《2016上半年DDoS攻擊報告》（譯稿/預告）

目錄

1.介紹 —— 7

概覽n—— 8

調查方法n—— 8

受訪者的人口統計n—— 9

圖表1 服務提供者的類型 —— 9

圖表2 企業的垂直結構 —— 9

圖表3 受訪者在組織里的角色 —— 10

圖表4 受訪者的地理信息 —— 11

圖表5 安全管理平台 —— 11

圖表6 專業的安全人員 —— 11

服務提供者的關鍵發現n—— 12

威脅和關注 —— 12

DDosn—— 12

公司網路n—— 13

數據中心運營商n—— 14

移動網路運營商n—— 15

組織安全n—— 15

IPv6服務提供者—— 15

公司，政府和教育機構（EGE）的關鍵發現——16

EGE網路威脅 —— 16

EGEnDDos —— 16

EGE組織安全實踐 —— 17

EGE IPv6 —— 17

DNS運營者 —— 17

2.服務提供者 ——19

最關鍵的運營威脅：服務提供者

威脅：服務提供者n—— 20

圖表7 服務提供者經歷的威脅 —— 20

圖表8 服務提供者預期的威脅 —— 21

圖表9 威脅檢測工具 —— 21

圖表10 威脅檢測工具的效果 —— 22

圖表11 SDN/NFV部署 —— 22

圖表12 SDN/NFV網域 —— 23

圖表13 SDN/NFV關鍵障礙 —— 23

服務提供者DDoS攻擊 24

圖表14 相比去年的攻擊規模調查 —— 24

圖表15 用於反射/放大的協議 —— 25

圖表16 最大攻擊目標 —— 25

圖表17 受攻擊目標垂直分布 —— 26

圖表18 正在受攻擊的雲服務 —— 26

攻擊的規模 27

圖表A.1 2014/2015攻擊面積頂峰 —— 27

圖表A.2 DDoS攻擊大小 —— 28

圖表A.3 攻擊頻率（2-50Gbps） —— 28

nnnnnnnn圖表A.4 攻擊頻率（50-300Gbps） ——29

攻擊持續時間n—— 29

圖表A.5 DDoS攻擊持續時間 —— 30

被攻擊的服務n—— 30

圖表A.6 DDoS攻擊的目標埠 —— 30

攻擊來源和受攻擊國家n—— 31

圖表A.7 排行前十名的受攻擊國家 —— 31

圖表A.8 排行前十名的攻擊來源國家 —— 31

反應擴增更新 —— 32

圖表A.9 用於反射放大攻擊的協議（每周） —— 32

圖表A.10 用於反射放大攻擊的協議 —— 33

圖表A.11 反射放大攻擊的平均大小 —— 33

圖表A.12 反射放大攻擊的峰值 —— 34

圖表A.13 DNS and SNMP反射放大攻擊的平均大小 —— 34

圖表A.14 反射增加了目標國家 —— 35

類型、頻率和動機n—— 36

圖表19 DDoS攻擊類型 —— 37

圖表20 多方位的DDoS攻擊 —— 37

圖表21 應用程序層攻擊的目標 —— 38

圖表22 針對加密服務類型的攻擊 —— 38

圖表23 攻擊頻率 —— 39

圖表24 持續時間最長的攻擊 —— 39

圖表25 DDoS攻擊動機 —— 40

圖表26 IPv6 DDoS攻擊 —— 40

ASERTnDD4BC：摘要

執行總結n—— 41

搶攻戰術，技術和程序（TTP） —— 42

架構的贖金n—— 42

屬性n—— 42

減輕損失n—— 43

結論n—— 43

DDoS攻擊威脅防範

圖表27 攻擊防範技術 —— 44

圖表28 是時候去防禦了 —— 45

圖表29 Outbound/Cross-Bound攻擊檢測 —— 45

圖表30 DDoS檢測需求/防範服務 ——n46

圖表31 DDoS服務的商業垂直分布 —— 46

公司網路安全n—— 47

圖表32 事件響應態勢 —— 48

圖表33 事件響應援助 —— 48

圖表34 對公司網路的威脅觀察 —— 48

圖表35 公司網路的關注 —— 49

圖表36 APT響應事件 —— 50

圖表37 APT入侵威脅 —— 51

圖表38 事故率變動 —— 51

圖表39 事件響應準備 —— 52

圖表40 事件響應改善 —— 53

圖表41 互聯網威脅觀測 —— 53

圖表42 歷史上被檢測到的事件 —— 54

圖表43 網路安全保險 —— 54

圖表44 BYOD訪問限制 —— 55

圖表45 BYOD安全漏洞 —— 56

數據中心運營商n—— 57

圖表46 數據中心的可視性 —— 58

圖表47 數據中心流量可視性 —— 58

圖表48 數據中心反欺騙過濾器 —— 59

圖表49 數據中心邊界安全技術 —— 59

圖表50 數據中心的DDoS攻擊頻率 ——n60

圖表51 數據中心的DDoS攻擊目標 ——n60

圖表52 數據中心的DDoS攻擊超過互聯網連通性 —— 61

圖表53 數據中心的DDoS業務影響 ——n62

圖表54 數據中心的DDoS保護技術 ——n62

移動網路運營商n—— 63

圖表55 訂閱者的數量 —— 63

圖表56 無線通信技術 —— 64

圖表57 安全事件 —— 64

圖表58 安全措施 —— 65

圖表59 可見性的核心 —— 65

圖表60 漫遊數據監控 —— 66

圖表61 執行不力的應用程序的影響 —— 66

圖表62 採納移動IPv6 —— 67

圖表63 被連累的訂閱者 —— 67

圖表64 來自移動用戶的DDoS攻擊 ——n67

圖表65 境外攻擊防範 —— 68

圖表66 基礎設施或用戶每月受到的DDoS攻擊 —— 68

圖表67 (Gi/SGi) IP主體可視度 —— 69

圖表68 (Gi/SGi) IP基礎設施每月受到的DDos攻擊 —— 69

組織安全練習n—— 70

圖表69 安全測試練習 —— 70

圖表70 DDoS模擬實驗 —— 71

圖表71 全球OPSEC組的參與 —— 71

圖表72 全球OPSEC組不參與的原因 ——n72

IPv6服務提供者 —— 73

圖表73 IPv6服務商業用途 —— 73

圖表74 IPv6服務個人用途 —— 74

圖表75 IPv6流量自動監測 —— 74

圖表76 IPv6流量增長 —— 74

圖表77 IPv6安全關注 n—— 75

圖表78 IPv6防範措施 n—— 75

3.企業網路安全

圖表79 EGE垂直暴發 —— 79

圖表80 EGE威脅 —— 80

圖表81 EGE關注 —— 80

圖表82 APT響應時間 —— 81

圖表83 缺口通告 —— 81

圖表84 正在改善的妥協和發現時間 —— 82

圖表85 正在改善的發現和遏制時間 —— 82

圖表86 APT危險等級 —— 83

圖表87 事件響應態勢 —— 83

圖表88 事件相應援助 —— 84

圖表89 事件響應率 —— 85

圖表90 你的準備充分嗎？ —— 85

圖表91 正在改善的目錄 —— 86

圖表92 威脅檢測 —— 86

圖表93 目前的檢測方法和來源 —— 87

圖表94 為防範網路攻擊的保險 —— 87

圖表95 監視BYOD設備 —— 88

圖表96 限制BYOD —— 89

ASERT惡意軟體發展趨勢 —— 90

惡意軟體的HTTP的繼續使用 —— 90

圖表AS.1 經過80埠的標準交流採樣 —— 90

俄羅斯還是大批基於DDoS的殭屍網路的攻擊目標 —— 91

圖表AS.2 TLD殭屍網路攻擊目標 —— 91

反覆的惡意軟體發展n—— 91

圖表AS.3 —— Upatre 92

圖表AS.4 —— Dyreza 92

ASERT分析摘要：CoreBot —— 93

命令與控制n—— 93

性能n—— 93

CoreBot:n未來 —— 94

圖表AS.5 CoreBot樣本 —— 94

圖表AS.6 Neverquest樣本 —— 95

結論n—— 95

企業、政府和教育DDoS攻擊 —— 96

圖表97 DDoS攻擊頻率 —— 96

圖表98 DDoS攻擊目標 —— 97

圖表99 DDoS攻擊持續時間 —— 97

圖表100 攻擊種類爆發 —— 98

圖表101 應用層攻擊目標 —— 98

圖表102 應用層攻擊加密 —— 99

圖表103 多方面攻擊 —— 99

圖表104 DDoS攻擊動機 —— 100

圖表105 DDoS防範技術 —— 101

圖表106 DDoS攻擊防範時間 —— 101

圖表107 DDoS攻擊商業影響 —— 102

圖表108 互聯網故障時間所造成的損失費用 —— 102

企業組織安全演練n—— 103

圖表109 當前最好的安全練習 —— 103

圖表110 DDoS模擬實驗 —— 104

企業、政府、和教育IPv6 —— 105

圖表111 IPv6服務有效性 —— 105

圖表112 互聯網IPv6部署 —— 106

圖表113 IPv6安全的擔憂 —— 106

DNS運營商 —— 107

圖表114 DNS安全責任 —— 107

圖表115 DNS流量可視化 —— 108

圖表116 DNS框架的DDoS攻擊 ——n109

圖表117 DNS DDoS的安全措施 —— 110

4.觀點總結 —— 114

結論n—— 112

關於作者n—— 114

術語表n—— 115

概覽

歡迎閱讀第十一屆年度全球網路架構安全報告（Worldwide Infrastructure Security Report //WISR），本報告中的所有數據都基於一些全球性運維安全團體的意見。Arbor Networks公司在2015年10月進行了一項調查，從而收集了這些數據。

在過去的11年里， Arbor公司通過收集網路威脅的詳細信息和大量網路運營商所擔憂的問題發布了WISR, 並且將其作為一個可以免費訪問的信息資源庫開放給大家。

本文旨在指出現如今的互聯網公司所面臨的威脅和憂慮之處，以及減少這些威脅的方法。

自本報告發布以來，WISR始終從日常運營安全的調查數據出發並且一路堅持下來。

在過去的十一年裡，隨著規模和視野的不斷進步，WISR發生了巨大的變化，但是我們的核心目標始終是從運營的角度來對網路構架安全進行真實細緻的分析。

調查方法

2016年全球網路架構安全報告（WISR）是基於由172道形式自由的多項選擇題組成的調查報告的結果； 調查問題比起上一年度的182道略有減少。

然而，這細微的減少掩蓋了一個事實，即今年的調查有著其獨特的邏輯流，能使服務提供商/企業/政府/學生受訪者根據自身性質來選擇不同的問題。隨著非服務提供商的受訪者數量持續增加，這一改變已經證明是必要的。我們需要根據受訪者的性質的不同來分別諮詢他們不同的問題，並且還通過往年的反饋來減少不相干的問題。

與往年一樣，我們通過修改調查問題來體現網路威脅領域的變化，以及在去年調查中探討過的應對措施的變化。當前的調查被分成特定的章節，例如DDoS攻擊，企業網路安全，IPv6，數據中心，移動網路等，每一章節我們都會整理好受訪者所提出的意見以及憂慮並放置在合適的地方。

Arbor公司針對運維安全社區里的不同目標發放不同的WISR調查報告，以此來儘可能的得到精確的圖像描述。我們能夠看到今年受訪者數目有顯著的增長，這個從2013年的221名開始的調查人數，自去年的287名增加到了354名。調查參與者的持續快速增長，有助於使我們的運維安全資料庫內的數據變得更有價值。

*

Arbor Networks, Inc. 是網路安全和管理解決方案的頂級提供商，為下一代數據中心和運營商網路提供網路安全和管理解決方案。Arbor 憑藉其與全球服務運營商和主機託管服務提供商之間特別密切的關係，可通過 ATLAS 在網路安全和流量趨勢方面提供無與倫比的判斷力。ATLAS 是 Arbor 與全球 100 多家網路運營商之間獨特合作的結晶，可實現流量信息的共享，有助於用戶作出正確的業務決策。Arbor 經過檢驗的解決方案有助於擴大和保護客戶網路、業務和品牌。

————————————————————————————————————

題外話

這篇翻譯是《2016上半年DDoS攻擊報告》（譯稿）的一個預告。

每周一次更新，歡迎大家的關注。

時間精力和能力的關係，難免有錯誤的地方，大家覺得有問題的地方歡迎在評論區指出。

原文by Arbor Networks

初譯by 愛發獃的sakura

潤色by @懶惰的小胖宅

修改by 魏十七

意見by @Murasaki

另外，本譯稿不接受任何形式的轉載，造成的任何版權以及其他問題後果自負。

如果任何平台私自進行轉載，請自行承擔來自Arbor Networks公司的版權問題，包括但不限於來自Arbor Networks公司的起訴，並且等於默認安全大事件團隊採取一切合法以及其他措施維權。

鞠躬。

推薦閱讀：