攻击类型的攻击次数分布

news2024/12/27 17:09:40

攻击类型分析

2018 年,主要的攻击类型 1 为 SYN Flood,UDP Flood,ACK Flood,HTTP Flood,HTTPS Flood, 这五大类攻击占了总攻击次数的 96%,反射类攻击不足 3%。和 2017 年相比,反射类型的攻击次数大 幅度减少了 80%,而非反射类攻击增加了 73%,之所以如此,是相关部门对反射源进行了有效的治理。
从攻击流量来看,ACK Flood占了全部流量的 42.6%。因为某些行业(如游戏),用户量大,会话数多, 长连接,容易受到 ACK攻击,并且 AC
1 此处对混合攻击进行了拆解
图 5.13 攻击类型的攻击次数分布
攻击次数占比 攻击流量占比
SYN Flood 依然是 DDoS的主要攻击手法。攻击者利用 TCP 协议缺陷,发送大量的 TCP 连接请求, 从而使得被攻击方资源耗尽的攻击方法。ACK Flood 很少单独使用,经常与 SYN Flood 一起使用,使主 机和防火墙
费大量的精力来计算 ACK报文是否合法以致不堪重负,既消耗了目标的资源,又进行了流量攻击。
UDP Flood 是长期活跃的流量型 DDoS 攻击。常见的情况是利用大量 UDP小包冲击 DNS 服务器
或 Radius 认证服务器、流媒体视频服务器。UDP Flood 无需建立连接,协议简单,容易打出大流量攻击报文, 因此深受攻击者的青睐。HTTP Flood/HTTPS Flood 是针对 Web 服务在应用层发起的攻击,攻击者通过模拟正常用户对网站 执行网页访问行为。这类攻击会引起严重的连锁反应,当客户端不断请求而且附带大量的数据库
操作时, 不仅直接导致被攻击的 Web 前端响应缓慢,还间接攻击到后端服务器程序,严重的情况下可造成数据 库等后端服务卡死,崩溃,甚至对相关的主机,例如日志存储服务器和图片服务器都带来影响。从 DDoS攻击事件来看,有 13% 的攻击事件使用了多种攻击手法。攻击者根据目标系统的具体环境 灵动组合,发动多种攻击手段,既具备了海量的流量,又利用了协议、系统的缺陷,尽其所能地展开攻
势。对于被攻击目标来说,需要面对不同协议、不同资源的分布式的攻击,分析、响应和处理的成本就 会大大增加。
图 5.14 混合攻击分布
3种类型 1.4%
4种类型 单一类型 混合攻击 2种类型 0.3%
5种及以上
2018 年,虽然反射类型的攻击次数大幅减少,仅占全部攻击的 10%,由于反射攻击对流量的放大作用,其危害仍不可忽视。
从攻击次数来看,NTP 反射攻击独占鳌头,在全部反射攻击中占比 SSDP 反射攻击占了全部反射攻击流量的 42%。
3%,但攻击流量却占了全部流量的
60%;从产生的流量来看,
图 5.15 各类反射攻击次数与流量占比
攻击次数 攻击流量
从活跃反射源数量来看,2018 年下降了 60%,其中 SSDP 反射源有显著的减少,而 DNS反射源有 一定程度的增加。由此可见,相关部门对攻击源的治理,特别是 SSDP 反射源,是卓有成效的。
图 5.16 活跃反射源数量变化
|

Q1 Q2 Q3 Q4

2017 年

|

Q1 Q2 Q3 Q4

2018 年

|

恶意软件观察

在 2018 年的活跃恶意软件中,活动程度从高到低依次是后门、挖矿、蠕虫、木马、僵尸肉鸡 [^1]。后 png)门程序隐蔽性高不易被发现,依旧保持着极高的活跃度。虽然,随着虚拟货币市场的持续缩水,挖矿活 动也有所减少,但其活动频繁程度仍仅次于后门程序排名第二。
图 6.1 恶意软件类型分布
后门 67.7% 挖矿 15.9%

蠕虫

木马 1.6%

僵尸肉鸡

勒索 0.1%
其它 4.5%

后门

在信息安全领域,后门是指绕过安全控制而获取程序或系统访问权的方法。后门的最主要目的就是 方便以后再次秘密进入或者控制系统。攻击者往往通过一些欺骗手段,诱使用户主动进行一些操作,比 如下载或打开装有恶意代码的文件,用户在毫不知情的状况下在算机上创建了一个后门。或者,攻击者 在利用其它攻击方式攻陷一台主机后,在该主机上创建后门,这样既可以保证轻而易举的随时入侵又有 很好隐蔽性,难以被发现。
图 6.2 后门程序活动抽样统计
后门程序在 1月至 3月底期间,活动次数较少,起伏不大。4月至 10 月底都属于活跃期,中间波动较大, 4 月、5 月是全年活跃度的高峰时期。11 月开始活动次数逐渐减少,并在一个较低值趋于稳定。
早在 2014 年,国内电子厂商生产的 NetCore 系列路由器等设备被披露存在高权限后门。NetCore 漏洞的存在,使得攻击者可以通过此漏洞获取路由器 Root 权限,可完全控制受影响的产品。目前,很 多互联网上还存在有该后门的路由器设备,而这些设备被国外物联网僵尸网络 Gafgyt 家族再次利用。 由 18 年全年的数据监测情况可知,该后门利用相关的活动十分活跃。

挖矿

2017 年加密货币的价格持续飙升,在利益驱使下,传统勒索软件操纵者中很大一部分转向加密货 币的挖掘。比特币、门罗币、以太坊等多种加密货币交易一度十分活跃。据不完全统计,目前全球有超 过 1600 种加密货币,总市值超过 3400 亿美元。18 年虽然加密货币的价格已大幅缩水,但项目开发并 未停滞,市场活动依然活跃,挖矿依旧是攻击者变现的重要手段,短时间内并不会出现颓败现象。
图 6.3 挖矿程序活动抽样统计
2018 年挖矿类恶意程序活跃度震荡起伏,但总体呈现上升趋势。我们监测到上半年从 4 月份开始, 挖矿活动渐有起色,五月中旬到达上半年的一个小高峰。相较于上半年的活动情况,下半年活跃度明显 波动较大。8 月、9 月进入相对低迷的时期,10 月迅速回温,随后波动经历了一段时间的低谷。这种现 象并没有持续很久,12 月突飞猛进一跃达到了全年的峰值。
值得一提的是,在所有挖矿病毒中,WannaMine 最为活跃,传播过程利用了永恒之蓝漏洞。永恒 之蓝是美国国家安全局 NSA旗下的黑客组织 Equation Group 开发的网络攻击工具,利用 Windows 系 统的 SMB漏洞可以获取系统最高权限。
2017 年 WannaCry 席卷全球,五个小时内,包括英国、俄罗斯、整个欧洲以及中国国内多地中招, 最终影响国家高达 150 多个,经济损失极其严重。同样是永恒之蓝漏洞,2018 年,WannaMine 家族成 为挖矿大军中的主力,上半年在所有检测到的挖矿活动中,占比超过了 70%,传播速度令人咂舌。在攻 击武器的选择上,永恒之蓝漏洞攻击被多数挖矿病毒家族所青睐。虽然从 17 年 5 月份曝光至今已超过 一年半的时间,但利用永恒之蓝漏洞的攻击仍屡试不爽,这应当引起各行业从业者的重视。
在 18 年的挖矿活动中,我们监测到更多的矿工选择了门罗币而非比特币。门罗币就比特币而言具 有更好的匿名性,在交易过程中不会涉及到钱包地址,更加注重交易者的隐私。此外,门罗币降低了挖 矿的门槛,任何的 CPU 或 GPU都可以参与进来,这种对普通用户的开放性也为黑客提供了更多牟利的 机会。

蠕虫

在《2018 上半年网络安全观察》 中我们指出,大部分蠕虫病毒最早发现时间距今都有 5 年以上, 可见这些蠕虫病毒繁衍、进化的能力以及在网络中彻底清除的难度。从全年的监测数据来看,这一现象 仍然存在。2018 年全年监测到的最为活跃的蠕虫病毒种类共计 39 个,其中从发现至今超过 5 年的病毒 占比 60% 以上。
图 6.4 蠕虫活动抽样统计
前 3 个月蠕虫活动较少,4、5 月份活动量急速上升,到达全年的峰值,下半年活跃度稍有起伏, 不过总体呈下降趋势,并趋于稳定。结合全年数据来看,活跃度最高的两个蠕虫病毒分别为:
W32.Faedevour 今年上半年中该病毒的表现就尤为突出,综合全年数据来看活跃度仍高居首位,其 活动次数远超排名前 5 的其他病毒。它在受感染的计算机中打开一个后门,窃取信息,接受远程攻击者 的命令执行截图、下载文件、发送文件给攻击者等一系列操作,该蠕虫试图通网络驱动器和共享文件夹 进行传播。
SQL Slammer 该蠕虫病毒利用 SQL Server 弱点采取阻断服务攻击 1434 端口并在内存中感染 SQL Server,通过被感染的 SQL Server 再大量的散播阻断服务攻击与感染,造成 SQL Server 无法正常作业 或宕机,使内部网络拥塞。

木马远控

木马的核心功能为信息窃取与其他复杂的远程控制。与一般的病毒不同,它不会自我繁殖,也并不“刻 意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户, 使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。而现实中病毒的分类往往没有统 一的标准,木马病毒也可以拥有蠕虫特征。在此,我们以木马的核心功能作为简单的划分。
今年是信息泄露尤为严重的一年,从 Facebook 到 A站再到圆通、华住、万豪等数以亿计的个人信 息遭到窃取,与此同时,登录凭证、敏感文件、银行和支付信息等仍是黑客攻击的目标。
图 6.5 木马活动抽样统计
2018 年上半年木马程序相当活跃,4 月初到 5 月底是爆发期,下半年则相对低迷,波动不大。木 马活跃度整体虽略有下降但暗云系列仍层出不穷,活动依旧频繁。从 2015 年至今,暗云木马已感染数 以百万的计算机,并经过了几次的更新迭代,各变种也层出不穷,查而未绝。其中 Bootkit 木马是迄今 为止最复杂的木马之一,其触角已发展到了黑色产业的方方面面。
此外,在我们监测到的通信中,XCodeGhost 木马通信仅次于暗云系列。2015 年 XcodeGhos 首次 被发现便引起了安全圈的广泛关注。Xcode 作为苹果 APP 开发工具被不法分子利用将恶意代码植入到 Xcode 安装包中并发布到网上。由于部分开发者没有从正规途径下载 Xcode,而是使用含有恶意代码的 工具编译 APP,从而影响到大量 APP 用户。控制者可以收集用户设备上的诸多信息,甚至直接控制用 户设备进行其他攻击。这提醒我们各开发者和组织也要敲响警钟,注重安全性审核。

僵尸肉鸡

Botnet 一直以来都是互联网环境中不可忽的危害。作为一种常见的恶意程序,它具有较强的隐蔽 性,兼具 蠕虫、木马的特征。Botnet 程序能够通过漏洞或者其他脆弱性获取目标主机的控制权,可以 窃取目标主机中的信息或者操纵目标进行网络攻击。Botnet 可构成网络攻击的重要媒介,通过控制大 量肉鸡发起多种攻击,甚至是结合新的攻击类型发动未知攻击,常见的攻击行为包括 DDoS 攻击,发送 垃圾邮件,加密勒索,资源滥用等。
Botnet 目前已有相当成熟的商业运作,在 BaaS”(Botnet as a Service,僵尸网络即服务 ) 的模式下, 平台化日趋成熟,普通用户亦可通过简单的操作来发起大规模的僵尸网络攻击事件,极大的降低了攻击 者门槛。
图 6.6 僵尸程序活动抽样统计
对僵尸网络全年的监控可以发现,5 月份是活动的爆发期,其他月份攻击次数相对较低,存在小范 围的波动。在《2018 上半年网络安全观察》中我们提到,BillGates 僵尸网络和 Artemis 僵尸网络家族 非常活跃。综合 2018 全年数据来看,BillGates 首屈一指,远超其他家族。
BillGates 首次披露于 2014 年,是多平台家族,主要运行在类 *nix平台。在诞生后的 4 年时间内, BillGates 家族不断发展,陆续产生了运行 Windows 平台下的 Webtoos 变种与专门用于感染 arm 等嵌 入式设备的 BillGates.lite 系列变种等。由于其提供了 UI界面使得攻击者使用起来更加便利,因此颇受
黑产组织的欢迎。2018 第一季度,BillGates 家族进入全面活跃期,短时间内进行了大量的攻击并迅速 转入静默状态。此次攻击事件持续时间长,攻击范围广泛,具有很高的分析与追溯价值 。
Gafgyt 在 IoT 领域十分活跃,我们于 2017 年开始对这一家族进行了长期的跟踪。在《2018 Botnet 趋势报告》中我们指出,Gafgyt 家族 Botnet 已经实现了由传统的出售攻击流量的获利方式,转变为通 过云平台提供僵尸主机租赁服务。在这样的销售模式下,Botnet 的使用门槛被进一步降低,其攻击势 必会波及更多的领域。因此,如此类模式成为主流,Botnet 也将整体进入更高的威胁等级。

物联网威胁观察

参考资料

绿盟 2018年网络安全观察报告

友情链接

GB-T 20273-2019 信息安全技术 数据库管理系统安全技术要求

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/78060.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Linux网络编程】select多路复用

文章目录前言如何增强服务端的通信能力Linux的设计哲学文件描述符代码讲解以文件方式操作命令行阻塞函数与非阻塞函数轮询select()代码全貌The End前言 我们上节课讲解了服务端的编程(Linux服务端编程初体验) 本节课要讲的是select 提示:以下是本篇文章正文内容&am…

RocketMQ引发的磁盘预警复盘

RocketMQ引发的磁盘预警复盘前言发现问题排查过程Step 1Step 2Step 3Step 4Step 5Step 6Step 7Step 8Step 9解决方式写在最后前言 一款优秀的中间件,参数的缺省值必然是经过反复验证得出的最优解,勿动! 发现问题 某台SaaS服务器磁盘不足发出…

kafka的 __consumer_offsets

Zookeeper不适合大批量的频繁写入操作。Kafka 1.0.2将consumer的位移信息保存在Kafka内部的topic中,即__consumer_offsets主题,并且默认提供了kafka_consumer_groups.sh脚本供用户查看consumer信息。 1、创建topic “tp_test_01” [rootnode1 ~]# kafka…

《Linux运维总结:Centos7.6部署二进制mongodb4.4.8三节点副本集群》

一、Mongodb集群模式 1、三种集群介绍 MongoDB有三种集群部署模式,分别为主从复制(Master-Slaver)、副本集(Replica Set)和分片(Sharding)模式。 1、Master-Slaver 是一种主从副本的模式&#x…

自动驾驶之行人轨迹预测数据集

一、 Real Data ETH: Univ. Hotel;750 pedestrians exhibiting complex interactions UCY: Zara01, Zara02 and Uni.780 pedestrians 单应性矩阵,SLAM中的当用多个不同相机拍摄同一个三维平面需要考虑的矩阵,适应场景为平面情况 商场 这个数据集是用双…

Onvif学习

ONVIF onvif(Open Network Video Interface Forum,开放型网络视频接口论坛)协议. onvif协议涵盖了设备发现、设备配置、事件、PTZ控制、视频分析和实时流媒体直播功能,以及搜索,回放和录像录音管理功能。 先去看许振…

git 常用操作

Git 是一个分布式版本控制系统,用于项目开发中的版本控制。从本质上来讲Git是一个内容寻址(content-addressable)文件系统,并在此之上提供了一个版本控制系统的用户界面。 Git的核心部分是一个简单的键值对数据库(key-value data store)。 你可以向该数据…

XML配置文件、用来约束XML文档:DTD、Schema(类型更多)

上一章properties作为配置文件的内容好像还没讲? properties相对于XML的缺点:如果要运行多个方法,只能在properties配置文件里等号后面加逗号(或指定符号)隔开,然后再加值,这样累加下去会导致阅…

基于分布式数据库集群的大数据职位信息统计

目录 任务一: MongoDB 分布式集群关键配置信息截图(启动参数文件、初始化参数文件、启动命令等) ch0的参数文件配置: ​编辑 ch1的参数文件配置: ​编辑chconfig的参数文件配置: router的参数文件配置…

SpringSecurity整合Oauth2.0

SpringSecurity整合Oauth2.0一、概述与原理1.1 、OAuth2.0 是什么?1.2、OAuth2.0中角色解释1.3、OAuth2.0的4中授权模式1.3.1、授权码模式(重点)1.3.1.1 原理1.3.1.2 代码1.3.2、密码模式(重点)1.3.2.1 原理1.3.2.2 代…

开发运维(DevOps)自动化运维与持续交付企业级实战

一、网站部署流程 1、传统网站部署流程 传统的网站部署,大家在运维过程中,网站部署是运维的工作之一,网站部署的流程大致分为: 需求分析—原型设计—开发代码—提交测试—内网部署—确认上线—备份数据—外网更新-最终测试,如果发现外网部署的代码有异常,需要及时回滚…

[附源码]JAVA毕业设计心理健康系统(系统+LW)

[附源码]JAVA毕业设计心理健康系统(系统LW) 项目运行 环境项配置: Jdk1.8 Tomcat8.5 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术&…

网络安全观察报告恶意软件观察

攻击类型分析 2018 年,主要的攻击类型 1 为 SYN Flood,UDP Flood,ACK Flood,HTTP Flood,HTTPS Flood, 这五大类攻击占了总攻击次数的 96%,反射类攻击不足 3%。和 2017 年相比&…

使用分页导入的方式把大量数据从mysql导入es

1、首先要有分页功能的代码 如何使用mybatis-plus实现分页,可参考 http://t.csdn.cn/ddnlk 2、要创建feign远程调用模块 可以参考 http://t.csdn.cn/gshFw 3、在feign模块中声明远程调用接口 1.在feign模块中创建一个接口,名字可以是你要调用的服务名&…

指定区域内实现多尺度、多维度2D图形随机填充(如圆、椭圆、多边形)之MATLAB实现

N久之前,咱在公众号中分享了如何用MATLAB实现在指定区域内随机填充圆,并将相关功能封装一个名为randCircle函数里面,其可实现的功能如下: (1) 设定是否允许填充圆相交、相切或独立存在 (2) 指定区域内圆的生成个数 (3) 设定是否允…

[附源码]计算机毕业设计基于vuejs的文创产品销售平台appSpringboot程序

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

【面试题】说说 Promise是什么?如何使用

大厂面试题分享 面试题库 前端面试题库 (面试必备) 推荐:★★★★★ 地址:前端面试题库 前言 本文主要介绍和总结Promise的作用、使用方式和其对应的一些方法,供大家参考学习,如有写的不准确的地方欢迎大家指出&a…

Android 使用 jni Demo示例

Android 使用 jni Demo示例简介1. NDK的介绍1.1 NDK 简介1.2 NDK 特点2. JNI介绍2.1 JNI 简介2.2 为什么要有 JNI?3. NDK 与 JNI 的关系NDK下载及环境配置1. 使用Android studio SDK Manager下载2.配置NDK2.1 配置环境变量2.2 Android studio配置NDK示例Demo流程1.版…

RabbitMQ - 安装和使用

RabbitMQ - 安装和使用一. 安装二. RabbitMQ的简单使用2.1 创建交换机2.1.1 交换机类型2.1.2 持久化方式2.2 创建队列2.3 绑定交换机和队列2.4 SpringBoot整合2.5 另外一种监听写法一. 安装 一键安装: docker run -d --name rabbitmq -p 5671:5671 -p 5672:5672 …

rtl8221b+mcu,2.5g光纤收发器的开发备份

1、rtl8221b是一款2.5g的光电转换的phy 系统的构建如下 为了省成本,不用mac来对接其中的gmii接口直接接光模块 2、mdio和mdc由mcu的gpio来模拟,在csdn上有很多的文章来参考 mdio的参数如下 不想看英文可以参考下面的文章 MDIO(clause 22 与 clause 4…