威胁报告》的年度安全报告。