Stereotip orang untuk peretas rata-rata adalah: pergi sendiri, jauhkan dari pandangan. Bahkan, ada juga kelompok peretas yang bertempur.
Botnet telah menjadi musuh utama perusahaan dalam beberapa tahun terakhir. Saluran tamu rumah Lei Feng menemukan dari "Laporan Analisis Perilaku Geng IP" yang dirilis oleh NSFOCUS bahwa ada sekelompok botnet "penjualan yang dibundel" dan bertahan dalam aktivitas botnet multi-saluran dan Serangan DDoS, "jangan menyerah" atau "jangan menyerah".
"Anggota C" (hanya 2% dari penyerang) di grup ini meluncurkan 20% serangan sendiri, dan "anggota inti" (hanya 20% dari penyerang) meluncurkan 80% serangan. , Dan semua orang menyukai serangan refleksi, terutama serangan lalu lintas yang besar.
Peneliti keamanan menyebut kelompok seperti itu sebagai "IP Chain-Gang". Leifeng.com mengetahui bahwa setiap grup IP dikendalikan oleh peretas tertentu atau sekelompok peretas, sehingga grup yang sama pasti akan menunjukkan perilaku serupa dalam serangan yang berbeda.
Berdasarkan data serangan DDoS dan beberapa grup IP yang dikumpulkan dalam dua tahun terakhir, NSFOCUS telah meneliti perilaku grup mereka, dan meluncurkan "Analisis Perilaku Grup IP", berharap untuk membuat file grup dengan mempelajari perilaku historis grup untuk lebih akurat Jelaskan tindakan dari satu atau lebih pengontrol serangan di belakangnya, dan pada saat yang sama lebih efektif bertahan dari serangan di masa depan yang mungkin diluncurkan oleh kelompok ini, mencegah masalah sebelum terjadi.
penyerang
Ukuran tim IP: Ribuan orang mendominasi
Gambar di bawah ini menunjukkan distribusi grup IP. Kebanyakan geng beranggotakan kurang dari 1.000 orang, tetapi ada juga yang beranggotakan lebih dari 26.000 orang.
Gambar 1 Skala grup IP
Aturan 20/80 berlaku di semua tempat
Gambar di bawah ini menunjukkan jumlah serangan DDoS yang diluncurkan oleh masing-masing grup, berdasarkan jumlah insiden. Tidak mengherankan, sekitar 20% kelompok meluncurkan 80% serangan.
Gambar 2 Jumlah total serangan (menurut statistik serangan setiap grup)
Jumlah serangan
Total waktu serangan terlama dari geng melebihi 13 "tahun"
Gambar di bawah menunjukkan distribusi total waktu serangan kumulatif dari semua anggota grup yang sama. Beberapa geng memiliki total waktu serangan lebih dari 5000 hari (> 13 "tahun"), tetapi kebanyakan geng memiliki waktu serangan kurang dari 1000 hari.
Gambar 3 Total waktu serangan grup
Lebih sedikit anggota tim, lebih banyak serangan, lebih banyak lalu lintas serangan
Orang-orang umumnya berpikir bahwa grup yang lebih besar akan meluncurkan lebih banyak waktu serangan dan menghasilkan lebih banyak lalu lintas serangan, tetapi ini tidak terjadi.
Seperti yang ditunjukkan pada gambar di bawah ini, grup dengan anggota yang lebih sedikit dapat meluncurkan lebih banyak serangan dan mengirimkan lebih banyak lalu lintas serangan dibandingkan dengan grup IP berskala lebih besar. Ini menunjukkan bahwa penyerang dalam kelompok tertentu mungkin memiliki lebih banyak saluran untuk digunakan.
Gambar berikut menunjukkan 10 grup teratas yang diberi peringkat oleh lalu lintas total. Lalu lintas serangan total diwakili oleh gelembung oranye dengan ukuran berbeda.
Gambar 4 Perbandingan ukuran geng, jumlah serangan dan lalu lintas serangan total
Seperti yang ditunjukkan pada gambar di atas, serangan paling banyak diluncurkan ( > 50K) grup hanya memiliki 274 anggota, melampaui semua grup lain, dan gelembung terbesar (yaitu, lalu lintas serangan total terbesar) sesuai dengan jumlah serangan grup (
Jenis serangan
Serangan refleksi NTP paling sering digunakan dalam serangan lalu lintas besar karena kinerja amplifikasinya yang sangat baik. Metode serangan SYN Flood relatif sederhana dan banyak digunakan. Kedua jenis serangan ini, bersama dengan UDP Flood dan serangan refleksi SSDP, merupakan jenis serangan yang paling penting.
Gambar 5 Jenis serangan dan lalu lintas serangan total
Dalam serangan hybrid, banjir UDP adalah metode serangan yang umum digunakan. Gambar berikut menunjukkan metode serangan yang digunakan oleh suatu kelompok tertentu, sebagian besar kelompok hanya menggunakan satu metode serangan (92,8%), pada serangan campuran 75% menggunakan dua metode serangan dan 4% mengadopsi empat metode.
Gambar 6 Kombinasi berbagai metode serangan dalam serangan hybrid (kelompok penyerang)
Gambar 7 Kombinasi berbagai metode serangan dalam serangan hybrid (grup penyerang)
Serangan refleksi, terutama serangan dengan lalu lintas tinggi, adalah metode serangan paling populer dari berbagai kelompok. Dari perspektif kemampuan untuk memicu lalu lintas yang lebih besar, serangan refleksi NTP adalah serangan DDoS yang lebih kuat. Dari perspektif jumlah serangan, serangan refleksi DNS menyumbang proporsi yang relatif besar, terhitung 57% dari semua serangan refleksi.
Gambar 8 Lalu lintas serangan yang dipantulkan dan waktu (grup penyerang)
Lalu lintas puncak: "potensi" terbesar dari serangan grup IP
Distribusi keseluruhan lalu lintas puncak
Menurut statistik, lalu lintas puncak sebagian besar grup IP melebihi 2 Tbps. Lalu lintas puncak (Tbps) adalah parameter kunci untuk mengukur kemampuan serangan dan tingkat kejahatan dari suatu grup, yang mencerminkan kemampuan serangan maksimum grup penyerang pada target.
Gambar 9 Distribusi lalu lintas puncak kelompok IP (statistik menurut kelompok IP)
Lalu lintas serangan puncak dari satu grup
Kelompok biasanya tidak sepenuhnya menyadari potensi mereka, dan memahami batasan kemampuan mereka sangat penting untuk perencanaan pertahanan. Dengan membandingkan lalu lintas puncak grup tertentu dalam dua kuartal, kami menemukan bahwa puncak lalu lintas serangan maksimum grup berkali-kali lebih tinggi daripada lalu lintas serangan harian. Saat potensinya dilepaskan sepenuhnya, kekuatan destruktifnya luar biasa.
Gambar 10 Tren puncak lalu lintas serangan tunggal (kelompok serangan tertentu)
Sepuluh Grup Penyerang Teratas
NSFOCUS menghitung lalu lintas serangan dari Januari hingga September 2018, dan merangkum fluktuasi lalu lintas puncak dari sepuluh grup IP teratas. Puncak lalu lintas maksimum dan puncak lalu lintas rata-rata menunjukkan kemampuan serangan dan durasi serangan kelompok IP, yang mencerminkan hal ini Tingkat aktivitas serangan geng.
Gambar 11 Puncak lalu lintas dari sepuluh kelompok penyerang teratas
Catatan dari Lei Feng: Teks lengkap dari laporan tersebut dapat diunduh di
- POLO baru Volkswagen di luar negeri secara resmi diluncurkan dari jalur perakitan, diharapkan dibuat di Cina tahun depan
- "My Neighbor Totoro" diharapkan akan dirilis. Bagaimana rasanya melihat Jun Miyazaki di layar lebar!
- Cinta pada pandangan pertama atau cinta untuk waktu yang lama Perbandingan dan evaluasi Sagitar / Civic