日前，绿盟科技联合中国电信云堤发布了《2017年DDoS与Web应用攻击态势报告》（以下简称“报告”）。《报告》从规模、频度、攻击源、类型、地域、行业等多维度，多视角全面总结和呈现2017年全年攻击态势的变化情况，特别对2017年热门的物联网僵尸网络进行了深度分析并总结了其发展趋势。最后，结合当前DDoS和Web应用攻击的威胁形式，给出了安全防护的解决方案。

以下是对《报告》部分重点内容的解读。

2017年DDoS攻击态势盘点

1.2017年DDoS攻击规模不断增大，攻击峰值不断突破新高。

一方面，DDoS攻击服务化、产业化；另外一方面，由于物联网的加入，可利用的攻击源种类越来越多，针对物联网的Botnet也在不断升级换代。这些都使得DDoS攻击成本越来越低，攻击规模不断增大。从发展趋势看，企业面临的DDoS攻击威胁将会逐年在扩大。

2017年攻击总流量64万 TBytes，比 2016年 增 长79.4%。

图1

2.DDoS攻击活动受政策监管和利益驱动的影响明显

2017年6月1日，《中华人民共和国网络安全法》正式实施，而 DDoS攻击总流量从6月份开始明显呈下降趋势。通过攻击溯源分析，发现下半年基于Windows和Linux/Unix的主机类型的攻击源明显减少，而常用于小规模攻击的物联网设备攻击源显著增多，前者明显计算性能更高。面对国家政策的威慑和监管的强力整治，黑产将掌握的“高性能”Botnet资源从犯罪成本较高的DDoS攻击活动转而投向了犯罪成本相对较低但收益更高的挖矿活动中，反映了黑产对攻击资源的投入受政策监管和利益驱动的影响明显。

图2

3.Linux/Unix类主机和服务器构成稳固的DDoS攻击源（55%），IoT类设备占 12%。

图3

物联网（IoT）攻击源中，以家用路由器或调制解调器类设备占比最高（69.7%）。

图4

虽然IoT较多被用于小型DDoS攻击，但IoT安全问题突出（漏洞多、修复难度大），种类多数量巨大，且针对其的恶意程序不断在升级换代，我们并不能轻易对来自IoT Botnet的威胁放松警惕。

4.Memcached新型反射攻击1.35Tbps攻击峰值引发各方关注

虽然反射攻击频发，但从攻击总流量、攻击规模及可用的反射器数量来看，以NTP Reflection Flood为代表的传统类型反射攻击活动在放缓。就在人们即将放松对反射攻击的警惕时，2018年年初一种新型的反射攻击——Memcached反射放大攻击以1.35Tbps引发各方关注。据绿盟科技威胁情报中心的统计数据显示，全球范围内存在被利用风险的Memcached服务器达104,506台。

《报告》呼吁，各地区、各行业客户保持高度警惕，谨防Memcached反射攻击对服务器造成直接冲击或利用Memcached反射攻击作为障眼法混合其他攻击造成信息安全危害。关于Memcached DRDoS的具体的防护和加固建议请详见《深度剖析Memcached 超大型DRDoS攻击》。

物联网僵尸网络发展趋势

来自物联网僵尸网络的威胁将继续扩大。

2017年全球暴露的物联网设备约6200万，其中路由器设备最多，总数约4900万台，国内暴露的路由器设备约1092万台。如果假设这部分暴露的设备被感染的概率仅为1%，那么仅国内被感染的路由器设备就能轻松打出T级别的DDoS攻击。按照当前物联网设备令人堪忧的安全状况和修复情况看，暴露在网络中的这些设备被感染的概率要远高于1%，这些资源一旦掌握在不法分子手中，威胁将不可估量。

图5

与此同时，针对物联网的僵尸网络变种不断出现，能力不断升级。《报告》在第六章总结出了2017年物联网僵尸网络的发展的六大趋势。并从寄宿平台、传播手法、潜在威胁方面对2017年重点的Bontet做对比分析。

Web应用攻击态势盘点

1.近3/4站点遭受过任意类型的Web应用攻击

图6

2.92.2%的Web应用攻击是针对互联网企业的

图7

3.最常利用的攻击方式XSS跨站脚本攻击占37.7%、注入类攻击20.7%

图8