全球疫情蔓延,遠端⼯作與線上活動早已成為⼈們的新⽣活常態。網路駭客絲卻持續為企業組織帶來各種資安威脅,而這其中以巨量規模的分散式阻斷服務攻擊(Distributed Denial of Service, DDoS最受關注。電信級DDoS檢測市場中的領導者,威睿科技每年針對DDoS攻擊活動的趨勢進行調查及統計。
回顧2021年,全球疫情蔓延,遠端⼯作與線上活動早已成為⼈們的新⽣活常態。網路駭客絲卻持續為企業組織帶來各種資安威脅,而這其中以巨量規模的分散式阻斷服務攻擊(Distributed Denial of Service, DDoS最受關注。電信級DDoS檢測市場中的領導者,威睿科技每年針對DDoS攻擊活動的趨勢進行調查及統計,涵括亞太區數個指標性電信運營商網路,針對2021全年度進行持續性的DDoS攻擊資料收集與統計分析。
每個月觀測的攻擊事件,約略在22萬到64萬次之間,以8月份到達最高峰的將近44萬次,以9月份的次數最少約為23萬次。圖片來源:威睿科技
企業數位轉型潮流加速延燒,加上各種新興網路技術如5G、IoT、及區塊鏈等推波助瀾下,不僅⼤幅降低了DDoS攻擊的⾨檻,更提供了駭客更多開闢新戰場的機會。觀察2021年參與本研究的電信運營商透過Genie產品檢測到的DDoS攻擊事件頻率,全年總計約375萬次,此結果和2020年觀測到的數字幾乎相。每個月觀測的攻擊事件,約略在22萬到64萬次之間。逐月攻擊頻率有相當程度的波動,每月成長/衰退幅度(MoM+)約在-50%~+50%之間,平均每月約有31萬次的攻擊,相當於每分鐘就有7次攻擊發生。
攻擊頻率與類型
前五大最常出現的攻擊類型分別為:TCP SYN洪水攻擊,占比25.4%;SSDP反射放大攻擊,占13.0%;NTP反射放大攻擊和UDP洪水攻擊、其他類型攻擊、Malformed UDP封包(埠號為0)分別占比10.6%、12.0%、8.4% 。圖片來源:威睿科技
觀察2021年前五大常出現的攻擊向量(AttackVector),和前一年(2020)的觀測結果完全相同,只有排名和佔比上的稍微改變。的DDoS攻擊事件頻率,前五大最常出現的攻擊類型依次分別為:TCP SYN洪水攻擊,占比30.6%;SSDP反射放大攻擊,占25.4%;NTP反射放大攻擊;占13.0%、UDP洪水攻擊、其他類型攻擊和Malformed UDP封包(埠號為0)。可見TCP SYN洪水攻擊躍升成為最常見的攻擊型態,而SSDP反射放大攻擊和NTP反射放大攻擊的排名也超越UDP洪水攻擊。
SSDP、NTP等反射放大攻擊的攻擊過程中,通常會使得反射伺服器以極大的UDP封包回應攻擊者的虛假請求 (Spoofed IPRequests)。圖片來源:威睿科技
此外,排名第5的Malformed UDP 封包(埠號為0)攻擊流量的形成,經觀察分析發現,主要是反射放大攻擊的伴隨效應。因為在如SSDP、NTP等反射放大攻擊的攻擊過程中,通常會使得反射伺服器以極大的UDP封包回應攻擊者的虛假請求 (Spoofed IPRequests),而這些被利用作為反射放大攻擊的反射伺服器通常會回應以放大倍率(Amplification Factor)極高的大封包。從而造成後續IP片段封包被路由器等識別統計為UDP源/目的埠號圴為0的通訊協定異常封包。因此,MalformedUDP封包攻擊流量常高居第5名,反映出主要攻擊型態為反射放大攻擊的現況。
攻擊時長的分佈
長於1小時的攻擊次數僅佔少數,持續時間往往不只是1個多小時,在統計上大幅拉高整體時長的平均值。圖片來源:威睿科技
統計2021觀測的DDoS攻擊事件,每次攻擊的持續時間平均為62.7分鐘 (約1小時)。將近半數的攻擊事件持續時間都在短於5分鐘內就會結束,約有36%的攻擊事件持續時間都在5到30分鐘之間,而長於1小時的攻擊僅佔全部事件的13%,然而平均攻擊時長卻長達一個小時。雖然長於1小時的攻擊次數僅佔少數,但其持續時間往往不只是1個多小時,部份攻擊甚至持續了數十小時、數日的時間,在統計上大幅拉高整體時長的平均值。
但還是有極大比例的攻擊從出現、產生大規模流量、到攻擊流量結束,時間持續不過短短數分鐘。因此能否在流量巨增之初,就能以最快的時間檢測、告警及處理,將會是對巨量DDoS攻擊防禦的重要關鍵之一。
攻擊規模和趨勢
每個月觀測的攻擊事件,約略在2 Pbps到8 Pbps之間,以11月份到達最高峰的將近8 Pbps,以9月份的次數最少為近2.5 Pbps圖片來源:威睿科技
觀察2021年參與本研究的電信運營商透過Genie產品檢測到的DDoS攻擊事件流量,全年總計約61.7 Peta bps。每個月觀測的攻擊事件,約略在2 Pbps到8 Pbps之間。逐月攻擊頻率有相當程度的波動,每月攻擊流量大小成長/衰退幅度(MoM+)較次數頻率波動更大,約在-70%~+140%之間,平均每月約有5.1 Pbps的攻擊。相當於每分鐘就有 117.4 Gbps的攻擊流量在網路上流竄。
和前一年(2020)檢測到的攻擊流量相比,可以觀察到約有 21%的成長。而相較於在參與本研究的電信運營商檢測到的攻擊次數全年僅有1.3%成長的前提下,在2021年的DDoS攻擊的模式為單次攻擊流量的規模較過去更為巨大。
攻擊類型分佈
前五大攻擊向量類型(Attack Vector)依次分別為:TCP SYN洪水攻擊(30.1)、SSDP反射放大攻擊(25.6%)、MalformedUDP封包(埠號為0)(13.9%)、NTP反射放大攻擊(13.2%)、DNS反射放大攻擊(9.5%)和其他類型攻擊(7.6%)。圖片來源:威睿科技
2021觀測到的DDoS攻擊事件,以攻擊流量的規模統計,前五大攻擊向量類型(Attack Vector)依次分別為:TCP SYN洪水攻擊、SSDP反射放大攻擊、MalformedUDP封包(埠號為0)、NTP反射放大攻擊、DNS反射放大攻擊和其他類型攻擊。由統計結果可以發現,2021年的攻擊流量規模佔比前五名與攻擊頻率佔比前五名極為相似,尤其第一與第二名皆為TCP SYN洪水攻擊及SSDP反射放大攻擊,且其攻擊規模佔比與攻擊頻率佔比幾乎相同。
攻擊大小分佈
統計2021年觀測到的DDoS攻擊事件,單次攻擊的平均峰值大小約17.5 Gbps,單次攻擊峰值大小最多落在1 Gbps到10 Gbps間。
進一步分析不同攻擊類型的單次攻擊規模,發現不同攻擊類型單次攻擊峰值平均規模差異極大。單次攻擊峰值平均規模較大的攻擊類型有IP Protocol錯誤(Null)、Memcached攻擊、反射放大攻擊、Malformed TCP 或UDP封包攻擊等,其單次攻擊平均規模高達50 Gbps以上;而單次攻擊峰值平均規模較小的攻擊類型則有像蠕蟲攻擊及特定協議誤用攻擊等,其單次攻擊一般在數百Mbps的規模。
地理位置分佈
統計攻擊源IP的地理區域,約有24.6%的攻擊來自於中國,美國、日本、香港、新加坡及澳洲加起來占比不到二分之一。圖片來源:威睿科技
觀察2021年檢測到的DDoS攻擊事件,統計攻擊源IP的地理區域,約有24.6%的攻擊來自於中國,其餘高排名地區為美國、日本、香港、新加坡及澳洲等。
這項統計是由攻擊流量的源IP位址去查找攻擊流量的來源國家分佈,但這樣的資訊並不一定真實的「攻擊者位置」。許多的DDoS攻擊會使用假造源位址(Source IP Spoofing)的技巧,以躲避資安防禦技術的追蹤查找。
逐月巨量攻擊趨勢
參與研究的電信運營商2021全年透過Genie產品檢測到的最⼤攻擊事件發⽣在7⽉間,其攻擊流量規模⾼達1.88Tbps,⽽每⽉最⼤攻擊的規模⼀般落於500Gbps⾄1.2Tbps之間。圖片來源:威睿科技
與2020年的觀測結果相比,巨量攻擊在2021年的規模平均成長了約65%,清楚地呈現出DDoS巨量攻擊逐年成長的趨勢。觀察發現巨量攻擊的型態主要多為由UDP反射放大攻擊向量組合而成的混合式攻擊(Multi-vector attack)、或特定類型的反射放大式攻擊向量(SDDP和DNS反射放大攻擊)。此外,不同於以往,我們發現2021年的混合式攻擊,除了UDP的反射放大攻擊外,也常有TCP洪水攻擊的攻擊向量摻雜其中,促成單次攻擊的巨量規模。
從DDoS攻擊觀察報告,除了能瞭解到DDoS攻擊持續不減的威脅頻率外,也能看到攻擊流量規模的快速成長。在網路攻擊與數位科技同步發展的趨勢下,可以預見未來的攻擊數據將持續超越既有的紀錄。產品效能如果無法跟上攻擊規模持續成長的in-line安全解決方案,在面對不斷提升的攻擊流量規模時反而可能成為網路安全的漏洞和突破點。因此,一個能夠全網分散式快速檢測、並完善支援Out-Of-Path (OOP)負戴分散攻擊流量清洗功能的解決方案,對現今DDoS安全防禦更顯重要。
威睿科技(Genie Networks)自2000年成立以來,持續站在電信級IP網路流量分析與DDoS防禦的最前線,以採用智能流量分析技術的OOP解決方案協助數百家世界頂尖的電信網路運營商及企業防禦DDoS攻擊。面對處處是資安風險的後疫情時代,做好防禦刻不容緩,威睿科技將與運營商及企業組織並肩作戰,以領先市場的資安防護解決方案,確保客戶免於各種DDoS威脅,維持服務不中斷。
詳情請上www.genie-networks.com了解更多