Memcache UDP 反射放大攻击 II: 最近的数据分析

我们在之前的 文章 中已经提及,Memcache DRDoS 自从被360 0kee team首次公开批露以来,在过去的9个月中在网络上都不活跃。但是最近十天以来,Memcache DRDoS 在现网中的攻击越来越频繁,所制造的攻击流量也在不断刷新,当前最新的公开记录已经到了 1.7Tbps 。 关于这种攻击方式,目前还有很多问题等待回答。例如,到底已经有多少受害者、攻击中所使用的反射点到底有多少、实际发生的反射放大倍数是多少,等等。通过回答这些问题,我们可以充分描述当前总体态势,有助于安全社区理解这种新的DDoS攻击方式。 为此我们在 Memcache DRDoS 在 DDoSMon 上建立了一个

CLDAP反射放大攻击超过SSDP和CharGen成为第三大反射型DDoS攻击

作者:Xu Yang,kenshin 利用DDoSMon.net,我们实时并持续的监控全球DDoS攻击相关事件。长期以来,DDoS攻击的反射放大细分类型中,DNS、NTP、CharGen、SSDP是最经常被滥用的服务,过去一年中的排位依次是第1、2、3、4位。 近期我们注意到, 基于CLDAP的 反射放大攻击(以下称为CLDAP攻击)已经超过SSDP和CharGEN成为第三大反射型DDoS攻击。CLDAP攻击在过去365天和90天在反射放大类DDoS攻击中占据比例,对比如下图: 数据来源:DDoSMon。网站上Insight页面的内容可以覆盖本次blog中的大部分数据。 CLDAP攻击首次出现是在去年10月底,到现在恰好一年。本篇blog中,我们对CLDAP攻击上升情况做一个回顾: 在过去的一年中,我们累积观察到304,

SYN DRDoS攻击突然密集出现

    “基于TCP SYN的反射DDoS”(TCP SYN Distributed Reflection Denial of Service)的攻击早在2001年就被研究者发现,但是在真实的网络环境中,包括我们的DDoS网络监测系统中并不常见。但自从5月月份以来,这种攻击突然密集出现,如下图所示。 图1:DDoS网络监测系统每月SYN DRDoS统计 扫描检测系统检测到异常     5月9日17点之后的2个多小时内我们的扫描检测系统突然开始收到了多出以往几个数量级的TCP SYN包,如图2所示: 图2:TCP SYN包数量异常

新威胁报告:一个新IoT僵尸网络正在 HTTP 81上大范围传播

概述 360 网络安全研究院近日监测到一个新的僵尸网络正在大范围扫描整个互联网。考虑到该僵尸网络的以下因素,我们决定向安全社区公开我们的发现成果: 规模较大,我们目前可以看到 ~50k 日活IP 有Simple UDP DDoS 攻击记录,可以认定是恶意代码 较新,目前尚有较多安全厂商未能识别该恶意代码 ( 7/55 virustotal ) 与mirai僵尸网络相比,借鉴了其端口嗅探手法和部分代码,但是在传播、C2通信协议、攻击向量等关键方面完全不同于mirai,是新的恶意代码家族而不应视为mirai的变种 我们梳理了该僵尸网络的发现过程、传播手法、行为特征,简略分析了该僵尸网络的攻击行为,并按照时间线组织本blog的各小节如下: GoAhead及多家摄像头的 RCE 漏洞

关于 dyn / twitter 受攻击情况的说明和 mirai 僵尸网络的回顾

【更新记录】 2016-10-23 初始版本 2016-10-27 获得了少量攻击现场数据,分析结果与之前观点吻合一致。 北京时间2016年10月21 日晚间,北美地区大量反馈若干重要的互联网网站无法正常访问。涉及到的网站包括 twitter, paypal,github等等,由于这些网站与北美地区日常生活强烈相关,这次网络故障被北美主要媒体广泛报道,也引起了安全社区的强烈关注。我们与国外安全社区一起协同,对本次网络事件提供数据、加以分析并做了溯源跟踪。 目前我们已经能够确定本次事件是一次DDoS网络攻击事件,攻击目标主要是Dynamic Network Services(dyn)公司,twitter、paypal、github等网站作为dyn公司的客户,在本次攻击中不幸被波及。 在攻击持续溯源的过程中,虽然目前Flashpoint公司已经确认最近广泛受关注的mirai僵尸网络参与了本次网络攻击,但是我们倾向认为虽然mirai贡献了本次攻击的部分攻击流量,但并非所有的攻击流量都来自原始泄漏版本mirai。