《2016上半年DDoS攻击报告》（译稿/预告）

目录

1.介绍 —— 7

概览 —— 8

调查方法 —— 8

受访者的人口统计 —— 9

图表1 服务提供者的类型 —— 9

图表2 企业的垂直结构 —— 9

图表3 受访者在组织里的角色 —— 10

图表4 受访者的地理信息 —— 11

图表5 安全管理平台 —— 11

图表6 专业的安全人员 —— 11

服务提供者的关键发现 —— 12

威胁和关注 —— 12

DDos —— 12

公司网络 —— 13

数据中心运营商 —— 14

移动网络运营商 —— 15

组织安全 —— 15

IPv6服务提供者—— 15

公司，政府和教育机构（EGE）的关键发现——16

EGE网络威胁 —— 16

EGE DDos —— 16

EGE组织安全实践 —— 17

EGE IPv6 —— 17

DNS运营者 —— 17

2.服务提供者 ——19

最关键的运营威胁：服务提供者

威胁：服务提供者 —— 20

图表7 服务提供者经历的威胁 —— 20

图表8 服务提供者预期的威胁 —— 21

图表9 威胁检测工具 —— 21

图表10 威胁检测工具的效果 —— 22

图表11 SDN/NFV部署 —— 22

图表12 SDN/NFV网域 —— 23

图表13 SDN/NFV关键障碍 —— 23

服务提供者DDoS攻击 24

图表14 相比去年的攻击规模调查 —— 24

图表15 用于反射/放大的协议 —— 25

图表16 最大攻击目标 —— 25

图表17 受攻击目标垂直分布 —— 26

图表18 正在受攻击的云服务 —— 26

攻击的规模 27

图表A.1 2014/2015攻击面积顶峰 —— 27

图表A.2 DDoS攻击大小 —— 28

图表A.3 攻击频率（2-50Gbps） —— 28

图表A.4 攻击频率（50-300Gbps） ——29

攻击持续时间 —— 29

图表A.5 DDoS攻击持续时间 —— 30

被攻击的服务 —— 30

图表A.6 DDoS攻击的目标端口 —— 30

攻击来源和受攻击国家 —— 31

图表A.7 排行前十名的受攻击国家 —— 31

图表A.8 排行前十名的攻击来源国家 —— 31

反应扩增更新 —— 32

图表A.9 用于反射放大攻击的协议（每周） —— 32

图表A.10 用于反射放大攻击的协议 —— 33

图表A.11 反射放大攻击的平均大小 —— 33

图表A.12 反射放大攻击的峰值 —— 34

图表A.13 DNS and SNMP反射放大攻击的平均大小 —— 34

图表A.14 反射增加了目标国家 —— 35

类型、频率和动机 —— 36

图表19 DDoS攻击类型 —— 37

图表20 多方位的DDoS攻击 —— 37

图表21 应用程序层攻击的目标 —— 38

图表22 针对加密服务类型的攻击 —— 38

图表23 攻击频率 —— 39

图表24 持续时间最长的攻击 —— 39

图表25 DDoS攻击动机 —— 40

图表26 IPv6 DDoS攻击 —— 40

ASERT DD4BC：摘要

执行总结 —— 41

抢攻战术，技术和程序（TTP） —— 42

架构的赎金 —— 42

属性 —— 42

减轻损失 —— 43

结论 —— 43

DDoS攻击威胁防范

图表27 攻击防范技术 —— 44

图表28 是时候去防御了 —— 45

图表29 Outbound/Cross-Bound攻击检测 —— 45

图表30 DDoS检测需求/防范服务 —— 46

图表31 DDoS服务的商业垂直分布 —— 46

公司网络安全 —— 47

图表32 事件响应态势 —— 48

图表33 事件响应援助 —— 48

图表34 对公司网络的威胁观察 —— 48

图表35 公司网络的关注 —— 49

图表36 APT响应事件 —— 50

图表37 APT入侵威胁 —— 51

图表38 事故率变动 —— 51

图表39 事件响应准备 —— 52

图表40 事件响应改善 —— 53

图表41 互联网威胁观测 —— 53

图表42 历史上被检测到的事件 —— 54

图表43 网络安全保险 —— 54

图表44 BYOD访问限制 —— 55

图表45 BYOD安全漏洞 —— 56

数据中心运营商 —— 57

图表46 数据中心的可视性 —— 58

图表47 数据中心流量可视性 —— 58

图表48 数据中心反欺骗过滤器 —— 59

图表49 数据中心边界安全技术 —— 59

图表50 数据中心的DDoS攻击频率 —— 60

图表51 数据中心的DDoS攻击目标 —— 60

图表52 数据中心的DDoS攻击超过互联网连通性 —— 61

图表53 数据中心的DDoS业务影响 —— 62

图表54 数据中心的DDoS保护技术 —— 62

移动网络运营商 —— 63

图表55 订阅者的数量 —— 63

图表56 无线通信技术 —— 64

图表57 安全事件 —— 64

图表58 安全措施 —— 65

图表59 可见性的核心 —— 65

图表60 漫游数据监控 —— 66

图表61 执行不力的应用程序的影响 —— 66

图表62 采纳移动IPv6 —— 67

图表63 被连累的订阅者 —— 67

图表64 来自移动用户的DDoS攻击 —— 67

图表65 境外攻击防范 —— 68

图表66 基础设施或用户每月受到的DDoS攻击 —— 68

图表67 (Gi/SGi) IP主体可视度 —— 69

图表68 (Gi/SGi) IP基础设施每月受到的DDos攻击 —— 69

组织安全练习 —— 70

图表69 安全测试练习 —— 70

图表70 DDoS模拟实验 —— 71

图表71 全球OPSEC组的参与 —— 71

图表72 全球OPSEC组不参与的原因 —— 72

IPv6服务提供者 —— 73

图表73 IPv6服务商业用途 —— 73

图表74 IPv6服务个人用途 —— 74

图表75 IPv6流量自动监测 —— 74

图表76 IPv6流量增长 —— 74

图表77 IPv6安全关注 —— 75

图表78 IPv6防范措施 —— 75

3.企业网络安全

图表79 EGE垂直暴发 —— 79

图表80 EGE威胁 —— 80

图表81 EGE关注 —— 80

图表82 APT响应时间 —— 81

图表83 缺口通告 —— 81

图表84 正在改善的妥协和发现时间 —— 82

图表85 正在改善的发现和遏制时间 —— 82

图表86 APT危险等级 —— 83

图表87 事件响应态势 —— 83

图表88 事件相应援助 —— 84

图表89 事件响应率 —— 85

图表90 你的准备充分吗？ —— 85

图表91 正在改善的目录 —— 86

图表92 威胁检测 —— 86

图表93 目前的检测方法和来源 —— 87

图表94 为防范网络攻击的保险 —— 87

图表95 监视BYOD设备 —— 88

图表96 限制BYOD —— 89

ASERT恶意软件发展趋势 —— 90

恶意软件的HTTP的继续使用 —— 90

图表AS.1 经过80端口的标准交流采样 —— 90

俄罗斯还是大批基于DDoS的僵尸网络的攻击目标 —— 91

图表AS.2 TLD僵尸网络攻击目标 —— 91

反复的恶意软件发展 —— 91

图表AS.3 —— Upatre 92

图表AS.4 —— Dyreza 92

ASERT分析摘要：CoreBot —— 93

命令与控制 —— 93

性能 —— 93

CoreBot: 未来 —— 94

图表AS.5 CoreBot样本 —— 94

图表AS.6 Neverquest样本 —— 95

结论 —— 95

企业、政府和教育DDoS攻击 —— 96

图表97 DDoS攻击频率 —— 96

图表98 DDoS攻击目标 —— 97

图表99 DDoS攻击持续时间 —— 97

图表100 攻击种类爆发 —— 98

图表101 应用层攻击目标 —— 98

图表102 应用层攻击加密 —— 99

图表103 多方面攻击 —— 99

图表104 DDoS攻击动机 —— 100

图表105 DDoS防范技术 —— 101

图表106 DDoS攻击防范时间 —— 101

图表107 DDoS攻击商业影响 —— 102

图表108 互联网故障时间所造成的损失费用 —— 102

企业组织安全演练 —— 103

图表109 当前最好的安全练习 —— 103

图表110 DDoS模拟实验 —— 104

企业、政府、和教育IPv6 —— 105

图表111 IPv6服务有效性 —— 105

图表112 互联网IPv6部署 —— 106

图表113 IPv6安全的担忧 —— 106

DNS运营商 —— 107

图表114 DNS安全责任 —— 107

图表115 DNS流量可视化 —— 108

图表116 DNS框架的DDoS攻击 —— 109

图表117 DNS DDoS的安全措施 —— 110

4.观点总结 —— 114

结论 —— 112

关于作者 —— 114

术语表 —— 115

概览

欢迎阅读第十一届年度全球网络架构安全报告（Worldwide Infrastructure Security Report //WISR），本报告中的所有数据都基于一些全球性运维安全团体的意见。Arbor Networks公司在2015年10月进行了一项调查，从而收集了这些数据。

在过去的11年里， Arbor公司通过收集网络威胁的详细信息和大量网络运营商所担忧的问题发布了WISR, 并且将其作为一个可以免费访问的信息资源库开放给大家。

本文旨在指出现如今的互联网公司所面临的威胁和忧虑之处，以及减少这些威胁的方法。

自本报告发布以来，WISR始终从日常运营安全的调查数据出发并且一路坚持下来。

在过去的十一年里，随着规模和视野的不断进步，WISR发生了巨大的变化，但是我们的核心目标始终是从运营的角度来对网络构架安全进行真实细致的分析。

调查方法

2016年全球网络架构安全报告（WISR）是基于由172道形式自由的多项选择题组成的调查报告的结果； 调查问题比起上一年度的182道略有减少。

然而，这细微的减少掩盖了一个事实，即今年的调查有着其独特的逻辑流，能使服务提供商/企业/政府/学生受访者根据自身性质来选择不同的问题。随着非服务提供商的受访者数量持续增加，这一改变已经证明是必要的。我们需要根据受访者的性质的不同来分别咨询他们不同的问题，并且还通过往年的反馈来减少不相干的问题。

与往年一样，我们通过修改调查问题来体现网络威胁领域的变化，以及在去年调查中探讨过的应对措施的变化。当前的调查被分成特定的章节，例如DDoS攻击，企业网络安全，IPv6，数据中心，移动网络等，每一章节我们都会整理好受访者所提出的意见以及忧虑并放置在合适的地方。

Arbor公司针对运维安全社区里的不同目标发放不同的WISR调查报告，以此来尽可能的得到精确的图像描述。我们能够看到今年受访者数目有显著的增长，这个从2013年的221名开始的调查人数，自去年的287名增加到了354名。调查参与者的持续快速增长，有助于使我们的运维安全数据库内的数据变得更有价值。

*

Arbor Networks, Inc. 是网络安全和管理解决方案的顶级提供商，为下一代数据中心和运营商网络提供网络安全和管理解决方案。Arbor 凭借其与全球服务运营商和主机托管服务提供商之间特别密切的关系，可通过 ATLAS 在网络安全和流量趋势方面提供无与伦比的判断力。ATLAS 是 Arbor 与全球 100 多家网络运营商之间独特合作的结晶，可实现流量信息的共享，有助于用户作出正确的业务决策。Arbor 经过检验的解决方案有助于扩大和保护客户网络、业务和品牌。

————————————————————————————————————

题外话

这篇翻译是《2016上半年DDoS攻击报告》（译稿）的一个预告。

每周一次更新，欢迎大家的关注。

时间精力和能力的关系，难免有错误的地方，大家觉得有问题的地方欢迎在评论区指出。

原文by Arbor Networks

初译by 爱发呆的sakura

润色by @懒惰的小胖宅

修改by 魏十七

意见by @Murasaki

另外，本译稿不接受任何形式的转载，造成的任何版权以及其他问题后果自负。

如果任何平台私自进行转载，请自行承担来自Arbor Networks公司的版权问题，包括但不限于来自Arbor Networks公司的起诉，并且等于默认安全大事件团队采取一切合法以及其他措施维权。

鞠躬。