2015年下半年云盾互联网DDoS状态和趋势概述.docxVIP

2015年下半年云盾互联网DDoS状态和趋势报告1 执行摘要2015年初，阿里云云盾推出国内第一家按量使用（可按天计费）的DDoS高防服务，同时也是国内第一个防御能力可弹性动态扩展的云安全服务正式上线。在2015年Q3季度，高防服务有效化解某用户遭受的350万QPS的CC攻击（相当于70万肉鸡同时访问）。在2015年“1105”事件中，云盾成功防御了攻击者的海量HTTPS SSL/CC攻击，峰值达到95万 QPS，这是迄今为止全球有统计数据的最大的HTTPS SSL/CC攻击。云盾对超大规模攻击的成功防御，展示了其独一无二的防御能力。在2015年下半年，阿里云安全团队共监控到DDoS攻击事件超过10万次，较2015年上半年攻击事件增加了32%。其中流量达到300Gbps以上的攻击次数达到66次。相对于2015年上半年，环比增加127%。阿里云云盾防御的最大攻击峰值流量为477Gbps，创造了2015年度云盾DDoS防御的新高，同时超越了2014年同期云盾创造的峰值为453.8Gbps的互联网DDoS攻击防御记录。从被攻击者的行业分布来看，游戏行业仍旧是DDoS攻击的重灾区，也是大流量攻击的主要对象。从绝对数量来看，针对互联网金融行业和电商行业的DDoS攻击并非突出，但是由于严酷的行业竞争环境，DDoS威胁却尤为显著。攻击者的攻击目标明确，手段恶劣，倾向选择被害者举办重大商业活动期间发起攻击。?从DDoS攻击手段上来说，TCP flood和UDP flood仍旧是最主要的网络层威胁。与此同时，应用层HTTP/CC攻击威胁显著提升，尤其需要关注HTTPS SSL/CC攻击。阿里云是国内最大的公共云计算服务提供商。阿里云云盾Anti-DDoS服务具备Tb级别的防御带宽和攻击检测能力，防御的背后是阿里云大数据分析系统，PB级日数据处理和万亿量级会话分析能力。云盾几十个清洗集群遍布全国，保护了中国30%的网站。阿里云安全团队依托阿里云云盾系统为用户提供四到七层的所有类型的DDoS攻击防护服务。阿里云安全团队通过对阿里云云计算服务平台、互联网用户和阿里集团系统的安全防护，以及对网络攻击持续的分析与研究，发布2015下半年云盾互联网DDoS状态和趋势报告。2 核心发现发现1：?2015年下半年DDoS攻击事件频发，超过10万次，较上半年增加32%。大流量攻击事件越来越多，相对于2015年上半年，峰值超过300Gbps的DDoS攻击事件数量环比增加127%，最大DDoS攻击峰值流量达到477Gbps;发现2：UDP Flood和 TCP Flood仍旧是网站的最大威胁。从另一方面来说，随着越来越多的网站追求数据的安全性采用HTTPS协议进行流量传输，网站遭受到HTTPS CC攻击的事件数量随之上升。由于对HTTPS协议的处理相对HTTP会占用消耗的资源，因此无论是网站运营者还是安全服务商在面对HTTPS CC资源消耗型攻击时，防护能力与效果会面临巨大挑战。发现3：游戏和互联网金融行业是DDoS攻击的重灾区，攻击背后的动机多以商业竞争和敲诈勒索为主。重大商业活动期间成为DDoS攻防的关键时刻。发现4：攻击持续时间在1小时内的攻击数量超过总数的80%，说明攻击者更倾向在短时间内达到攻击的目标，而不是长时间持续攻击。这也使得“首小时防御”（First-Hour Defense）显得非常关键。发现5：阿里云安全团队预测，在2016年可能会发生流量在800Gbps－1TGbps之间的攻击事件。以商业竞争或敲诈勒索为背景的DDoS攻击威胁形势仍将严峻。游戏仍旧是DDoS事件高发行业。来自移动终端APP的应用层的DDoS攻击将迅速崛起。3 分析与趋势3.1 攻击类型分布从攻击类型的分析来看，网络层（Layer－4）DDoS攻击中利用UDP协议发起洪水攻击的比例占到四分之一。在2015年Q4，UDP洪水攻击比例环比大幅下降，TCP洪水攻击数量上升。阿里云安全团队分析，由于互联网大量存在UDP协议漏洞的设备，使得UDP洪水仍旧占据最大的比例。同时，TCP洪水攻击的门槛低，工具丰富，操作方便，成本低，深受黑客喜爱。此外，SYN Flood攻击同样值得关注，SYN Flood自身也在不断发展，例如增加Payload大小等方式，可以提高攻击的效率。图3-1 网路层DDoS攻击分类CC攻击的数据可以发现大部分的攻击还是用HTTP GET 的方式。图3-2 ? CC攻击分类3.2 攻击事件在2015年下半年，共发生104,692起DDoS攻击事件。图3-3 ?攻击事件月度变化从攻击事件的变化趋势来看，仍维持了下半年DDoS攻击多发的威胁态势。较2015年上半年，攻击事件增加了32%。图3-4 ?攻击事件趋势3.3 攻击来源分布在2015年下半年，来自国内（包含港澳台地区