Akamai PLXsert發表「2014年第四季網際網路現狀 – 安全報告」

雲端服務供應商Akamai發表「2014年第四季網際網路現狀 – 安全報告」。本報告由Akamai旗下Prolexic安全工程及研究團隊(Prolexic Security Engineering & Research Team；PLXsert)所製作，Prolexic是分散式阻斷服務(Distributed Denial of Service；DDoS)攻擊的保護服務與雲端安全服務及策略的領導者。本季報告針對全球攻擊威脅現狀提供分析與見解，包括在PLXrouted網路觀察到的DDoS攻擊。

Akamai Technologies雲端安全事業單位副總裁John Summers 表示：「第四季發生的DDoS攻擊數量驚人，較2013年第四季的觀察增加將近一倍。阻斷服務對眾多企業而言是常見且活躍的威脅。DDoS攻擊流量並不限於單一產業，例如線上娛樂在12月成為新聞焦點。換言之，攻擊已遍及各類產業。」

Akamai也觀察到，DDoS攻擊的平均高峰頻寬較2013年第四季增加52%。大量不必要的網路流量封包能迅速削弱企業回應正當客戶的能力，導致阻斷服務中斷。大多數未受保護的網站無法承受典型的DDoS攻擊。因此，對於擁有線上版圖(online presence)的所有企業而言，都必須在風險評估中預期到DDoS攻擊已成為共同網路安全威脅概況(threatscape)的一部分。

受雇進行DDoS攻擊(DDoS-for-hire)以及反射與多重載體攻擊的增加
資源豐富的受雇進行DDoS攻擊用工具套件，是一種採用反射技術為基礎的低投資成本DDoS攻擊方法。將近40%的DDoS攻擊使用反射技術，該技術依賴的網路協定之回覆流量高於接收流量，攻擊者不需控制伺服器或設備。

受雇進行DDoS攻擊服務的普及，使低階、非技術性攻擊者得以購買現成可用的DDoS服務。激烈競爭的市場促使攻擊手法創新，受雇進行DDoS攻擊市場的擴張也助長了多重載體攻擊活動。觀察到的多重載體攻擊次數明顯增加，較2013年第四季上升88%。而44%以上的攻擊使用多重攻擊載體。

不斷變化的全球DDoS攻擊目標與來源分布
DDoS攻擊的時機在第四季分布較為平均，在以往較少發生攻擊的地理位置，其價值較高的目標數量逐漸增加，似乎助長了此DDoS攻擊趨勢。此外，惡意流量的地理來源也已經轉移，美國與中國仍然是DDoS流量的主要來源國家，不過不同於2014年第三季以巴西、俄國、印度、中國金磚四國(BRIC)為主，第四季DDoS攻擊流量則大部分來自美國、中國及西歐。

Akamai PLXsert「2014年第四季網際網路現狀 – 安全報告」重點：
與2013年第四季相比
˙ DDoS攻擊數量上升57%
˙ 平均高峰頻寬增加52%
˙ 每秒平均高峰封包數量下降77%
˙ 應用程式層攻擊上升51%
˙ 基礎架構層攻擊上升58%
˙ 平均攻擊時間長度增加28%
˙ 多重載體攻擊上升84%
˙ 超過100Gbps攻擊增加200% (9比3)

與2014年第三季相比
˙ DDoS攻擊數量上升90%
˙ 平均高峰攻擊頻寬下降54%
˙ 每秒平均高峰封包數量下降83%
˙ 應用程式層攻擊上升16%
˙ 基礎架構層攻擊上升121%
˙ 平均攻擊時間長度上升31%
˙ 多重載體攻擊上升38%
˙ 超過100 Gbps攻擊下降 47% (9比17)

瞭解殭屍網路
DDoS殭屍網路擴張時常使用惡意軟體。安全報告說明了惡意軟體的趨勢，包括多平台、作業系統意識與破壞性惡意軟體等。此外，Akamai運用Akamai Intelligent Platform所蒐集的資料，藉由新的分析技術，側寫多重網路應用攻擊殭屍網路。這些已辨識的殭屍網路被設定能自動發現網路應用漏洞，進行遠端檔案引入(Remote File Inclusion；RFI)與作業系統(OS)命令植入攻擊。Akamai研究人員在看似無關的攻擊之間辨別出相同的惡意代碼資源URL及有效負載(payload)，進行殭屍網路的側寫。其中一項攻擊有效負載被用於匯總資料，以及標記殭屍網路活動、行動者及受害者的網路應用程式。此種側寫分析技術有助於辨識出更多攻擊來源。

緩解網路機器人、擷取程式(scraper)與蜘蛛程式(spider)
阻斷服務攻擊能嚴重影響網站性能，而網路爬蟲亦較小程度影響網站性能。就算是編碼最差的網路爬蟲，也能達到類似DDoS攻擊的流量。Akamai分類網路爬蟲的依據在於其對網站性能的必要性與影響力。安全報告中已針對分類與緩解網路爬蟲影響的方式提出建議。