2020年初以來(lái)受COVID-2019的影響，人們的生活完全轉(zhuǎn)移到了網(wǎng)上，世界各地的人們?cè)诰W(wǎng)上工作、學(xué)習(xí)、購(gòu)物和娛樂(lè)。近期DDoS攻擊的目標(biāo)也反映了這一點(diǎn)，第一季度針對(duì)性最強(qiáng)的目標(biāo)是醫(yī)療組織、支付服務(wù)以及游戲和教育平臺(tái)。

事件總結(jié)

3月中旬，攻擊者試圖攻擊癱瘓美國(guó)衛(wèi)生與公共服務(wù)部(HHS)網(wǎng)站。攻擊的目的是剝奪公民獲取有關(guān)流行病以及應(yīng)對(duì)措施的官方數(shù)據(jù)。同時(shí)利用社交網(wǎng)絡(luò)、短信和電子郵件傳播錯(cuò)誤信息，但最終攻擊失敗，HHS網(wǎng)站仍繼續(xù)運(yùn)行。另一個(gè)DDoS受害者是巴黎的大型醫(yī)院AssistancePublique-Hôpitauxde Paris，攻擊者試圖破壞醫(yī)療機(jī)構(gòu)的基礎(chǔ)設(shè)施，導(dǎo)致醫(yī)院工作人員一段時(shí)間內(nèi)無(wú)法使用程序和電子郵件服務(wù)，但是攻擊者未能使整個(gè)組織癱瘓。

送餐服務(wù)Lieferando(德國(guó))和Thuisbezorgd(荷蘭)兩家公司也遭受DDoS攻擊，他們可以接受訂單但無(wú)法處理訂單，網(wǎng)絡(luò)犯罪分子要求2 BTC才能停止DDoS。德國(guó)遠(yuǎn)程學(xué)習(xí)平臺(tái)Mebis在遠(yuǎn)程開(kāi)學(xué)的第一天就遭到襲擊，服務(wù)中斷了幾個(gè)小時(shí)。3月下旬，澳大利亞當(dāng)局報(bào)告MyGov服務(wù)門(mén)戶網(wǎng)站遭到DDoS攻擊。

本季度還出現(xiàn)基于政治目的攻擊。在一月下旬，攻擊者曾兩次試圖關(guān)閉希臘政府機(jī)構(gòu)和緊急服務(wù)網(wǎng)站。暫時(shí)離線的包括總理，部委，消防局和警察局的網(wǎng)站。土耳其組織Anka Neferler Tim聲稱(chēng)對(duì)此負(fù)責(zé)。今年將舉行美國(guó)總統(tǒng)大選，選舉將伴隨著DDoS攻擊。2月初選民注冊(cè)和信息網(wǎng)站遭到攻擊。攻擊者使用PRSD(偽隨機(jī)子域攻擊)技術(shù)將大量請(qǐng)求發(fā)送到不存在子域。

金融機(jī)構(gòu)也沒(méi)有幸免。 2月，加密貨幣交易所OKEx和Bitfinex遭到了復(fù)雜的DDoS攻擊。前者在不損害用戶權(quán)益的情況下處理了該事件，后者則被迫離線一個(gè)小時(shí)。BitMEX加密貨幣交易所在本季度受到至少兩次攻擊，這與比特幣的價(jià)格急劇下降有關(guān)，一些人認(rèn)為交易所有意下線防止大量拋售。2月下旬，澳大利亞金融機(jī)構(gòu)收到了要求使用門(mén)羅幣支付的勒索郵件。如果拒不付款，攻擊者將對(duì)其進(jìn)行DDoS攻擊。此前，新加坡，土耳其，南非和其他國(guó)家的公司也收到了類(lèi)似的電子郵件。

3月中旬，一名網(wǎng)絡(luò)犯罪分子因攻擊俄羅斯Cherepovets公司的在線商店而被拘留。盡管他掩蓋了DDoS攻擊源，但網(wǎng)警還是追蹤到了他。

趨勢(shì)分析

本季度主要以新冠病毒為主，與上一份報(bào)告的預(yù)測(cè)相反，在2020年第一季度DDoS攻擊的數(shù)量和質(zhì)量均顯著增加。與上一季度相比攻擊次數(shù)增加了一倍，與2019年第一季度相比攻擊次數(shù)增加了80%。攻擊時(shí)長(zhǎng)變得更長(zhǎng)，平均持續(xù)時(shí)間和最大持續(xù)時(shí)間均明顯增加。

在總體增長(zhǎng)的背景下，智能攻擊(smart attacks)的份額幾乎保持不變，2019年和2020年第一季度處于相同水平，約為42%。

對(duì)教育和行政網(wǎng)站的DDoS攻擊數(shù)量與2019年同期相比增加了兩倍。此類(lèi)攻擊在2020年第一季度占總數(shù)的19%，一年前僅為11%。

許多公司組織都在轉(zhuǎn)向遠(yuǎn)程工作，攻擊者的目標(biāo)數(shù)量正在增加。大多數(shù)情況下的目標(biāo)是公共資源，現(xiàn)在許多關(guān)鍵的基礎(chǔ)設(shè)施(如公司VPN網(wǎng)關(guān)或非公共Web資源)可能也會(huì)受到威脅。

數(shù)據(jù)分析

2020年第一季度，大多數(shù)C&C服務(wù)器仍在美國(guó)(39.93%)，大多數(shù)僵尸主機(jī)在巴西。

• 本季度2月14日和15日的攻擊次數(shù)超過(guò)了230次，1月25日的攻擊次數(shù)為16次。
• 攻擊在星期一最活躍，在星期三處于休息狀態(tài)。
• SYN泛濫是使用最多的攻擊類(lèi)型，ICMP攻擊第二。
• Windows僵尸網(wǎng)絡(luò)持占比續(xù)走高，攻擊份額增加了3個(gè)百分點(diǎn)至5.64%。

1. 地理分布

攻擊源IP地理分布：

僵尸網(wǎng)絡(luò)服務(wù)器地理分布：

2. 攻擊頻次

每日攻擊頻次走勢(shì)：

在過(guò)去的一個(gè)季度中，星期一的攻擊次數(shù)顯著增加：

3. 攻擊種類(lèi)

ICMP泛洪增加了2個(gè)百分點(diǎn)，升至第二名(3.6%，上一報(bào)告期為1.6%)。排名最高還是SYN泛洪，其份額持續(xù)增長(zhǎng)，達(dá)到92.6%的歷史新高(超過(guò)了上個(gè)季度創(chuàng)下的歷史記錄84.6%)。

Windows僵尸網(wǎng)絡(luò)份額持續(xù)增長(zhǎng)：

總結(jié)

2020年第一季C&C服務(wù)器數(shù)量排名前10位的國(guó)家/地區(qū)出現(xiàn)了克羅地亞和新加坡，Windows僵尸網(wǎng)絡(luò)和ICMP泛洪攻擊有所增加，但并沒(méi)有影響整體情況。在情人節(jié)DDoS攻擊數(shù)量增加，隨后回落。