在第四季，重複的 DDoS 攻擊已成標準模式，每位被攻擊的客戶在第四季內平均遭受 24 次攻擊，而有三個攻擊目標分別遭受超過 100 次攻擊，其中一位甚至經歷了 188 次攻擊，平均每天經歷超過 2 次攻擊。

DDoS 攻擊行動一覽
在第四季，Akamai 在路由解決方案上緩解了超過 3,600 次 DDoS 攻擊，攻擊數量是一年前的兩倍以上，絕大部份是利用租用型殭屍網路發動。這些受雇型 DDoS 攻擊極度依賴反射技術來擴增他們的流量，通常沒有能力發動大型攻擊，因此，2015 年大規模攻擊數量相較 2014 年來得少。此外，租用型網站通常有使用時間限制，使得平均攻擊時數降至 15 個小時以下。

基礎架構層 (第 3 和第 4 層) 攻擊在數個季度以來比例向來最高，第四季所觀察到的攻擊有 97% 皆屬這類攻擊。在 2015 年第四季中，21% 的 DDoS 攻擊含有 UDP 片段，這些攻擊有些是源自於反射式攻擊的放大效果，主要是 CHARGEN、DNS 與 SNMP 通訊協定的濫用，導致龐大的有效負載 (payload)。

相較於第三季，NTP 和 DNS 攻擊的數量皆大幅攀升。內建安全功能的網域 (DNSSEC) 通常會產生更龐大的回應資料，因為惡意攻擊者試圖濫用這些網域，使得 DNS 反射式攻擊增加 92%。儘管 NTP 反射的運算資源已隨時間耗盡，NTP 攻擊仍有所增長，增幅逼近 57%。

多媒介 (multi-vector) 攻擊則為另個常見趨勢。在 2014 年第二季，僅有 42% 的 DDoS 攻擊採用多媒介手法；到了 2015 年第四季，已有 56% 的 DDoS 攻擊採用此攻擊手法。雖然大部份多媒介攻擊僅使用兩種攻擊媒介 (佔全部攻擊的 35%)，在第四季所觀察到的攻擊中有 3% 採用 5 至 8 種媒介。

第四季最大攻擊的尖峰流量高達309 Gbps與202 Mpps，遭受此攻擊的客戶為軟體科技產業，該攻擊使用罕見的 SYN、UDP 和 NTP 攻擊組合，由 XOR 和 BillGates 殭屍網路所發動。該次是持續攻擊行動的一部分，受害者在 8 日內遭受 19 次攻擊，另在一月初亦曾遭受攻擊。

第四季逾半數的攻擊 (54%) 是針對遊戲公司，另有 23% 是以軟體和科技產業為目標。

DDoS攻擊概覽
與 2014 年第四季相比
• DDoS 攻擊總數增加 148.85%
• 基礎架構層 (第 3 和第 4 層) 攻擊增加 168.82%
• 平均攻擊時數減少 49.03%：14.95 (2015年第四季) 對 29.33 小時 (2014年同期)
• 流量超過100 Gbps的攻擊減少44.44%：5 (2015年第四季) 對 9 件 (2014年同期)

與 2015 年第三季相比
• DDoS 攻擊總數增加 39.89%
• 基礎架構層 (第 3 和第 4 層) 攻擊增加 42.38%
• 平均攻擊時數減少 20.74%：14.95 (2015年第四季) 對18.86 小時 (2015年第三季)
• 流量超過100 Gbps的攻擊減少 37.5%：5 (2015年第四季) 對 8件 (2015年第三季)

網路應用程式攻擊活動
雖然上一季的網路應用程式攻擊數量增加了 28%，但是兩季透過 HTTP 和 HTTPS 傳送的網路應用程式攻擊比率則相當一致：第四季有 89%的攻擊透過 HTTP 傳送，而第三季則為88%透過 HTTP 傳送。

本季最常見的攻擊媒介為 LFI (41%)、SQLi (28%)、PHPi (22%)、XSS (5%) 與 Shellshock (2%)，剩餘的 2% 攻擊則包含 RFI、MFU、CMDi 和 JAVAi 攻擊。透過 HTTP 和 HTTPS 傳送的攻擊中，除PHPi 外各個攻擊手法所佔比例相似。透過 HTTPS 傳送的攻擊中，僅有 1% 採用 PHPi。

第四季的網路應用程式攻擊中有59% 以零售商為攻擊目標，第三季則為 55%。媒體娛樂業與飯店旅遊產業是第二常見的攻擊目標，分別遭受 10% 的攻擊。而在第三季的第二常見攻擊目標的金融服務產業 (15% 的攻擊量)，本季卻僅遭受7%的攻擊。

延續第三季的趨勢，美國不但是網路應用程式攻擊的主要來源 (56%)，同時亦是最常被攻擊的目標 (77%)。巴西是第二大的攻擊來源 (6%) 與第二個最常被攻擊的國家 (7%)，這似乎與一家大型雲端基礎架構即服務 (IaaS) 供應商在巴西開設新的資料中心有關。Akamai 發現，自資料中心開設以來，源自巴西 (特別是上述資料中心) 的惡意流量即大幅增長，而這類攻擊大部份針對一位巴西籍的零售產業客戶。

在第四季報告中，我們利用 ASN 辨識出網路應用程式攻擊流量的 10 大來源，並針對相應的攻擊類型、有效負載與頻率進行分析。其中 10 個較為有趣的攻擊案例及其有效負載請參閱第 3.6 節。

網路應用程式攻擊評估指標
與 2015 年第 3 季比較
• 網路應用程式攻擊總數增加 28.10%
• HTTP 網路應用程式攻擊增加 28.65%
• HTTPS 網路應用程式攻擊增加 24.05%
• SQLi 攻擊增加 12.19%

掃描與刺探活動
在攻擊前，惡意攻擊者依賴掃描程式和刺探活動來偵察他們的目標。運用 Akamai Intelligent Platform 提供的防火牆資料進行分析後，我們發現偵察活動最常使用的連接埠是 Telnet (24%)、NetBIOS (5%)、MS-DS (7%)、SSH (6%) 與 SIP (4%)。根據 ASN 判定，掃描活動的三大來源皆位於亞洲，我們亦發現攻擊者會主動掃描適合濫用的反射器，包含NTP、SNMP 與 SSDP。

依據 ASN 分析的主要反射來源可以看出，網路反射器受到嚴重濫的情形多發生於中國和其他亞洲國家。SSDP 攻擊通常是由家用連線發動，而NTP、CHARGEN 與 QOTD 則大多來自於執行這些服務的雲端託管供應商。SSDP 與 NTP 反射器是最常被濫用的反射器，分別佔了 41%，其次是 CHARGEN (6%) 和 RPC (5%)，而 SENTINEL 和 QOTD則分別佔 4%。

報告下載
如欲免費下載「2015 年第四季網際網路現狀 - 安全報告」，請至：www.stateoftheinternet.com/security-report。

###

- 新聞稿有效日期，至2016/04/02為止

上一篇：Dialog Flickerless™高功率驅動器提升商業LED效能
下一篇：國家級典藏怎麼可以沒有你！