DDoS攻击正在增加还是减少?这要看你问谁了
DDoS攻击报告中的差异,与捕获数据的方式、位置、以及不同组织如何定义DDoS攻击有很大关系。很多情况下,一两次大型的攻击就很容易让报告数据失衡。而如果你是一家企业的话,你必须最关心的点应是究竟哪些影响了你。...
分布式拒绝服务(DDoS)攻击对企业来说仍然是一项不可预测且充满挑战的威胁,但是,有关该威胁演变的实际细节,却有可能随着报告来源的不同而呈现出巨大的差异。
同一季度不同供应商报告中的攻击峰值可相差近4倍
这两家供应商均报告称,与上一季度相比,2017年第四季度多向量攻击呈总体上升趋势,而DDoS攻击的数量则呈整体下降趋势,但是由于这些调查数据都是基于各自公司的客户数据,所以具体细节方面有所差异。
Nexusguard报告称,2017年第四季度的DDoS攻击总数比去年同期(2016年第四季度)减少了12%,比上季度(2017年第三季度)下降了16%以上。Verisign则报告称,同一时期的DDoS攻击总数减少了高达25%,并表示这种攻击数量将呈现持续下降的趋势。
Nexusguard介绍称,多向量以及混合威胁在上季度的总体威胁中占比高达56%;而单向量攻击仅占43%左右。根据Nexusguard的报告显示,双向量攻击——例如结合了UDP和DNS的攻击——占据多向量攻击总数的33%,而三种向量的攻击则约占15%。
同时,Verisign也表示,在2017年第四季度中,高达82%的DDoS攻击使用了多个攻击向量。不同的是,Nexusguard将双向量攻击视为最常见的多向量攻击类型,而Verisign则表示,46%的多向量攻击涉及5种或更多种攻击类型。
Verisign上个季度处理的最大的DDoS攻击峰值为53Gbps;而Nexusguard则表示它遇到的最大的DDoS攻击峰值超过231Gbps。但是这两家供应商对于攻击平均峰值的估计却大致相同——很大可能不会超过10 Gbps。不过,Verisign进一步指出攻击峰值的平均值同比(与2016年第四季度相比)下降了32%。
对于Nexusguard 来说,上季度观察到的一个关键问题是针对启用DNSSEC(DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制)的服务器的放大攻击(亦称反射攻击)正在急剧增加。Nexusguard表示,2017年第四季度的DNS反射攻击数量较上一季度猛增了近110%,而使用DNS放大的DDoS攻击与2016年第四季度相比增长了近358%。
Verisign和Nexusguard两家报告所称的“2017年第四季度DDoS攻击呈减少趋势”与其他供应商提供的报告结论有些不一致。例如,全球安全倡导者,Akamai最近发布的《互联网安全状态报告》的主要作者Martin McKeay就表示,DDoS攻击总量在过去几年中只有增长没有减少。
“
Akamai研究发现,2017年第四季度的DDoS攻击数量与第三季度相比基本持平,但是与2016年同期相比却增长了14%。从我们所看到的情况来看,最近几个季度的DDoS攻击数量一直保持相对稳定的状态,但是与上一年同期比对后就会发现,DDoS攻击每年都有非常明显的增长趋势。
同样地,Akamai在涉及启用DNS和DNSSEC域名的攻击方面也未见明显增加。 McKeay表示,多年来,利用DNS和DNSSEC反射DDoS攻击始终占据总体攻击活动的25%左右。并没有像Nexusguard和Verisign报告的一样呈现迅猛增长趋势。
Corero公司首席执行官Ashley Stephenson在DDoS攻击趋势方面也有着与Akamai类似的观点,他表示并没有发现任何迹象可以表明近期的DDoS攻击数量正在呈现下降的趋势。此外,Stephenson也表示,与McKeay所述一致,Corero公司也并未观察到Nexusguard报告中所述的“DNSSEC放大攻击急剧增加”的现象,不过,他同意Nexusguard报告中提到的多向量攻击已经变得更为普遍的结论。
DDoS攻击的观测数据受众多因素影响
Stephenson表示,DDoS攻击报告中的差异,与捕获数据的方式、位置、以及不同组织如何定义DDoS攻击有很大关系。例如,对于在线游戏行业的组织而言,500 Mbps到1 Gbps范围内的流量足以构成DDoS攻击。而对于拥有大型数据中心的大型金融机构或银行而言,这种规模的攻击根本微不足道,所以,也就不太可能会将这种规模的攻击定义为DDoS攻击。
McKeay表示,平均攻击规模通常也可能是误导性的。在很多情况下,一两次大型的攻击就很容易让报告数据失衡,这就是为什么跟踪中位数攻击的规模反而更好一些的原因。他说,“一两次大型攻击,或一段时间内没有攻击都可能导致平均攻击规模大小度量的偏差,从而导致得出的数据不可靠。”
此外,衡量攻击的地方也可以造成很大的差异。Stephenson表示,靠近源头测量的攻击将远远大于靠近目的地或目标所测量的攻击——有时可能会得出相差10倍的数据结果。
他说,以一个内容交付网站为例,有些报告可能会选择测量攻击的源头,但事实是源头的很多流量并不会到达目的地。同样地,有些报告可能会选取中间某处(远离源头和目的地)来测量DDoS流量,最终,这些报告就会因为选取测量的位置不同而得出与众不同的数据。你可以想象这些数据在一个巨大的漏洞中,尽管你在源头测量出terabits的数据,但是在漏洞的另一端出现的数据可能会小得多。
“
最后,如果你是一家企业的话,你必须最关心的点应是究竟哪些影响了你。
关注 安全牛
微信扫一扫关注公众号
