DDoS攻击团伙图鉴

人们对于一般黑客的刻板印象是：单打独斗，神出鬼没。事实上，还有一群黑客团伙作战。

僵尸网络近年来已经成为企业的大敌，宅客频道从绿盟科技发布的《IP团伙行为分析报告》中发现，有这样一群僵尸机“捆绑销售”，常年坚持多渠道僵尸网络活动和 DDoS 攻击，“不抛弃”“不放弃”。

这群团伙中的“C位成员”（仅占攻击者中 2%）以一己之力发起了 20%的攻击，“核心成员”（仅占攻击者中的20%）发起了 80%的攻击，而且全员酷爱反射攻击，特别是大流量攻击。

安全研究者将这样的团体称为“ IP 团伙”。每个 IP 团伙由某个或者一组黑客控制者，因此同一个团伙在不同的攻击中必然会表现出相似的行为。

研究者根据近两年所搜集的 DDoS 攻击数据，推出了《IP团伙行为分析》，希望通过研究团伙的历史行为建立团伙档案，以便更准确地描述其背后一个或多个攻击控制者的行动方式，同时更有效地防御这些团伙未来可能发起的攻击，防患于未然。

攻击者

IP团队规模：千人团体占主导

下图展示了 IP 团伙规模的分布情况。大多数团伙成员不到1000人，但也有一个团伙的成员高达26000多人。

▲图1 IP团伙规模

20/80法则，到哪里都适用

下图展示了各团伙发起的 DDoS 攻击事件的数量，按事件次数统计。毫不意外，大约 20％的团伙发起了 80％的攻击。

▲图2 攻击总次数（按各团伙攻击统计）

团伙最长总攻击时长超过 13“年”

下图展示了同一团伙所有成员的总累计攻击时长的分布情况。有些团伙的总攻击时长高达 5000 多天（ ＞13“年”），但多数团伙不到 1000 天。

▲图3 团伙总攻击时长

更少的团员、更多攻击次数、更大攻击流量

人们一般觉得较大的团伙会发动较多攻击时间，且产生的攻击总流量也较大，但事实并非如此。

如下图所示，与更大规模的 IP 团伙相比，拥有较少成员的团伙可能会发动更多攻击并发出更多攻击流量。这说明，特定团伙中的攻击者可能拥有更多渠道可以利用。

下图展示了按总流量排名的前 10 个团伙，攻击总流量以不同大小的橙色气泡表示。

▲图4 团伙规模、攻击次数及攻击总流量对比

如上图所示，发动攻击次数最多（> 50K）的团伙仅拥有 274 名成员，超过了所有其他团伙，而最大的气泡（即攻击总流量最大）对应的团伙攻击次数竟然较少（<10K）。

攻击类型

NTP反射攻击由于出色的放大性能，在大流量攻击中最常使用。SYN Flood攻击方法较为简单，使用较为广泛。这两种攻击再加上UDP Flood和SSDP反射攻击构成了最主要的攻击类型。

▲图5 攻击类型与攻击总流量

在混合攻击中，UDP flood是常用的一种攻击方式。下图展示了某一团伙采用的攻击方法，该团伙大多仅采用一种攻击方法（92.8%），在混合攻击中，75%的采取了两种攻击方法，4%的采取了四种方法。

▲图6 混合攻击中各种攻击方法的组合（某一攻击团伙）

▲图7 混合攻击中各种攻击方法的组合（某一攻击团伙）

反射攻击，特别是大流量攻击，是各团伙最青睐的攻击方法。从触发较大流量的能力来看，NTP 反射攻击是一种更为强大的 DDoS 攻击。从攻击事件数量角度看，DNS 反射攻击占比较大，占全部反射型攻击的 57%。

▲图8 反射攻击流量与次数（某一攻击团伙）

   流量峰值：IP 团伙攻击的最大“潜力”

   流量峰值的整体分布

根据统计大多数IP团伙的流量峰值都超过了2 Tbps，流量峰值（Tbps）是衡量某一团伙的攻击能力和恶意程度的关键参数，反映了攻击团伙对目标的最大攻击能力。

▲图9 IP团伙的流量峰值分布（按IP团伙统计）

    单个团伙的攻击流量峰值

各团伙通常并未完全发挥其潜力，了解它们的能力极限对于规划防御非常重要。通过对某个团伙两个季度流量峰值的对比，我们发现该团伙最大攻击流量峰值比日常攻击流量高出很多倍，当其潜力完全释放出来时，破坏力是惊人的。

▲图10 单一攻击的流量峰值趋势（某一攻击团伙）

十大攻击团伙

绿盟科技统计了 2018 年 1 至 9 月期间的攻击流量，总结了排名前十的 IP 团伙的流量峰值起伏变化，最大流量峰值和平均流量峰值表示 IP 团伙的攻击能力和攻击时长，反映了这些团伙的攻击活跃程度。

▲图11 十大攻击团伙的流量峰值

报告全文下载地址：http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/。