IP团伙行为分析(更新中文版报告)
这篇讲的是绿盟科技首次以“IP团伙”为单位对DDoS攻击进行研究的报告。作者从一个新角度出发,将协作发起DDoS攻击的惯犯群体定义为“IP团伙”,并基于2017年以来的攻击数据,分析了如何识别这些团伙及其行为特征。 研究发现,这些团伙虽然只占攻击者总数的2%,却发起了约20%的攻击,且约20%的头部团伙对大部分攻击流量负责。在攻击方法上,反射型攻击(尤其是NTP反射)是团伙实施大流量攻击的首选。报告还揭示了一些反直觉的结论:团伙的攻击能力(如总流量、峰值带宽)与其成员规模并非简单正比,一个256人的团伙可能产生比大团伙更猛的攻击流量。 通过为团伙建立“画像”,研究旨在更精准地描述攻击者的行为模式、偏好与能力极限。这为网络安全防御提供了一个更聚焦的视角——不仅应对孤立事件,更能基于团伙历史行为来检测、缓解甚至预测未来的协同攻击。
