最近幾個月發生的大規模勒索軟件和DDoS（分布式拒絕服務）攻擊活動，破壞了世界各地的關鍵基礎設施，包括美國最大石油管道系統運營商Colonial Pipeline及全球最大肉類加工商JBS。今年5月份，比利時超過200個組織，包括政府和議會網站和其他服務，也遭到了DDoS攻擊。

　　Kaspersky發布的2021年第二季度DDoS攻擊態勢分析報告指出，第二季度相對比較平靜，與上一季度相比DDoS攻擊總數略有下降，預計這一趨勢會持續到第三季度。此外，第二季度DDoS攻擊持續的時間也接近常態，不同時期之間的波動幅度不超過30%。第二季度遭到DDoS攻擊最多的是美國（36%），其次是中國（10.28%）和波蘭（6.34%）。DDoS攻擊最活躍的一天是6月2日，發生了1164次攻擊；最長的一次攻擊持續了776小時（超過32天）；60%的DDoS攻擊使用了UDP泛洪；僵尸網絡C&C服務器最多的是美國（47.95%）。

　　7月4日，當美國大部分地區在慶祝獨立日時，數百家美國公司遭到勒索攻擊，要求支付7000萬美元的比特幣。俄羅斯勒索軟件組織REvil的攻擊者利用IT管理軟件Kaseya中多個以前未知的漏洞進行攻擊，攻擊目標包括學校、小型公共部門機構、旅游和休閑組織以及信用社等。雖然勒索軟件和勒索DDoS的威脅并不新鮮，但最新的網絡攻擊包括針對釀酒廠、專業運動隊、渡輪服務和醫院等，已經成為影響人們日常生活的重大事件。而最近發生的攻擊事件，更是將勒索軟件和DDoS攻擊推到了美國總統拜登的國家安全議程的首位。

　　Kaspersky在2021年第二季度觀察到的DDoS攻擊趨勢，反映了全球網絡威脅的整體格局。

　　一、事件概述

　　就重大事件而言，2021年第二季度相對平靜，但并非完全沒有事件發生。例如，四月出現了一種名為Simps的新型DDoS僵尸網絡活躍傳播，惡意軟件的創造者在一個專門設置的YouTube頻道和Discord服務器上宣傳他們的想法，并在那里討論DDoS攻擊。Simps的實際DDoS功能并非原創，代碼與Mirai和Gafgyt僵尸網絡重疊。

　　Gafgyt不依賴于原創性，由Uptycs檢測到的新變體中的少數模塊都是從最廣泛的僵尸網絡Mirai借來的。Gafgyt的作者復制了其各種DDoS方法，如TCP、UDP和HTTP泛洪，以及通過Telnet協議攻擊物聯網設備的暴力功能。

　　本季度發現的ZHtrap僵尸網絡利用了Mirai的代碼作為基礎。該惡意軟件利用受感染的設備作為蜜罐，從而備受關注。ZHtrap首先收集攻擊該trap的設備的IP地址，然后再嘗試攻擊該設備本身。

　　最近，網絡犯罪分子一直在積極尋找新的服務和協議來放大DDoS攻擊，2021年第2季度也不例外。7月初，Netscout研究人員報告稱，使用NAT會話遍歷實用程序（STUN）協議的攻擊有所增加。該協議用于將隱藏在NAT后面的主機的內部IP地址和端口映射到外部IP地址和端口。利用該協議，攻擊者能夠將垃圾流量增加2.32倍，與其他攻擊向量結合，DDoS功率達到2TB/s。此外，劫持用作反射器的STUN服務器可以禁用其主要功能。使用STUN的組織應該確保他們的服務器免受此類攻擊。全世界有超過75,000臺易受攻擊的服務器。

　　另一種新的DDoS載體尚未被網絡罪犯利用，它與DNS解析器中的一個漏洞有關，該漏洞允許對權威DNS服務器進行放大攻擊，這個漏洞被命名為TsuNAME。其工作原理如下：如果配置錯誤導致某些域的DNS記錄相互指向，解析程序將無休止地將請求從一個域轉發到另一個域，從而顯著增加其DNS服務器上的負載。此類錯誤可能是偶然發生的，2020年初，兩個配置錯誤的域名導致新西蘭域名區權威DNS服務器上的流量增加50%，而歐洲域名區的類似事件導致流量增加10倍。如果攻擊者創建多個相互指向的域，則問題的規模將大得多。

　　對DNS服務器的攻擊是危險的，因為無論DNS服務器的規模和DDoS保護級別如何，它們所服務的所有資源都將變得不可用。2016年，DNS提供商Dyn遭受攻擊，導致80多家主要網站和在線服務癱瘓，就很好地說明了這一點。為了防止TsuNAME漏洞帶來同樣的毀滅性后果，研究人員建議權威服務器的所有者定期識別并修復他們域內的此類配置錯誤，并建議DNS解析器的所有者確保檢測和緩存循環請求。

　　四月初的DNS泛濫擾亂了Xbox Live、微軟Teams、OneDrive和其他微軟云服務的運營。盡管處理大多數服務域名的Azure DNS服務擁有防止垃圾流量的機制，但一個未命名的編碼錯誤意味著它無法處理請求流。合法用戶徒勞地試圖訪問無響應的服務，使情況更加惡化。然而，微軟很快修復了這個漏洞，這些服務也很快就重啟并運行起來。

　　另一場大規模DDoS攻擊席卷了比利時，攻擊了Belnet和其他ISP。全國各地的用戶都經歷了服務中斷，BE域區域中的網站暫時不可用。垃圾流量是從全球29個國家的IP地址發送的，正如Belnet指出的，攻擊者不斷改變策略，使得攻擊極難阻止。它迫使比利時議會推遲了幾次會議，而教育機構在遠程教育方面遇到了問題，運輸公司STIB也同樣在售票方面遇到了問題。

　　新冠疫苗接種的在線登記系統也受到影響。法國格勒諾布爾-阿爾卑斯大都會委員會也不得不暫停會議數小時。一場涉及約6萬個機器人的DDoS攻擊使得現場直播無法進行。

　　總體而言，DDoS勒索軟件攻擊勢頭持續增長。一個以喜歡偽裝成各種APT組織而聞名的網絡犯罪組織又一次上了新聞，這次是用一個虛構的名字“Fancy Lazarus”，由Lazarus和Fancy Bear兩個組織的名字組成。雖然網絡犯罪組織的攻擊遍布世界各地，但Fancy Lazarus的受害者主要在美國，贖金的規模也從10-20比特幣降至2比特幣。

　　Avaddon勒索軟件運營商也試圖通過DDoS攻擊來恐嚇受害者。5月初，垃圾郵件淹沒了澳大利亞Schepisi Communications公司的網站。該組織與澳大利亞主要供應商Telstra合作，代表Telstra銷售SIM卡和云服務。同月晚些時候，該領域最大的保險公司之一法國安盛保險（AXA）也成為Avaddon的受害者。就像Schepisi Communications的情況一樣，網絡犯罪分子除了從其多個分支機構加密和竊取數據外，還對其網站進行了DDoS攻擊。在6月份發生了一系列毀滅性攻擊后，勒索軟件開發者宣布退出。

　　今年5月，愛爾蘭衛生服務管理局（HSE）受到DDoS攻擊。如果不是緊接著出現了Conti勒索軟件的入侵，這些攻擊就不會那么引人注目了。目前尚不清楚這些事件是否存在關聯，但勒索者可能利用DDoS作為掩護，滲透該公司的網絡并竊取數據。

　　對教育機構的攻擊在第二季度繼續發生。例如，攻擊者迫使馬薩諸塞州的阿格瓦姆公立學校關閉了其訪客網絡，以保護主網絡。這意味著只有學校發放的設備才能接入互聯網。

　　在本報告所述期間，視頻游戲也沒有逃過攻擊。Titanfall和Titanfall 2服務器在4月和5月遭遇了與DDoS相關的宕機。

　　二、季度趨勢

　　正如預期的那樣，2021年第二季度表現平靜。與上一季度相比，DDoS攻擊的總數略有下降。這種下降通常與假期開始有關，這一趨勢將持續到第三季度，預計今年不會有任何變化。

　　圖1 2021年Q1及Q2、2020年Q2的DDoS攻擊次數對比

　　請注意第二季度智能DDoS攻擊的異常持續時間。這是由于對執法資源進行了幾次異常長時間的攻擊，盡管攻擊力度不太大。但是這些攻擊與任何引人注目的事件之間沒有任何關聯。在樣本中排除這些攻擊后，DDoS持續時間數據更接近正常值，不同時間段的相對波動不超過30%。

　　在第二季度，超過97%的DDoS攻擊持續時間不到一個小時。短時間爆發式攻擊可能會試圖在DDoS檢測系統未檢測到的情況下造成損害。依賴手動分析和緩解的DDoS服務可能被證明對這些類型的攻擊毫無用處，因為它們在分析師甚至識別攻擊流量之前就已經結束。

　　或者，可以使用短攻擊來探測目標的網絡防御。例如，在暗網上廣泛使用的負載測試工具和自動化DDoS工具可以產生短時間的SYN泛洪爆發，然后使用不同的攻擊向量進行另一個短攻擊。這允許攻擊者在決定以更大的速度和更長的時間發動更大規模的攻擊之前了解目標的安全態勢。

　　在其他情況下，攻擊者會進行小規模的DDoS攻擊，以證明和警告目標組織攻擊者以后造成實際破壞的能力。之后通常會向目標組織發送勒索郵件，要求支付贖金，以避免遭受可能更徹底地破壞網絡基礎設施的攻擊。

　　這凸顯了對始終在線的自動化DDoS保護方法的需求。依賴于手動重新路由、分析和緩解的DDoS保護服務可能會被證明對這些類型的攻擊毫無用處，因為它們在分析師甚至可以識別攻擊流量之前就已經結束了。

　　圖2 2021年Q1及Q2，2020年Q2的DDoS攻擊持續時間

　　三、攻擊向量

　　攻擊向量是用來描述攻擊者試圖引起拒絕服務事件所使用的方法的術語。正如之前所觀察到的，利用SYN泛洪和基于UDP協議的攻擊仍然是攻擊者最常用的方法。

　　什么是SYN泛洪攻擊？這是一種利用TCP協議基礎的DDoS攻擊。客戶端和服務器之間的有狀態TCP連接以3次TCP握手開始。客戶端發送帶有同步標志（SYN）的初始連接請求分組。服務器使用包含同步確認標志（SYN-ACK）的數據包進行響應。最后，客戶端使用確認（ACK）數據包進行響應。此時，連接已建立，并且可以交換數據，直到連接關閉。攻擊者可能會濫用此有狀態進程來導致拒絕服務事件。

　　通過反復發送SYN數據包，攻擊者試圖覆蓋跟蹤TCP連接狀態的服務器或路由器連接表。路由器使用SYN-ACK數據包進行應答，為每個給定連接分配一定數量的內存，并錯誤地等待客戶端使用最終ACK進行響應。如果有足夠數量的連接占用路由器的內存，路由器將無法為合法客戶端分配更多內存，從而導致路由器崩潰或阻止其處理合法客戶端連接，即拒絕服務事件。

　　四、統計分析

　　本報告包含了2021年第二季度的DDoS攻擊統計數據。在本報告中，只有在僵尸網絡活動周期之間的間隔不超過24小時的情況下，一次事件才被計算為一次DDoS攻擊。例如，如果同一Web資源被同一僵尸網絡攻擊，且攻擊時間間隔為24小時或以上，則視為兩次攻擊。來自不同僵尸網絡但針對同一資源的Bot請求也被視為單獨的攻擊。本報告中DDoS攻擊的唯一目標數按季度統計中的唯一IP地址數計算。

　　1、DDoS攻擊地理分布

　　與網絡層攻擊不同，HTTP攻擊不能欺騙源IP。某一特定國家的DDoS活動率高，表明大型僵尸網絡從其內部運行。2021年第二季度的數據顯示，美國和中國的組織是HTTP DDoS攻擊的最大目標。事實上，每200個發往美國的HTTP請求中就有一個是DDoS攻擊的一部分。

　　第二季度遭到DDoS攻擊最多的是美國（36%），其次是中國（10.28%）和波蘭（6.34%）。DDoS攻擊最活躍的一天是6月2日，發生了1164次攻擊；最長的一次攻擊持續了776小時（超過32天）；60%的DDoS攻擊使用了UDP泛洪；僵尸網絡C&C服務器最多的是美國（47.95%）。

　　圖3 2021年Q1及Q2的DDoS攻擊國家分布

　　2、DDoS攻擊數量

　　如上所述，第二季度相對平靜。平均而言，每天的DDoS攻擊數量在500到800之間波動。在報告期內最安靜的一天即4月18日，只觀察到60次攻擊。在另外兩天，即6月24日和25日，攻擊次數不足200次。盡管如此，第二季度還是遭遇了1000多起DDoS攻擊。例如，在4月13日觀察到1061起攻擊，在6月2日觀察到1164起。

　　圖4 2021年Q2的DDoS攻擊數量

　　3、DDoS攻擊持續時間及類型

　　第二季度，DDoS攻擊的平均持續時間與上一季度相比幾乎沒有變化，為3.18小時，而第一季度為3.01小時。此外，持續時間小于4小時的極短攻擊的比例（從91.37%上升到93.99%）、長攻擊的比例（從0.07%上升到0.13%）和超長攻擊的比例（從0.13%上升到0.26%）都有小幅上升。相比之下，最大攻擊持續時間繼續增加。第一季度最長的攻擊是746小時（超過31天），第二季度更是達到了776小時（超過32天）。

　　從攻擊類型的分布來看，UDP泛洪在第二季度顯著增加，SYN泛洪（23.67%）在2021年之前一直是最常見的DDoS類型，本季度它與TCP泛洪（13.42%）互換位置，位列第二。

　　圖5 2021年Q2的DDoS攻擊類型分布

　　4、僵尸網絡地理分布

　　第二季度，僵尸網絡C&C服務器90%位于10個國家。其中美國所占比例最大（47.95%），較上一季度增加了6.64個百分點。

　　第二是德國（12.33%），第三是荷蘭（9.25%）。法國（4.28%）保持第4位，其次是加拿大（3.94%）。

　　5、物聯網蜜罐攻擊

　　在2021年第二季度，研究分析了哪些國家的機器人和服務器正在攻擊物聯網設備，以期擴大僵尸網絡。這涉及到研究物聯網蜜罐上Telnet和SSH攻擊的統計數據。本季度發起SSH攻擊的設備最多的國家是中國（31.79%）。第二位是美國（12.50%），第三位是德國（5.94%）。然而，通過SSH的大部分攻擊源自愛爾蘭（70.14%）和巴拿馬（15.81%），這兩個國家的機器人數量相對較少。這可能表明，在這些國家的攻擊設備中，有強大的服務器能夠同時感染全球多臺設備。

　　第二季度，攻擊Telnet陷阱的機器人的是中國（39.60%）。此外，許多機器人位于印度（18.54%）、俄羅斯（5.76%）和巴西（3.81%）。這些攻擊大多源自這些國家，唯一的區別是俄羅斯（11.25%）和巴西（8.21%）的機器人活動高于印度（7.24%），而中國（56.83%）占所有Telnet蜜罐攻擊的一半以上。

　　五、結論

　　DDoS市場在去年的動蕩后繼續穩定。正如預期的那樣，2021年第二季度呈現出傳統的夏季低迷。除了一些異常的長時間攻擊，以及DDoS地理位置的變化外，第二季度表現平平。

　　Kaspersky分析認為2021年第三季度DDoS市場沒有大幅上漲或下跌的理由。與以前一樣，市場將嚴重依賴加密貨幣價格，盡管相對于春季峰值有所下降，但價格一直居高不下。1個比特幣價值3萬-3.5萬美元，少于幾個月前，但仍然是一個相當可觀的數字。由于加密貨幣的價格仍然具有吸引力，DDoS市場預計不會增長。