業務部內容遞送網路 (CDN) 服務的全球領導廠商 Akamai Technologies, Inc. 發佈「2015 年第三季網際網路現狀 – 安全報告」。本季報告針對全球雲端安全威脅現狀提供分析與見解,如需下載報告,請造訪 http://www.stateoftheinternet.com/security-report.
Akamai 雲端安全事業單位副總裁 John Summers 表示:「分散式阻斷服務 (DDoS) 的攻擊每季不斷增加,本季攻擊量亦持續上升。雖然最近 DDoS 攻擊的時間和範圍平均較為短小,它們仍然導致相當的雲端安全風險。由於受雇型 DDoS (DDoS-for-hire) 網站的盛行,這類網站確認和濫用 SSDP 、 NTP 、 DNS 、 CARGEN 、甚至每日嘉言 (Quote of the Day) 等網路服務,帶動 DDoS 攻擊增加。」
本文目錄
DDoS 攻擊行動一覽
橫跨 Akamai 路由網路的 DDoS 攻擊活動本季躍升 23%,創紀錄達到 1,510 件攻擊,與 2014 年第三季相較成長 180% 。雖然攻擊數量遽增,但平均攻擊時間縮短,平均高峰頻寬和流量也降低。本季大型攻擊 (流量超過 100 Gbps) 的攻擊只有 8 次,低於第二季的 12 次和 2014 年第三季的 17 次。第三季最高頻寬的 DDoS 攻擊 (運用 XOR DDoS 殭屍網路) 達 149 Gbps,低於上一季高峰達 250 Gbps 的 DDoS 攻擊。在這 8 次大型攻擊中,就有 3 次針對媒體娛樂業。
雖然攻擊頻寬縮小,本季攻擊還是創下另一種紀錄。一家媒體娛樂公司遭到破紀錄 222 Mpps 的 DDoS 攻擊,更甚於第二季當時破紀錄的 214 Mpps 攻擊。相較於如此大規模的攻擊,Akamai 在第三季所觀察到的 DDoS 攻擊,平均高峰流量為 1.57 Mbps 。此種攻擊規模足以摧毀由如網際網路服務供應商 (ISP) 等所使用的第一層路由器 (tier 1 router) 。
線上遊戲產業在 2015 年第三季成為 DDoS 攻擊的首要目標,占 DDoS 攻擊數量的 50% 。軟體科技產業次之,占所有攻擊的 25% 。從一年多前開始,線上遊戲產業就一直是攻擊首要目標。
反射式 DDoS 攻擊變得比感染式 DDoS 攻擊普遍。相較於過往花費時間和心力建立與維護 DDoS 殭屍網路,發動 DDoS 攻擊者開始利用各種既有的網路裝置和不安全網路通訊協定。雖然反射式 DDoS 攻擊在 2014 年第三季僅占 DDoS 流量的 5.9%,在 2015 年第三季卻已上升至 33.19% 。
Akamai Edge Firewall 成為 DDoS 攻擊資料的新來源
本季安全報告首次納入 Akamai Edge Firewall 紀錄的攻擊活動,該防火牆是我們全球平台的安全防線。 Edge Firewall 資料讓我們得以宏觀檢視全球平台上的攻擊活動,其攻擊流量資訊來自全球超過 20 萬台採用 Akamai 技術的伺服器。我們認知到前十大 ASN 攻擊流量多來自中國和其他亞洲國家,而位在美國和歐洲的反射器較常運用於分散式。
DDoS 攻擊概覽
與 2014 年第三季相比
- DDoS 攻擊總數增加 66%
- 應用程式層 (第 7 層) DDoS 攻擊增加 74%
- 基礎架構層 (第 3 和 4 層) DDoS 攻擊增加 1%
- 平均攻擊時間減少 65%:18.86 (2015 年第三季) 對 22.36 小時 (去年同期)
- 平均高峰攻擊頻寬下降 58%
- 平均高峰攻擊流量減少 72%
- 反射攻擊增加 44%
- 流量大於 100 Gbps 的攻擊減少 94%:8 (2015 年第三季) 對 17 件 (去年同期)
與 2015 年第二季相比
- DDoS 攻擊總數增加 79%
- 應用程式層 (第 7 層) DDoS 攻擊減少 27%
- 基礎架構層 (第 3 和 4 層) 的攻擊增加 21%
- 平均攻擊時間減少 87%:18.86 (2015 年第三季) 對 20.64 小時 (2015 年第二季)
- 平均高峰攻擊頻寬下降 13%
- 平均高峰攻擊流量減少 67%
- 反射攻擊增加 14%
- 流量大於 100 Gbps 的攻擊減少 33%:8 (2015 年第三季) 對 12 件 (2015 年第二季)
網路應用程式攻擊活動
Shellshock 弱點占 2015 年第二季 HTTPS 網路應用程式攻擊的絕大多數,但第三季卻有所變化,透過 HTTP 和 HTTPS 傳送的網路應用程式攻擊百分比回歸常態 (HTTP 為 88%,HTTPS 為 12%) 。隨著更多網站的標準安全層支援 TLS 流量,透過 HTTPS 傳送的網路應用程式攻擊應該也會增加。而因為應用程式通常透過 HTTPS 存取,所以攻擊者可能試圖使用 HTTPS 滲透後端資料庫
如同 2015 年第二季,本機檔案引入 (LFI) 和 SQL 插入 (SQLi) 攻擊是最普遍的網路應用程式攻擊。零售業為最常受到攻擊的產業,占網路應用程式攻擊的 55%,遠遠領先於第二名金融服務業的 15% 。網路應用程式攻擊非常仰賴殭屍網路,透過不安全的家用路由器和裝置入侵。
WordPress 外掛程式攻擊在第三季亦有所增長,這不僅發生在常見的外掛程式上,也包括較不常見的脆弱外掛程式。
在 2015 年第三季,美國是網路應用程式攻擊的最大來源,占攻擊來源流量的 59%,同時亦是 75% 的網路應用程式攻擊目標。三大攻擊自治系統號碼 (Autonomous System Number; ASN) 都和美國知名雲端服務供應商擁有的虛擬私有系統 (VPS) 有關。每天都有多台雲端虛擬伺服器上線,卻缺乏完善的資安措施,容易遭到入侵,並成為殭屍網路或其他攻擊的平台。
檢視網站擷取程式 (website scraper)
擷取程式是一種特定類型的殭屍病毒,目的是取得、儲存、和分析目標網站的資料,然後出售或使用該資料。搜索引擎就是一種善意的擷取程式,評分計算程式 (rate aggregators) 、代銷營運程式 (resellers) 和搜索引擎最佳化 (SEO) 分析服務也屬此類。本安全報告有一部分特別討論擷取程式並提供簡易辨識方法。
網路應用攻擊概覽
與 2015 年第二季相比
- HTTP 網路應用程式攻擊增加 36%
- HTTPS 網路應用程式攻擊減少 02%
- SQLi 攻擊增加 64 %
- LFI 攻擊增加 73%
- RFI 攻擊增加 55 %
- PHPi 攻擊增加 98%
報告下載
如欲免費下載「2015 年第三季網際網路現狀 – 安全報告」的 PDF 檔案,請至 http://www.stateoftheinternet.com/security-report.