盤他! IP團伙攻擊行為

成都創(chuàng)新互聯(lián)于2013年創(chuàng)立，是專業(yè)互聯(lián)網(wǎng)技術服務公司，擁有項目成都做網(wǎng)站、成都網(wǎng)站建設網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元雨城做網(wǎng)站,已為上家服務,為雨城各地企業(yè)和個人服務,聯(lián)系電話:18980820575

2019開年不久

好多人就和一個新詞較上了勁

怎么個“盤”呢?

瞅順眼了，盤一盤是道吾不孤、孺子可教;

瞅不順眼了，盤一盤則是修理修理，看你再戧毛戧刺?

那么有這樣一群僵尸，他們常年勾結“作案”，堅持網(wǎng)絡攻擊活動，要不要盤呢?

基于近兩年對多個IP團伙行為的研究跟蹤及數(shù)據(jù)積累，綠盟科技近期推出了《IP團伙行為分析》報告。希望通過本報告，更準確描述攻擊者的行為方式，有效防御這些團伙未來可能發(fā)起的攻擊，防患于未然。

一、盤盤“攻擊方法”有哪些?

1. 攻擊類型

NTP反射攻擊由于出色的放大性能，在大流量攻擊中最常使用。SYN Flood攻擊方法較為簡單，使用較為廣泛。這兩種攻擊再加上UDP Flood和SSDP反射攻擊構成了最主要的攻擊類型。

圖1攻擊類型與攻擊總流量

2.單一攻擊與混合攻擊

在混合攻擊中，UDP flood是常用的一種攻擊方式。下圖展示了某一團伙采用的攻擊方法，該團伙大多僅采用一種攻擊方法(92.8%)，在混合攻擊中，75%的采取了兩種攻擊方法，4%的采取了四種方法。

圖2混合攻擊中各種攻擊方法的組合(某一攻擊團伙)

圖3 混合攻擊中各種攻擊方法的組合(某一攻擊團伙)

3.反射攻擊流量與事件

反射攻擊，特別是大流量攻擊，是各團伙最青睞的攻擊方法。從觸發(fā)較大流量的能力來看，NTP反射攻擊是一種更為強大的DDoS攻擊。從攻擊事件數(shù)量角度看，DNS反射攻擊占比較大，占全部反射型攻擊的57%。

圖4 反射攻擊流量與次數(shù)(某一攻擊團伙)

二、流量峰值：IP團伙攻擊的大“潛力”

1.流量峰值的整體分布

根據(jù)統(tǒng)計大多數(shù)IP團伙的流量峰值都超過了2 Tbps，流量峰值(Tbps)是衡量某一團伙的攻擊能力和惡意程度的關鍵參數(shù)，反映了攻擊團伙對目標的大攻擊能力。

圖5 IP團伙的流量峰值分布(按IP團伙統(tǒng)計)

2.單個團伙的攻擊流量峰值

各團伙通常并未完全發(fā)揮其潛力，了解它們的能力極限對于規(guī)劃防御非常重要。通過對某個團伙兩個季度流量峰值的對比，我們發(fā)現(xiàn)該團伙大攻擊流量峰值比日常攻擊流量高出很多倍，當其潛力完全釋放出來時，破壞力是驚人的。

圖6 單一攻擊的流量峰值趨勢(某一攻擊團伙)

3.十大攻擊團伙

綠盟科技統(tǒng)計了2018年1至9月期間的攻擊流量，總結了排名前十的IP團伙的流量峰值起伏變化，大流量峰值和平均流量峰值表示IP團伙的攻擊能力和攻擊時長，反映了這些團伙的攻擊活躍程度。

圖7 十大攻擊團伙的流量峰值

三、哪里的攻擊者和受害者最多?

為展示中國以外的攻擊活動，我們使用在國外部署的檢測器收集到的數(shù)據(jù)，對其地理位置進行了研究。其中，歐洲擁有最多的攻擊源，受害也最嚴重。雖然我們無法據(jù)此判斷出幕后攻擊者的地理位置，但可明確DDoS活動的熱點地區(qū)。

圖8 攻擊源國家分布

圖9 攻擊目標國家分布

四、三張圖教你識別不同的“IP團伙模型”

1.大的攻擊團伙

下圖展示了我們發(fā)現(xiàn)的大攻擊團伙的整體情況。從圖中可以看出，該團伙的攻擊目標和攻擊次數(shù)均不多，但是其攻擊峰值卻很高。

圖10 IP團伙概要模型(大團伙)

2.最活躍的攻擊團伙

下圖展示了攻擊數(shù)量大且波及最多受害者的攻擊團伙。事實上，該團伙規(guī)模不大，但卻能產(chǎn)生很大的攻擊流量和流量峰值?？梢姡搱F伙攻擊性很強。

圖11 IP團伙概要模型(最活躍的攻擊團伙)

3.流量大的攻擊團伙

下圖展示了攻擊流量大且流量峰值最高的攻擊團伙。不過，該攻擊團伙的規(guī)模相對較小，攻擊目標和攻擊次數(shù)也較少，可以推斷該團伙的成員可能具備較大的帶寬管道。

圖12 IP團伙概要模型(流量大的團伙)

網(wǎng)頁標題：盤他！近兩年?IP團伙攻擊行為大盤點-創(chuàng)新互聯(lián)
轉載來于：http://weahome.cn/article/cdcssj.html