DDoS 攻击再次加剧。Pbot 恶意程序仅利用 400 台僵尸就能发动高达 75 G 流量的攻击； Miria 采用 Pay-for-Play 模式，走向商业化，这都加剧了 DDoS 的威胁。具体的分析报告表明，DDoS 攻击的数量有所增加，整体趋势呈现出频率加快，单次攻击规模减小的特征。 [出自:jiwo.org]

近日，知名内容分发网络（CDN）和云服务提供商 Akamai Technologies 发布了《 2017 Q2 互联网安全现状报告》。 Akamai 对其全球 130 多个国家超过 233000 台服务器的网络中检测到的攻击数据进行分析，并在报告中记录了分析结果。结果显示，与第一季度相比，第二季度的 DDoS 攻击数目增加了约 28% ，而在 Q2 之前的三个季度， DDoS 的数量呈下降趋势。

主要发现

基础设施层面（第三层、第四层）的攻击增加了 27%；反射类攻击增加了 21%；每个目标遭受的平均攻击数目增加了 28%。游戏网站是攻击者最喜欢的目标，在 Akamai 检测到所有 DDoS 攻击中，游戏网站受到的攻击占 81%。

2017 Q1 与 Q2 DDoS 攻击的行业分布对比

Q2 期间，每个目标遭受的平均攻击数目增加到了 32 次，其中某游戏网站遭到了 558 起攻击，相当于平均每天遭到 6 次攻击。

2016 Q4 季度，大规模 DDoS 攻击频发；与之相比，目前的趋势则是较小规模的 DDoS 攻击增多。攻击者重新青睐旧的攻击手段：Marai 僵尸网络越来越常用； Pbot 恶意程序也开始回归，这个恶意程序所产生的迷你 DDoS 僵尸网络能利用 400 台 bot 发动 75Gbps 流量的攻击（算是本季度最高的记录）。Pbot 可以感染 web 服务器，与 Mirai 感染大量小型 IOT 设备所产生的流量相比，Pbot 感染 web 服务器后，可以让每台僵尸产生的更多流量。

我们知道大规模 DDoS 攻击是可行的，但小规模的 DDoS 攻击是否会成为趋势？攻击者们是否已经开始采用更微小、更精准的攻击去避免关注和检测？

关于 Mirai

Mirai 攻击的传播特性加剧了 DDoS 的增长趋势。在 2016 年秋季，Akamai 也是第一批遭到 Mirai 攻击的目标，此后便不断成为攻击目标。由于长期遭受 Mirai 攻击，Akamai 便对其进行了深入研究。

Akamai 检测到的 Mirai 攻击目标分布

很多人都认为 Mirai 是单一的大规模僵尸网络。但 Akamai 认为，Mirai 事实上更类似于一群群小规模的 bot 和 C&C 服务器。分析了不同 Mirai C&C 服务器的一位分析师表示，Mirai 僵尸网络中不同的组成部分攻击不同的目标，其中一些 C&C 攻击大量不同目标，另一些集中攻击一个目标。

至少有一个僵尸网络的运营者提供 bot 出租服务；这也许是一些僵尸网络会攻击数量庞大的 IP 地址的原因。

Akamai 表示将继续研究并分析 Mirai。就目前的情形来看，Mirai 似乎促成了 DDoS 的商业化。大量来自单一 C&C 的攻击可以被归类为“付费（pay-for-play）”攻击，其特点是在短时间内集中攻击某些 IP，而后休眠，之后又重新出现，去攻击新的目标。

DNS 流量可用于检测潜在的恶意感染

自 2008 年的 Conficker 以来，恶意程序就使用 DGA （域生成算法）隐藏 C&C 服务器设施。这些 DGA 每天生成许多随机 IP 地址，攻击者只需从中选择想要的域名并“及时”注册，并在用完后丢弃，就能避开追踪。恶意程序本身也不知道哪个 IP 地址是可以连接的正确地址，所以会逐个验证去找到正确的地址。

Akamai 分析了超过 250 万个连接到其服务器的网络中的流量，其中 140 个感染了恶意程序。“在研究恶意程序每小时访问的平均特定域数目时，发现被感染网络的恶意程序访问次数比未感染的网络恶意程序访问次数高出近 15 倍。”这是因为恶意程序试图访问 DGA 随机生成的 IP 地址，“因为随机生成的大部分域都未被注册，恶意程序在访问它们时会造成大量干扰。”

因此，DNS 监测就有可能成为检测入侵的手段。建议防御者确使用带有 DNS 检测的安全检测产品，如此可以看到企业网络中不同领域的情况，进而增加检测几率、降低风险。如果想达到最好的防御效果，除了网络连接外，也应该针对终端设备和内网设置安全控制措施。

其他发现

攻击者会不断探测企业防御的薄弱环节。探测次数越多，发现漏洞的几率越大，黑客花费的时间和精力也越多。Mirai 僵尸网络攻击、WannaCry 和 NotPetya 的 exploit 工具、SQLi 攻击不断增多、Pbot 重现等，都表明攻击者不但会使用新工具，而且会重复利用以前较为有效的工具。

Akamai 还对 web 应用攻击进行了分析，结果发现：

埃及横空成为最大的 DDoS 攻击流量来源地（32%），而前两个季度占据来源地第二的英国则在本季度跌出了前五名，同时，英国公司遭到的 web 应用攻击依然数量庞大，达到 3260 万次。遭到攻击最多的是美国的公司，超过 1 亿 2200 万次。

总体而言，2017 Q2 的 web 应用攻击比上一季度增加了 5%，比去年增加了 28%，其中 SQLi 攻击占 51%，超过了一半。

感兴趣的同学可以点击这里阅读原报告。