人們對于一般黑客的刻板印象是：單打獨斗，神出鬼沒。事實上，還有一群黑客團伙作戰(zhàn)。

僵尸網(wǎng)絡(luò)近年來已經(jīng)成為企業(yè)的大敵，雷鋒網(wǎng)宅客頻道從綠盟科技發(fā)布的《IP團伙行為分析報告》中發(fā)現(xiàn)，有這樣一群僵尸機“捆綁銷售”，常年堅持多渠道僵尸網(wǎng)絡(luò)活動和 DDoS 攻擊，“不拋棄”“不放棄”。

這群團伙中的“C位成員”（僅占攻擊者中 2%）以一己之力發(fā)起了 20%的攻擊，“核心成員”（僅占攻擊者中的20%）發(fā)起了 80%的攻擊，而且全員酷愛反射攻擊，特別是大流量攻擊。

安全研究者將這樣的團體稱為“IP團伙”（IP Chain-Gang）。雷鋒網(wǎng)了解到，每個 IP 團伙由某個或者一組黑客控制者，因此同一個團伙在不同的攻擊中必然會表現(xiàn)出相似的行為。

綠盟科技根據(jù)近兩年所搜集的 DDoS 攻擊數(shù)據(jù)、多個 IP 團伙并研究了他們的團伙行為，推出了《IP團伙行為分析》，希望通過研究團伙的歷史行為建立團伙檔案，以便更準確地描述其背后一個或多個攻擊控制者的行動方式，同時更有效地防御這些團伙未來可能發(fā)起的攻擊，防患于未然。

攻擊者

IP團隊規(guī)模：千人團體占主導

下圖展示了 IP 團伙規(guī)模的分布情況。大多數(shù)團伙成員不到1000人，但也有一個團伙的成員高達26000多人。

圖1 IP團伙規(guī)模

20/80法則，到哪里都適用

下圖展示了各團伙發(fā)起的 DDoS 攻擊事件的數(shù)量，按事件次數(shù)統(tǒng)計。毫不意外，大約 20％的團伙發(fā)起了 80％的攻擊。

圖2 攻擊總次數(shù)（按各團伙攻擊統(tǒng)計）

攻擊事件次數(shù)

團伙最長總攻擊時長超過 13“年”

下圖展示了同一團伙所有成員的總累計攻擊時長的分布情況。有些團伙的總攻擊時長高達 5000 多天（ ＞13“年”），但多數(shù)團伙不到 1000 天。

圖3 團伙總攻擊時長

更少的團員、更多攻擊次數(shù)、更大攻擊流量

人們一般覺得較大的團伙會發(fā)動較多攻擊時間，且產(chǎn)生的攻擊總流量也較大，但事實并非如此。

如下圖所示，與更大規(guī)模的 IP 團伙相比，擁有較少成員的團伙可能會發(fā)動更多攻擊并發(fā)出更多攻擊流量。這說明，特定團伙中的攻擊者可能擁有更多渠道可以利用。

下圖展示了按總流量排名的前 10 個團伙，攻擊總流量以不同大小的橙色氣泡表示。

圖4 團伙規(guī)模、攻擊次數(shù)及攻擊總流量對比

如上圖所示，發(fā)動攻擊次數(shù)最多（> 50K）的團伙僅擁有 274 名成員，超過了所有其他團伙，而最大的氣泡（即攻擊總流量最大）對應(yīng)的團伙攻擊次數(shù)竟然較少（<10K）。

攻擊類型

NTP反射攻擊由于出色的放大性能，在大流量攻擊中最常使用。SYN Flood攻擊方法較為簡單，使用較為廣泛。這兩種攻擊再加上UDP Flood和SSDP反射攻擊構(gòu)成了最主要的攻擊類型。

圖5 攻擊類型與攻擊總流量

在混合攻擊中，UDP flood是常用的一種攻擊方式。下圖展示了某一團伙采用的攻擊方法，該團伙大多僅采用一種攻擊方法（92.8%），在混合攻擊中，75%的采取了兩種攻擊方法，4%的采取了四種方法。

圖6混合攻擊中各種攻擊方法的組合（某一攻擊團伙）

圖7 混合攻擊中各種攻擊方法的組合（某一攻擊團伙）

 

反射攻擊，特別是大流量攻擊，是各團伙最青睞的攻擊方法。從觸發(fā)較大流量的能力來看，NTP反射攻擊是一種更為強大的DDoS攻擊。從攻擊事件數(shù)量角度看，DNS反射攻擊占比較大，占全部反射型攻擊的57%。

圖8 反射攻擊流量與次數(shù)（某一攻擊團伙）

流量峰值：IP 團伙攻擊的最大“潛力”

流量峰值的整體分布

根據(jù)統(tǒng)計大多數(shù)IP團伙的流量峰值都超過了2 Tbps，流量峰值（Tbps）是衡量某一團伙的攻擊能力和惡意程度的關(guān)鍵參數(shù)，反映了攻擊團伙對目標的最大攻擊能力。

圖9 IP團伙的流量峰值分布（按IP團伙統(tǒng)計）

單個團伙的攻擊流量峰值

各團伙通常并未完全發(fā)揮其潛力，了解它們的能力極限對于規(guī)劃防御非常重要。通過對某個團伙兩個季度流量峰值的對比，我們發(fā)現(xiàn)該團伙最大攻擊流量峰值比日常攻擊流量高出很多倍，當其潛力完全釋放出來時，破壞力是驚人的。

圖10 單一攻擊的流量峰值趨勢（某一攻擊團伙）

十大攻擊團伙

綠盟科技統(tǒng)計了2018年1至9月期間的攻擊流量，總結(jié)了排名前十的IP團伙的流量峰值起伏變化，最大流量峰值和平均流量峰值表示IP團伙的攻擊能力和攻擊時長，反映了這些團伙的攻擊活躍程度。

圖11 十大攻擊團伙的流量峰值

雷鋒網(wǎng)注：報告全文下載地址為http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。