DDoS攻击团伙图鉴

这群团伙中的“C位成员”以一己之力发起了 20%的攻击。...



人们对于一般黑客的刻板印象是：单打独斗，神出鬼没。事实上，还有一群黑客团伙作战。

僵尸网络近年来已经成为企业的大敌，宅客频道从绿盟科技发布的《IP团伙行为分析报告》中发现，有这样一群僵尸机“捆绑销售”，常年坚持多渠道僵尸网络活动和 DDoS 攻击，“不抛弃”“不放弃”。

这群团伙中的“C位成员”（仅占攻击者中 2%）以一己之力发起了 20%的攻击，“核心成员”（仅占攻击者中的20%）发起了 80%的攻击，而且全员酷爱反射攻击，特别是大流量攻击。

安全研究者将这样的团体称为“ IP 团伙”。每个 IP 团伙由某个或者一组黑客控制者，因此同一个团伙在不同的攻击中必然会表现出相似的行为。

研究者根据近两年所搜集的 DDoS 攻击数据，推出了《IP团伙行为分析》，希望通过研究团伙的历史行为建立团伙档案，以便更准确地描述其背后一个或多个攻击控制者的行动方式，同时更有效地防御这些团伙未来可能发起的攻击，防患于未然。

攻击者

IP团队规模：千人团体占主导

下图展示了 IP 团伙规模的分布情况。大多数团伙成员不到1000人，但也有一个团伙的成员高达26000多人。

20/80法则，到哪里都适用

下图展示了各团伙发起的 DDoS 攻击事件的数量，按事件次数统计。毫不意外，大约 20％的团伙发起了 80％的攻击。

团伙最长总攻击时长超过 13“年”

下图展示了同一团伙所有成员的总累计攻击时长的分布情况。有些团伙的总攻击时长高达 5000 多天（ ＞13“年”），但多数团伙不到 1000 天。

更少的团员、更多攻击次数、更大攻击流量

人们一般觉得较大的团伙会发动较多攻击时间，且产生的攻击总流量也较大，但事实并非如此。

如下图所示，与更大规模的 IP 团伙相比，拥有较少成员的团伙可能会发动更多攻击并发出更多攻击流量。这说明，特定团伙中的攻击者可能拥有更多渠道可以利用。

下图展示了按总流量排名的前 10 个团伙，攻击总流量以不同大小的橙色气泡表示。

如上图所示，发动攻击次数最多（> 50K）的团伙仅拥有 274 名成员，超过了所有其他团伙，而最大的气泡（即攻击总流量最大）对应的团伙攻击次数竟然较少（

    关注 宅客频道