如何判断僵尸网络_僵尸网络_僵尸网络电影(5)

DDoS攻击的CaaS特点不仅有效扩大了DDoS攻击的网络范围和攻击强度，而且是促使攻击技术快速发展、攻击源推陈出新的直 接动力。2015年活跃在互联网的具备CaaS特点的DDoS僵尸网络莫过于Lizard DDoS和 Elknot & BillGates僵尸网络。

反射攻击

UDP类反射放大攻击

2015年，UDP反射放大攻击依然猖獗，而且还增添新成员：利用开放的Microsoft SQL Server Resolution Service发起的反射攻击能将攻击流量放大25倍以上。

华为未然实验室现网攻击统计数据显示，利用NTP、DNS、SSDP以及Chargen服务发起的反射放大攻击占比最高，这主要源于这几类服务具备放大倍数大及互联网分布广的特点。

华 为未然实验室统计数据显示，开放DNS服务器数量依然最大，达到13,526,448个；SSDP服务器数量其次，达到9,867,385个，相比 2014年增长4.16%；排行第三的是NTP服务器，达到4,436,709个；而Chargen服 务器数量达到4,240,411个。

图4-1 开放的DNS服务器全球地域分布图

图4-2 开放的SSDP服务器全球地域分布图

图4-3 开放的NTP服务器全球地域分布图

图4-4 开放的Chargen服务器全球地域分布图

HTTP类反射攻击

2015年三类HTTP类反射攻击影响力最大：JavaScript-based DDoS、WordPress pingback DDoS和Joomla反射攻击。

JavaScript-based DDoS：在海量访问的网页嵌入指向攻击目标网站的恶意JavaScript代码，当互联网用户访问该网页时，则流量被指向攻击目标网站。典型攻击事件是 GitHub DDoS攻击。3月底，全球最大的社交编程及代码托管网站GitHub遭受DDoS攻击，攻击者在百度页面植入JavaScript代码，当海外用 户访问这些百度页面时，HTTP流量就被指向了GitHub网站。

WordPress pingback DDoS：基于wordpress搭建的WEB网站默认开放XML-RPC pingback服务，该服务是用来通知第三方网站blog系统有文章被引用。攻击者假冒攻击目标网站的IP地址给数以万计wordpress站点发送 pingback请求，开放pingback服务的网站会向攻击目标网站发送HTTP get请求。此类攻击并非新鲜事物，事实上，2014年3月份，安全公司Sucuri就发现黑客利用超过16.2万个wordpress网站进行 DDoS攻击。2015年，此类攻击开始抬头，大量网站遭受wordpress攻击。Akamai安全报告声称来自比特币敲诈团伙DD4BC的DDoS攻 击日渐增加，该团伙的惯用攻击手法就包含利用wordpress漏洞发起对攻击目标的大量HTTP get请求。

图4-5 开放pingback服务的wordpress网站全球地域分布图

Joomla反射攻击：某些版本的Google地图插件中存在多个漏洞，能够让攻击者将安装存在漏洞的Google 地图插件的Joomla服务器变成用于DDoS攻击的工具。DOSET和UFONet就是两款借助Joomla轻松发起HTTP反射攻击的工具。

地域分布

在中国大陆，浙江、广东、北京、上海的DDoS攻击事件比较集中，这主要缘于这几个省份是大型数据 中心的聚集地。

图4-6 中国大陆DDoS攻击事件地域分布图

攻击种类分布

华 为未然实验室现网攻击事件统计数据显示，SYN Flood、UDP Flood（包括UDP类反射放大攻击）、HTTP Get Flood、DNS Query Flood依然是DDoS攻击的惯用手段。与2014年相比，UDP类反射放大攻击频率明显增加，超百G的DDoS攻击多由超大报文SYN Flood或者UDP类反射放大攻击组成，常见的UDP类反射放大攻击主要有NTP、DNS、SSDP、Chargen反射攻击，以及少量SNMP反射攻 击。针对DNS服务器的攻击，多为请求不存 在域名形成Cache Miss攻击效果。因攻击DNS服务器的代价小，影响范围广，经常在动机型DDoS攻击事件中成为攻击目标首选。从现网攻击事件看，针对DNS服务器 的攻击并非都是恶意攻击。互联网上当某些软件被禁止访问，域名被封堵，如果被封堵软件属于热门软件，则对这些域名的大量DNS请求则会导致DNS服务器性 能出现瓶颈，同样能形成显著的攻击效果。这种现象在移动网络尤其明显。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-28049-5.html