人們對(duì)于一般黑客的刻板印象是：?jiǎn)未颡?dú)斗，神出鬼沒。事實(shí)上，還有一群黑客團(tuán)伙作戰(zhàn)。

僵尸網(wǎng)絡(luò)近年來已經(jīng)成為企業(yè)的大敵，雷鋒網(wǎng)宅客頻道從綠盟科技發(fā)布的《IP團(tuán)伙行為分析報(bào)告》中發(fā)現(xiàn)，有這樣一群僵尸機(jī)“捆綁銷售”，常年堅(jiān)持多渠道僵尸網(wǎng)絡(luò)活動(dòng)和 DDoS 攻擊，“不拋棄”“不放棄”。

這群團(tuán)伙中的“C位成員”（僅占攻擊者中 2%）以一己之力發(fā)起了 20%的攻擊，“核心成員”（僅占攻擊者中的20%）發(fā)起了 80%的攻擊，而且全員酷愛反射攻擊，特別是大流量攻擊。

安全研究者將這樣的團(tuán)體稱為“IP團(tuán)伙”（IP Chain-Gang）。雷鋒網(wǎng)了解到，每個(gè) IP 團(tuán)伙由某個(gè)或者一組黑客控制者，因此同一個(gè)團(tuán)伙在不同的攻擊中必然會(huì)表現(xiàn)出相似的行為。

綠盟科技根據(jù)近兩年所搜集的 DDoS 攻擊數(shù)據(jù)、多個(gè) IP 團(tuán)伙并研究了他們的團(tuán)伙行為，推出了《IP團(tuán)伙行為分析》，希望通過研究團(tuán)伙的歷史行為建立團(tuán)伙檔案，以便更準(zhǔn)確地描述其背后一個(gè)或多個(gè)攻擊控制者的行動(dòng)方式，同時(shí)更有效地防御這些團(tuán)伙未來可能發(fā)起的攻擊，防患于未然。

攻擊者

IP團(tuán)隊(duì)規(guī)模：千人團(tuán)體占主導(dǎo)

下圖展示了 IP 團(tuán)伙規(guī)模的分布情況。大多數(shù)團(tuán)伙成員不到1000人，但也有一個(gè)團(tuán)伙的成員高達(dá)26000多人。

圖1 IP團(tuán)伙規(guī)模

20/80法則，到哪里都適用

下圖展示了各團(tuán)伙發(fā)起的 DDoS 攻擊事件的數(shù)量，按事件次數(shù)統(tǒng)計(jì)。毫不意外，大約 20％的團(tuán)伙發(fā)起了 80％的攻擊。

圖2 攻擊總次數(shù)（按各團(tuán)伙攻擊統(tǒng)計(jì)）

攻擊事件次數(shù)

團(tuán)伙最長(zhǎng)總攻擊時(shí)長(zhǎng)超過 13“年”

下圖展示了同一團(tuán)伙所有成員的總累計(jì)攻擊時(shí)長(zhǎng)的分布情況。有些團(tuán)伙的總攻擊時(shí)長(zhǎng)高達(dá) 5000 多天（ ＞13“年”），但多數(shù)團(tuán)伙不到 1000 天。

圖3 團(tuán)伙總攻擊時(shí)長(zhǎng)

更少的團(tuán)員、更多攻擊次數(shù)、更大攻擊流量

人們一般覺得較大的團(tuán)伙會(huì)發(fā)動(dòng)較多攻擊時(shí)間，且產(chǎn)生的攻擊總流量也較大，但事實(shí)并非如此。

如下圖所示，與更大規(guī)模的 IP 團(tuán)伙相比，擁有較少成員的團(tuán)伙可能會(huì)發(fā)動(dòng)更多攻擊并發(fā)出更多攻擊流量。這說明，特定團(tuán)伙中的攻擊者可能擁有更多渠道可以利用。

下圖展示了按總流量排名的前 10 個(gè)團(tuán)伙，攻擊總流量以不同大小的橙色氣泡表示。

圖4 團(tuán)伙規(guī)模、攻擊次數(shù)及攻擊總流量對(duì)比

如上圖所示，發(fā)動(dòng)攻擊次數(shù)最多（> 50K）的團(tuán)伙僅擁有 274 名成員，超過了所有其他團(tuán)伙，而最大的氣泡（即攻擊總流量最大）對(duì)應(yīng)的團(tuán)伙攻擊次數(shù)竟然較少（<10K）。

攻擊類型

NTP反射攻擊由于出色的放大性能，在大流量攻擊中最常使用。SYN Flood攻擊方法較為簡(jiǎn)單，使用較為廣泛。這兩種攻擊再加上UDP Flood和SSDP反射攻擊構(gòu)成了最主要的攻擊類型。

圖5 攻擊類型與攻擊總流量

在混合攻擊中，UDP flood是常用的一種攻擊方式。下圖展示了某一團(tuán)伙采用的攻擊方法，該團(tuán)伙大多僅采用一種攻擊方法（92.8%），在混合攻擊中，75%的采取了兩種攻擊方法，4%的采取了四種方法。

圖6混合攻擊中各種攻擊方法的組合（某一攻擊團(tuán)伙）

圖7 混合攻擊中各種攻擊方法的組合（某一攻擊團(tuán)伙）

 

反射攻擊，特別是大流量攻擊，是各團(tuán)伙最青睞的攻擊方法。從觸發(fā)較大流量的能力來看，NTP反射攻擊是一種更為強(qiáng)大的DDoS攻擊。從攻擊事件數(shù)量角度看，DNS反射攻擊占比較大，占全部反射型攻擊的57%。

圖8 反射攻擊流量與次數(shù)（某一攻擊團(tuán)伙）

流量峰值：IP 團(tuán)伙攻擊的最大“潛力”

流量峰值的整體分布

根據(jù)統(tǒng)計(jì)大多數(shù)IP團(tuán)伙的流量峰值都超過了2 Tbps，流量峰值（Tbps）是衡量某一團(tuán)伙的攻擊能力和惡意程度的關(guān)鍵參數(shù)，反映了攻擊團(tuán)伙對(duì)目標(biāo)的最大攻擊能力。

圖9 IP團(tuán)伙的流量峰值分布（按IP團(tuán)伙統(tǒng)計(jì)）

單個(gè)團(tuán)伙的攻擊流量峰值

各團(tuán)伙通常并未完全發(fā)揮其潛力，了解它們的能力極限對(duì)于規(guī)劃防御非常重要。通過對(duì)某個(gè)團(tuán)伙兩個(gè)季度流量峰值的對(duì)比，我們發(fā)現(xiàn)該團(tuán)伙最大攻擊流量峰值比日常攻擊流量高出很多倍，當(dāng)其潛力完全釋放出來時(shí)，破壞力是驚人的。

圖10 單一攻擊的流量峰值趨勢(shì)（某一攻擊團(tuán)伙）

十大攻擊團(tuán)伙

綠盟科技統(tǒng)計(jì)了2018年1至9月期間的攻擊流量，總結(jié)了排名前十的IP團(tuán)伙的流量峰值起伏變化，最大流量峰值和平均流量峰值表示IP團(tuán)伙的攻擊能力和攻擊時(shí)長(zhǎng)，反映了這些團(tuán)伙的攻擊活躍程度。

圖11 十大攻擊團(tuán)伙的流量峰值

雷鋒網(wǎng)注：報(bào)告全文下載地址為http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。