伴随全球范围内的网络安全状况的不断恶化，近期的分布式拒绝服务（DDoS）和Web应用程序攻击愈演愈烈，根据刚刚发布的《2015年第四季度互联网发展状况安全报告》显示，在2015年第四季度里，上述两种攻击的数量都在快速增长，与去年第三季度相比，Web应用程序攻击的数量上升了28%，而DDoS攻击上升了40%。不仅如此，恶意攻击者还会针对同一目标展开重复攻击，以期找到防御系统可能发生故障的时机。

　　DDoS攻击总量持续增长

据统计发现，与2014年第四季度相比，DDoS攻击总量增加148.85%，与2015年第三季度相比，DDoS攻击总量也有39.89%的增长。而且自2014年第四季度以来，反射攻击的使用大幅增加。其中，SSDP、NTP、DNS和CHARGEN一直是最常见的反射攻击向量。同时，经CDN智能平台抵御的DDoS攻击超过3600次，是一年前攻击数量的两倍多。

SSDP、NTP、DNS和CHARGEN是最常见的反射攻击向量（图片来自stateoftheinternet.com）

经分析，上述攻击的绝大部分来自于基于stresser/booter的僵尸网络。鉴于这些雇佣式DDoS攻击主要依赖于反射技术来推动其流量，且无法生成大型攻击。因此，与一年前相比，检测到的大型攻击数量有所减少。此外，stresser/booter站点在其使用方面通常具有时间限制，从而使得平均攻击持续时间减少到15个小时以内。

在2015年第四季度，DDoS攻击的最大峰值达到了309Gbps，以及最高202亿个数据包每秒（Mpps）。据悉，受此攻击的主要目标是软件和技术行业的客户，攻击者则使用了来源于XOR和BillGates僵尸网络的SYN、UDP和NTP攻击的常见组合。利用该组合攻击者往往发动持续性攻击，有受害企业表示曾在8天时间里遭受19次攻击，而且从一月初开始就不断遭到其他攻击。

同时根据分析发现，基础架构层（第3 & 4层）攻击在多个季度均居于主导地位，并占2015年第四季度检测到的攻击总量的97%。在2015年第四季度，21%的DDoS攻击包含UDP Fragments攻击。这其中有一些是反射攻击的放大因素所造成的直接效果，主要是由CHARGEN、DNS和SNMP协议的滥用所导致的，所有这些均可能存在很大的有效负载。

而与2015年第三季度相比，NTP和DNS攻击数量大幅增加。由于恶意攻击者试图滥用具有内置安全性的域（DNSSEC），且这些域通常提供更大的响应数据，DNS反射式攻击因此增加了92%。尽管NTP反射资源随着时间的推移已经耗尽，但与上一季度相比，四季度的NTP更流行，增幅近57%。

在2015年第四季度的另一个趋势是多向量攻击的增加。在2014年第二季度，仅42%的DDoS攻击是多向量的；但在2015年第四季度，56%的DDoS攻击是多向量。在第四季度检测到的大多数的多向量攻击仅使用了2个向量（占所有攻击的35%），而3%的攻击会用5到8个向量。

虽然Web应用攻击数量与与2015年第三季度相比增加了28%，但通过HTTP与HTTPS发送的Web应用攻击的百分比却在两个季度保持相对一致：第四季度通过HTTP发送的Web应用攻击为89%，第三季度通过HTTP发送的为88%。

　　在Web应用攻击方面，2015Q4最常检测到的攻击向量有LFI、SQLi和PHPi

其中，2015年第四季度最常检测到的攻击向量有LFI、SQLi和PHPi，其次是XSS和Shellshock。其余的2%由RFI、MFU、CMDi和JAVAi攻击构成。除了PHPi以外，通过HTTP与HTTPS发送的攻击向量的相对分布很相似；PHPi仅占通过HTTPS发送的攻击的1%。

第四季度Web应用攻击有59%以零售商为目标，而第三季度此比例为55%。媒体与娱乐、酒店与旅游行业是第二最常被攻击的目标，各占攻击的10%。这表示与第三季度相比有所变化，在第三季度金融服务行业是第二最常被攻击的行业（占攻击的15%），而2015年第四季度金融服务行业仅占攻击的7%。

据了解，美国是Web应用攻击的主要来源（56%）和最常被攻击的目标（77%），该趋势自2015年第三季度起便在开始延续。巴西是第二大攻击源（6%）以及第二大最常被攻击的国家（7%），这似乎与一个大型的云基础设施即服务（IaaS）提供商在此处开设了新的数据中心相关。自从开设数据中心以来，Akamai便发现来自巴西的恶意流量开始大幅增长，特别是来自前面提及的数据中心。大部分此类攻击针对的是零售行业中的巴西客户。

综上，随着DDoS攻击和Web应用攻击日益增长的严峻挑战，对于上述攻击的安全防护一直以来都是业内的关注焦点，而在近期召开的RSA2016大会上，也有关于新时期下甚至未来SDN趋势下如何构建抵御DDoS攻击的相关讲演，有兴趣的企业用户可以进入RSA2016专题了解更多详细内容。