IP团伙行为分析：大流量与多渠道攻击一体化

由于僵尸网络活动和 DDoS 攻击通常以协作方式从多个来源发起，因此这么多的惯犯以群体方式勾结“作案”并不奇怪，这样的群体称为“IP团伙”（IP Chain-Gang）。

基于近两年对多个IP团伙行为的研究跟踪及数据积累，绿盟科技近期推出了《IP团伙行为分析》报告。希望通过本报告，更准确描述攻击者的行为方式，有效防御这些团伙未来可能发起的攻击，防患于未然。

识别IP团伙

●   确定一次协同攻击中的攻击者并将其划归一组。这里，我们将协同攻击定义为针对同一目标几乎同时发起的攻击。由于这些攻击者协同工作，因此有理由相信他们为同一个威胁源起方控制。

●   如果上一步中有两个组重叠或其行为非常相似，则将其合并为一个更大的组。重复此合并过程，直到不再存在重叠的组。在此过程中，使用复杂的机器学习算法来确定“重要性”阈值。

●   清除组中的“偶然攻击者”（仅参与一小部分攻击的攻击者），提取每个攻击组的核心成员，得出我们所称的“IP团伙”。

应该注意的是，任何团伙的组成都会动态变化，原因是随着时间的推移，有的成员会离开（可能是因为系统所有者移除了恶意软件并修补了威胁源起方为入侵系统最初所利用的安全漏洞），而同时又会有新成员加入（新系统被恶意软件感染并成为僵尸网络成员）。

IP团伙统计分析

01

下图展示了IP团伙规模的分布情况。大多数团伙成员不到1000人，但也有一个团伙的成员高达26,000多人。

 图1 IP团伙规模

下图展示了各IP团伙的规模分布，按团伙大小统计。图中的每个点代表一个团伙，共有82个团伙。

图2 IP团伙规模（按各团伙成员数量统计）

02

下图展示了团伙发起的攻击总流量分布，涵盖了来自同一团伙所有成员的全部攻击。虽然不同团伙的攻击总流量看似存在巨大差异，但在研究期间，大多数团伙的攻击总流量都超过了50TB。

图3 攻击总流量分布

图4 攻击总流量（按各团伙攻击统计）

03

下图展示了各团伙发起的DDoS攻击事件的数量，按事件次数统计。毫不意外，大约20％的团伙发起了80％的攻击。

图5 攻击总次数（按各团伙攻击统计）

04

下图展示了各团伙所攻击的目标数量，按人数统计。80％的团伙攻击目标不到1000人，而有一个团伙攻击了约15％的目标。

图6 攻击目标人数（按各团伙攻击统计）

05

下图展示了同一团伙所有成员的总累计攻击时长的分布情况。有些团伙的总攻击时长高达5000多天，但多数团伙不到1000天。

图7 总攻击时长

06

如下图所示，与更大规模的IP团伙相比，拥有较少成员的团伙可能会发动更多攻击并发出更多攻击流量。

下图展示了按总流量排名的前10个团伙，X轴为IP团伙规模（对数标尺），Y轴为攻击次数，攻击总流量以不同大小的橙色气泡表示。

图8 团伙规模、攻击次数及攻击总流量对比

如上图所示，气泡较大并不一定表示攻击者数量或攻击次数就多。具体来看，某拥有274名成员的团伙攻击频率极高（> 50K），超过了所有其他团伙。而最大的气泡（即攻击总流量最大）对应的团伙拥有较少成员（256），攻击次数也较少（<10K）。这说明，该特定团伙中的攻击者可能拥有更多渠道可以利用。

07

1、攻击类型与攻击总流量

下图按攻击总流量区间展示了各种攻击的分布。

图9 攻击类型与攻击总流量

由于其出色的放大性能，NTP反射攻击产生的流量在大流量攻击中占比最大，而SYN Flood攻击则最为普遍（很可能由于攻击方法简单）。这两种攻击再加上UDP Flood和SSDP反射攻击构成了最主要的攻击类型。

2、单一攻击与混合攻击

很多攻击团伙都有其青睐的攻击方法，透露出其背后的威胁源起方的技能和偏好。不过，有些组织发动攻击时会采取多种攻击方法，有时甚至一起攻击中会涉及多种方法。下面两个图展示了某一团伙采用的攻击方法。

图10 单一攻击与混合攻击（某一攻击团伙）

图11 混合攻击中各种攻击方法的组合

图10中，可以看到该攻击团伙大多时候仅采用一种攻击方法发起攻击（93%），不过有时也会采取多种攻击方法对一个受害者发起协同性攻击。在混合攻击中，75%的采取了两种攻击方法，4%的采取了四种方法。

图11展示了混合攻击中各种攻击方法的组合。可以发现UDP flood攻击方法应用广泛。这不足为奇，UDP flood攻击是一种长时DDoS攻击方法，目前仍非常流行。

3、 反射攻击流量与事件

各类反射型攻击正越来越多地用于发起DDoS攻击，尤其是大流量攻击。同时，有些攻击团伙会结合使用多种反射型攻击方法，如下图所示。

图12 反射攻击流量与次数（某一攻击团伙）

从攻击事件数量角度看，DNS反射攻击占比较大，占全部反射型攻击的57%，其次是NTP反射攻击。就流量而言，NTP反射攻击占据主导地位，贡献了62.5%的流量，DNS紧随其后。从触发较大流量的能力来看，NTP反射攻击是一种更为强大的DDoS攻击。

08

1、流量峰值的整体分布

流量峰值（Tbps）是衡量某一团伙的攻击能力和恶意程度的关键参数。大多数IP团伙的流量峰值都超过了2 Tbps。

图13 IP团伙的流量峰值分布

图14 IP团伙的流量峰值分布（按IP团伙统计）

2、单个团伙的攻击流量峰值

需要注意的是，攻击团伙的攻击流量并非总能达到其所能达到的最大峰值。事实上，鉴于威胁源起方的业务需求和可用成员，大部分攻击远低于这一最大峰值。下图对某个团伙的两个季度的流量峰值进行了对比。

图15 单一攻击的流量峰值趋势（某一攻击团伙）

对该攻击团伙来说，攻击在2018年5月20日达到了流量峰值，而在其他月份流量不高。尽管该团伙的流量峰值趋势并不明显，但其最大流量峰值与日常峰值之间存在巨大差别。换句话说，若该团伙用尽浑身解数，会展示出强大的攻击能力。

3、十大攻击团伙

图16展示了2018年1月至9月期间十大攻击团伙的攻击流量峰值。通过将每个团伙的每日流量峰值进行累加计算出了他们的每月最大流量峰值。

图16 十大攻击团伙的流量峰值

最大流量峰值和平均流量峰值表示IP团伙的攻击能力和攻击时长。上图展示了2018年数月的攻击流量峰值高低起伏变化，反映了这些团伙的攻击活跃程度。

09

1、攻击源国家分布

从攻击者角度看，欧洲拥有最多的攻击源。此外，也有相当数量的攻击源位于亚洲和北美。

图17 攻击源国家分布

2、攻击目标国家分布

图18 攻击目标国家分布

我们从以上攻击目标分布地图可以看出，欧洲地区受害最严重，其次是南美。除此之外，亚洲和美国也遭到了攻击。

总结

●      这些团伙成员虽然只占全部攻击者中的一小部分（2％），但却发起了相当大一部分（20％）的攻击；

●     20％的团伙对约80％的团伙攻击负责；

●     反射攻击，特别是大流量攻击，是各团伙最青睐的攻击方法；

●     各团伙通常并未完全发挥其潜力，但是，了解它们的能力极限对于规划防御非常重要。

点“阅读原文”了解更多

	请点击屏幕右上方“…” 关注绿盟科技公众号NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP