Ortalama bir bilgisayar korsanı için insanların stereotipi şudur: yalnız gidin, gözden uzak olun. Aslında, savaşan bir grup hacker grubu da var.
Bot ağları, son yıllarda işletmelerin büyük bir düşmanı haline geldi. Lei Feng'in ev konuk kanalı NSFOCUS tarafından yayınlanan "IP Çete Davranışı Analizi Raporu" ndan "paketlenmiş ve satılan" bir grup bot olduğunu keşfetti. DDoS saldırıları, "pes etmeyin" veya "pes etmeyin".
Bu gruptaki "C üyeleri" (saldırganların yalnızca% 2'si) saldırıların% 20'sini kendi başlarına başlattı ve "çekirdek üyeler" (saldırganların yalnızca% 20'si) saldırıların% 80'ini başlattı. , Ve herkes yansıma saldırılarını, özellikle büyük trafik saldırılarını sever.
Güvenlik araştırmacıları bu tür gruplara "IP Zinciri-Çetesi" adını verir. Leifeng.com, her IP grubunun belirli bir hacker veya bir grup hacker tarafından kontrol edildiğini öğrendi, bu nedenle aynı grup kaçınılmaz olarak farklı saldırılarda benzer davranışlar sergileyecektir.
NSFOCUS, son iki yılda toplanan DDoS saldırı verilerine, birden fazla IP grubuna ve grup davranışlarını araştırmasına dayanarak, daha doğru olmak için grubun geçmiş davranışını inceleyerek bir grup dosyası oluşturmayı umarak "IP Grup Davranışı Analizi" ni başlattı. Arkasındaki bir veya daha fazla saldırı denetleyicisinin eylemlerini tanımlayın ve aynı zamanda bu grupların başlatabileceği gelecekteki saldırılara karşı daha etkili bir şekilde savunma yapın, sorunları oluşmadan önleyin.
Aşağıdaki şekil IP gruplarının dağılımını göstermektedir. Çetelerin çoğunun 1000'den az üyesi var, ancak 26.000'den fazla üyesi olan bir çete de var.
Şekil 1 IP grup ölçeği
Aşağıdaki şekil, olay sayısına göre sayılan her bir grup tarafından başlatılan DDoS saldırılarının sayısını göstermektedir. Şaşırtıcı olmayan bir şekilde, grupların yaklaşık% 20'si saldırıların% 80'ini başlattı.
Şekil 2 Toplam saldırı sayısı (her grup saldırısının istatistiklerine göre)
Saldırı sayısı
Aşağıdaki şekil, aynı çetenin tüm üyelerinin toplam kümülatif saldırı süresinin dağılımını göstermektedir. Bazı grupların toplam saldırı süresi 5.000 günden fazladır (> 13 "yıl"), ancak çoğu grubun 1.000 günden az zamanı vardır.
Şekil 3 Grubun toplam saldırı süresi
İnsanlar genellikle daha büyük grupların daha fazla saldırı zamanı başlatacağını ve daha fazla saldırı trafiği oluşturacağını düşünüyor, ancak durum böyle değil.
Aşağıdaki şekilde gösterildiği gibi, daha az üyesi olan bir grup, daha büyük ölçekli IP gruplarına göre daha fazla saldırı başlatabilir ve daha fazla saldırı trafiği gönderebilir. Bu, belirli bir gruptaki saldırganların kullanacak daha fazla kanala sahip olabileceğini gösterir.
Aşağıdaki şekil toplam trafiğe göre sıralanmış ilk 10 grubu göstermektedir: Toplam saldırı trafiği, farklı boyutlardaki turuncu baloncuklarla temsil edilmektedir.
Şekil 4 Çete boyutu, saldırı sayısı ve toplam saldırı trafiğinin karşılaştırılması
Yukarıdaki şekilde gösterildiği gibi, en çok saldırı başlatıldı ( > 50K) grubun yalnızca 274 üyesi vardır, diğer tüm grupları geride bırakır ve en büyük balon (yani, en büyük toplam saldırı trafiği) grup saldırılarının sayısına karşılık gelir (
NTP yansıma saldırıları, mükemmel amplifikasyon performansları nedeniyle en yaygın olarak büyük trafik saldırılarında kullanılır. SYN Flood saldırı yöntemi nispeten basittir ve yaygın olarak kullanılmaktadır. Bu iki tür saldırı, UDP Flood ve SSDP yansıtma saldırıları ile birlikte en önemli saldırı türlerini oluşturmaktadır.
Şekil 5 Saldırı türleri ve toplam saldırı trafiği
Hibrit saldırılarda, UDP flood yaygın olarak kullanılan bir saldırı yöntemidir. Aşağıdaki şekil, belirli bir grup tarafından kullanılan saldırı yöntemini göstermektedir: Grubun çoğu yalnızca bir saldırı yöntemi kullanmıştır (% 92,8) Karma bir saldırıda,% 75'i iki saldırı yöntemi ve% 4'ü dört yöntem benimsemiştir.
Şekil 6 Bir hibrit saldırıda (bir saldırı grubu) çeşitli saldırı yöntemlerinin kombinasyonu
Şekil 7 Bir hibrit saldırıda (bir saldırı grubu) çeşitli saldırı yöntemlerinin kombinasyonu
Yansıma saldırıları, özellikle yüksek trafikli saldırılar, çeşitli grupların en popüler saldırı yöntemidir. Daha büyük trafiği tetikleme yeteneği açısından, NTP yansıtma saldırıları daha güçlü bir DDoS saldırısıdır. Saldırıların sayısı açısından bakıldığında, DNS yansıtma saldırıları, tüm yansıtma saldırılarının% 57'sini oluşturan nispeten büyük bir oranı oluşturmaktadır.
Şekil 8 Yansıyan saldırı trafiği ve süreleri (bir saldırı grubu)
İstatistiklere göre, çoğu IP grubunun zirve trafiği 2 Tbps'yi aşıyor Tepe trafiği (Tbps), bir grubun saldırı kabiliyetini ve kötülüğünü ölçmek için anahtar bir parametredir ve saldıran grubun hedef üzerindeki maksimum saldırı kapasitesini yansıtır.
Şekil 9 IP gruplarının en yüksek trafik dağılımı (IP gruplarına göre istatistikler)
Gruplar genellikle tam potansiyellerine ulaşmazlar ve yeteneklerinin sınırlarını anlamak savunmaları planlamak için çok önemlidir. İki çeyrekte belirli bir grubun en yoğun trafiğini karşılaştırarak, grubun maksimum saldırı trafiği tepe noktasının günlük saldırı trafiğinden kat kat daha yüksek olduğunu gördük.Potansiyel tamamen açığa çıktığında, yıkıcı güç inanılmaz.
Şekil 10 Tek bir saldırının trafik tepe eğilimi (belirli bir saldırı grubu)
NSFOCUS, Ocak-Eylül 2018 arasındaki saldırı trafiğini sayar ve ilk on IP grubunun en yoğun trafik dalgalanmalarını özetler. Maksimum trafik tepe noktası ve ortalama trafik tepe noktası, IP grubunun saldırı kapasitesini ve bunları yansıtan saldırı süresini gösterir. Çetenin saldırılarının aktivite seviyesi.
Şekil 11 İlk on saldırı grubunun trafik zirveleri
Lei Feng'den bir not: Raporun tam metni adresinden indirilebilir.