Akamai 发表「2015 年第一季网际网路现状──安全报告」

Akamai 发表「2015 年第一季网际网路现状──安全报告」

Akamai 云端安全事业单位副总裁 John Summers 表示:「在 2015 年第一季的报告中,我们分析了 PLXrouted 网路上所观察到的数千起分散式阻断服务(Distributed Denial of Service;DDoS)的攻击,以及在 Akamai Edge 网路上触发近百万个网路应用程式攻击的因素。有了网路应用程式攻击的资料,以及我们所有资安研究团队的深入报告,我们可以提供更全面地网际网路观点以及每天发生的攻击事件。这份报告是我们目前最大型最优秀的安全报告,除提供 DDoS 攻击的深入分析外,更针对网路应用程式攻击的触发因素制定比较基準,以便在未来的报告中探究网路和应用程式层的攻击趋势。」

DDoS 攻击活动大幅攀升

在 2015 年第一季中,PLXrouted 网路上观察到的 DDoS 攻击数量创下新纪录,较 2014 年第一季的纪录增加超过一倍,而与上一季相较数量也大幅攀升超过 35%。然而,攻击状况有所改变:去年较常见的是高频宽和短期的攻击,但在 2015 年第一季,典型的 DDoS 均少于每秒 10 GB (Gbps),攻击时间都维持 24 小时以上。第一季共有八次大型攻击,每次攻击都超过 100 Gbps。虽然比 2014 年第四季少一次大型攻击,但这种大规模的攻击在一年前其实相当罕见。2015 年第一季被观察到的最大规模 DDoS 攻击其高峰流量达到 170 Gbps。

在过去一年 DDoS 攻击媒介亦有变化,在本季有超过 20% 的攻击媒介属于「简易服务探索通讯协定(Simple Service Discovery Protocol;SSDP)」攻击,而 SSDP 攻击在 2014 年第一季和第二季中均未曾出现。SSDP 在全球数百万台的家用和办公室装置上皆是预设启动,包括路由器、媒体伺服器、网路相机、智慧电视和印表机,让装置可以在同个网路上找到彼此,建立通讯和协调活动。这些连接网际网路的家用装置一旦没有保护以及/或者设置不当,就可能会被利用成为反射器。

在 2015 年第一季中,游戏产业又再次遭受比其他任何产业更多的 DDoS 攻击。游戏产业自 2014 年第二季起便是最容易成为目标的产业,平均佔 35% 的 DDoS 总攻击数量。软体和科技产业的攻击数量在 2015 年第一季中位居第二,佔攻击总数的 25%。

与 2014 年第一季相比

与 2014 年第四季相比

七个常见的网路应用程式攻击媒介

Akamai 在 2015 年第一季报告中着重分析七个常见的网路应用程式攻击媒介,在 Akamai Edge 网路上共有 1.7885 亿次的网路应用程式攻击都是透过这些媒介,包括 SQL 插入(SQLi)、本机档案引入(LFI)、远端档案引入(RFI)、PHP 插入(PHPi)、指令插入(CMDi)、OGNL Java 插入 (JAVAi) 和恶意档案上传 (MFU)。

2015 年第一季中,超过 66% 的网路应用程式攻击属于 LFI 攻击,尤其在三月锁定两个大零售商发动的大规模 WordPress RevSlider 外挂程式的攻击活动。

SQLi 攻击同样相当常见,共佔超过 29% 的网路应用程式攻击总数,其中绝大部分攻击与旅游饭店业中的两间公司有关。其他五种攻击媒介则佔剩余的 5%。

综上所述,零售业是网路应用程式攻击的重灾区,其次为媒体娱乐业以及饭店旅游业。

工具 (booter)/ 施压 (stresser) 网站的威胁提升

受雇型 DDoS (DDoS-for-Hire)市场中因存在易用攻击媒介的清单,容易让人低估透过这些媒介攻击的效率。一年前,从工具(booter)/施压(stresser)网站使用这些手法的最高攻击流量通常仅有每秒 10 到 20 Gbps,而现在这些攻击网站变得更加危险,能够发起超过 100 Gbps 的攻击。随着反射攻击方式不断新增 (如 SSDP),这些攻击网站的潜在伤害预计会持续增加。

IPv6 的採用带来新的安全风险

IPv6 DDoS 虽仍不是常见的攻击事件,但迹象显示恶意攻击者已着手测试并研究 IPv6 DDoS 攻击方法。转换至 IPv6 时所引起的新风险和挑战,已经影响许多云端服务供应商,以及家用与企业网路拥有者。众多 IPv4 DDoS 攻击可以透过 IPv6 通讯协定複製,不过有些新的攻击媒介则是直接与 IPv6 架构有关。IPv6 许多功能都让攻击者可以躲过 IPv4 型防护,创造更大且可能更有效的 DDoS 攻击面。第一季安全报告概述了我们目前面临的一些风险和挑战。

SQL 插入式攻击不再只是资料窃取

SQL 插入式攻击最早出现于 1998 年,而其手法如今已更炉火纯青。这种恶意查询的影响不再只是简单的资料渗漏,更有可能造成比资料外洩更大的伤害。这些攻击可被用来提高权限、执行指令、感染或损毁资料、拒绝服务等等。Akamai 研究人员为发掘最频繁的攻击方法和目标,共分析 2015 年第一季中的八百多万起 SQL 插入式攻击。

网站置换和网域劫持

数百间虚拟主机公司提供的虚拟主机月费都将当便宜,所以主机公司通常会将多个帐户置于同一台伺服器上,其结果就是数百个网域和网站在同个伺服器 IP 位址下运作,间接地允许恶意攻击者可以一次劫持多个网站。只要一个网站被破坏,恶意攻击者就可能渗透伺服器目录,有机会读取使用者名称和密码清单,并存取其他客户帐户中的档案。渗透範围还可能包括网站资料库认证,让攻击者可以更改伺服器上每个网站的档案。第一季安全报告包含资安漏洞的说明,并举出多种建议的防护措施。