【IT168 资讯】2015年8月19日,阿卡迈(以下简称:Akamai)发布了《2015年第二季度互联网发展状况安全报告》。本季度报告对全球云安全威胁状况进行了深度分析,提出独到见解,如需了解报告详情,可点击www.stateoftheinternet.com/security-report下载报告。
Akamai云安全业务部副总裁John Summers表示:“分布式拒绝服务(DDoS)与网络应用攻击带来的威胁每个季度都在不断增加。黑客们通过转变战术在不断改变游戏规则,寻找新漏洞,甚至采用被视为过时的老式技术。通过对我们网络所观察到攻击加以分析,我们可以确认新兴威胁与趋势,从而为公众提供加强网络、网页与应用安全所需的信息,提高云端安全性。”
John Summers补充道:“例如,在本报告中,我们不仅将两种网络应用攻击向量纳入了我们的分析范围,还检查了由洋葱路由器(Onion Router/Tor)流量所带来的威胁,甚至还发现了第三方WordPress插件中以CVE形式出现的部分新漏洞。我们对网络安全威胁知道的越多,就越能够保护企业安全。”
DDoS攻击活动一览
在过去三个季度内,DDoS攻击量同比增长了一倍。本季度,尽管攻击者倾向于发起不太强烈但持续时间较长的攻击,但危险的大规模攻击数量持续上升。2015年第二季度,12起攻击的峰值流量超过了100 Gbps,5起攻击的包转发率峰值超过了50 Mpps。只有极少数的企业能够以一己之力承受住这样的攻击。
2015年第二季度,最大规模的DDoS攻击峰值流量超过了240 Gbps,持续了13个小时以上。峰值带宽一般被限定至1-2小时的时间窗口。2015年第二季度还发现了Prolexic Routed网络迄今所记录到的包转发率最高的攻击之一,峰值达到了214 Mpps。这种规模的攻击足以摧毁一级路由器,例如互联网服务提供商(ISP)所使用的路由器。
2015年第二季度,DDoS攻击活动创下了新纪录,相比2014年第二季度增长了132%,相比2015年第一季度增长了7%。相对于2015年第一季度,2015年第二季度的平均峰值攻击带宽与容量略微增加,但仍显著低于2014年第二季度观测到峰值均值。
SYN与简单服务发现协议(SSDP)是本季度最常见的DDoS攻击向量——各占DDoS攻击流量的16%左右。随着采用通用即插即用(UPnP)协议的不安全家庭联网设备不断激增,这些设备常被当作SSDP反射器,持续发起攻击。SSDP攻击在一年前几乎销声匿迹,但在过去3个月内却成为了首要的攻击向量之一。SYN floods继续成为各种容量攻击中最常见的向量之一,可追溯至2011年第三季度第一期互联网安全报告。
自2014年第二季度以来,在线游戏行业受到的攻击最为严重,一直占DDoS攻击的35%。中国一直是过去两个季度内非欺骗攻击流量的首要来源地,并是自2011年第三季度发布首份报告以来的前三个来源国之一。
历史数据比较纵览
相比2014年第二季度:
? DDoS攻击总量增长132.43%
? 应用层(第7层)DDoS攻击增长122.22%
? 基础架构层(第3 & 4层)攻击增长133.66%
? 平均攻击时长增长18.99%:20.64小时对比17.35小时
? 平均峰值带宽减少11.47%
? 平均峰值容量减少77.26%
? > 100 Gbps的攻击增长100%:12起对比6起
相比2015年第一季度:
? DDoS攻击总量增长7.13%
? 应用层(第7层)DDoS攻击增长17.65%
? 基础架构层(第3 & 4层)攻击增长6.04%
? 平均攻击时长减少16.85%:20.64小时对比24.82小时
? 平均峰值带宽增长15.46
? 平均峰值容量增长23.98%
? > 100 Gbps的攻击增长50%:12起对比8起
? 与2015年第一季度一样,中国是本季度产生DDoS攻击的首要国家
网络应用攻击活动
Akamai在2015年第一季度首次公布网络应用攻击统计数据;本季度,又分析了两种新的攻击向量:Shellshock与跨站脚本(XSS)。
Shellshock是2014年9月首次跟踪到的Bash bug漏洞,而在本季度内,它是49%网络应用攻击的罪魁祸首。但是,在本季度最初几周持续不断的强烈攻击运动中,95%的Shellshock攻击瞄准金融服务行业内的单一客户。由于Shellshock攻击一般通过HTTPS发起,因而改变了经由HTTPS与HTTP攻击的均衡态势。2015年第一季度,仅9%的攻击通过HTTPS展开;而在本季度,56%的攻击是通过HTTPS渠道发起。
除了Shellshock,SQL注入(SQLi)占到全部攻击的26%。这意味着仅第二季度SQLi警报数量即增长了75%以上。相反,本地文件包含(LFI)攻击在本季度大幅下降。虽然它是2015年第一季度的首要网络应用攻击媒介,但LFI仅占2015年第二季度警报数量的18%。远程文件包含(RFI)、PHP注入(PHPi)、命令注入(CMDi)、使用OGNL Java表达语言(JAVAi)的OGNL注入、以及恶意文件上传(MFU)攻击共占网络应用攻击的7%。
与2015年第一季度一样,金融服务与零售行业受到的攻击最为频繁。
第三方WordPress插件与主题威胁
全球最受欢迎的网站与博客平台WordPress经常成为攻击者的目标,这些攻击者旨在利用数百个已知漏洞构建僵尸网络、传播恶意软件以及发起DDoS攻击行动。
第三方插件很少受到代码审查。为了更好地了解威胁状况,Akamai测试了1300多个最受欢迎的插件与主题。结果发现,25个单独插件与主题至少被检查出1个新漏洞。在部分情况下,插件或主题拥有多个漏洞,总共有49个可能被攻击者利用。本报告包含了新发现的完整漏洞列表,以及强化WordPress安装的建议。
Tor的利弊
洋葱路由器(TOR)确保了网络入口节点与出口节点不相匹配,借以让用户得到匿名掩护。虽然Tor拥有多种合法用途,但其匿名性对于黑客而言更具吸引力。为了评估因放行Tor网络流量而带来的风险,Akamai在7天内分析了Kona安全客户群内的网络流量。
分析显示,99%的攻击来自非Tor IP。但是,在380个离开Tor出口节点的请求中就有1个是恶意请求。相反,在11500个离开非Tor IP的请求中只有1个是恶意的。也就是说,阻断Tor流量将会产生负面业务影响。但是,指向电子商务相关页面的合法HTTP请求显示,Tor的出口节点拥有与非Tor IP相等的转换率。
下载报告
如欲免费下载PDF版本的《2015年第二季度互联网发展状况安全报告》,敬请访问www.stateoftheinternet.com/security-report。