akamai 的 [網際網路現狀] / 資安

2016 年第四季執行摘要

2 如需完整報告，請前往以下網站下載：www.akamai.com/StateOfTheInternet

[網際網路現狀] / 資安 / 2016 第四季執行摘要

關於這份摘要 / Akamai 是內容遞送網路 (CDN) 的

全球領導廠商，運用其遍及全球的 Intel l igent

PlatformTM 每天處理數兆筆網際網路交易。此平台

能讓 Akamai 根據寬頻網路連線能力、雲端安全、

媒體傳遞等評估指標來收集大量相關資料。網際

網路現狀的宗旨在於善用資料，藉此協助企業與

政府更有效地做出明智的策略性決策。Akamai 每

一季都會運用此資料在網際網路現狀中發佈以寬

頻網路連線能力和雲端安全為主題的相關報告。

3 如需完整報告，請前往以下網站下載：www.akamai.com/StateOfTheInternet

[網際網路現狀] / 資安 / 2016 第四季執行摘要

雲端安全

DDoS (分散式阻斷服務) 攻擊 [2016 年第四季與 2015 年第四季之比較]

DDoS 攻擊總數增加 4%

基礎架構層 (第 3 和第 4 層) 攻擊增加 6%

反射型攻擊增加 22%

大於 100 Gbps 的攻擊增加 140%：12 比 5

網路應用程式攻擊 [2016 年第四季與 2015 年第四季之比較]

網路應用程式攻擊總數減少 19%

來自美國的攻擊來源減少 53% (目前的最高來源國家)

SQLi 攻擊增加 44%

最大規模的 攻擊

每個目標平均攻擊數

2016 年 第二季

29

2016 年 第三季

30

2016 年第四季

2016 年第三季

2015 年第四季

517 Gbps

623 Gbps

309 Gbps

2016 年 第四季

30

報告概覽 / 2016 年第四季網際網路現狀 / 資安報告彙整了路由網路上的 DDoS (分散式阻斷服務) 攻擊資料以及 Akamai Intelligent PlatformTM 的網路應用

程式和 DDoS 攻擊資料。

DDoS 最新動態 / 不安全的物聯網裝置持續是 DDoS 攻擊流量一大來源。這些裝

置急速普及，將成為龐大的攻擊資源，且因新發現的弱點與脆弱系統而更加重問

題。在第三季時，用於 Mirai 攻擊的裝置數量僅為網際網路上的物聯網裝置一小

部分；主要為具備 IP 連線功能的攝影機與路由器。隨著越來越多不安全裝置加

入物聯網上的殭屍網路，往後的殭屍網路能力與 DDoS 攻擊規模亦將繼續攀升。

4 如需完整報告，請前往以下網站下載：www.akamai.com/StateOfTheInternet

[網際網路現狀] / 資安 / 2016 第四季執行摘要

不過此趨勢亦有緩和因素。美國 FTC (聯邦交易委員會) 已於加州控告消費型無線

路由器的製造商。該製造商製作有缺陷因而不安全的系統軟體，使消費者曝露於

風險中。這並非 FTC 首次因製造商製作不安全軟體而採取行動。這些動作應視

為警告，促使其他製造商確保各自系統安全。

超過 300 Gbps 的 DDoS 攻擊已較為常見。Akamai 有史以來所記錄超過 300 Gbps 的 10 次 DDoS 攻擊當中，有七次發生於 2016 年，包括第四季的三次。與 2015 年第四季比較，超過 100 Gbps 的攻擊已增加 140%。在 2016 年第四季的 12 次超大規

模攻擊當中，兩次針對軟體與科技產業，遊戲產業則遭受五次超大規模攻擊。媒

體與娛樂產業亦遭受五次超大規模攻擊，其中三次達到或超過 300 Gbps。

10 月 11 日10 月 15 日10 月 17 日10 月 18 日11 月 1 日

11 月 13 日12 月 2 日12 月 4 日12 月 5 日

12 月 17 日12 月 17 日12 月 20 日

Gbps

攻擊日期

電玩 媒體和娛樂 軟體和科技

261517

300306

173292

104163

122151

161157

2016 年第四季大於 100 Gbps 的 DDoS 攻擊

2016 年第四季有十二次 DDoS 攻擊超過 100 Gbps，其中五次超過 200 Gbps

5 如需完整報告，請前往以下網站下載：www.akamai.com/StateOfTheInternet

[網際網路現狀] / 資安 / 2016 第四季執行摘要

Mirai 與物聯網殭屍網路雖自第三季即陸續報導，但是本季最大規模攻擊達 517 Gbps 卻來自不同殭屍網路：Spike DDoS 工具組。Spike 是一種惡意軟體，常與 x86 Linux 為基礎的惡意軟體相關，例如 XOR 與 BillGates。當 Akamai 安全情報回

應團隊 (SIRT) 於 2014 年 9 月發佈 Spike 的預警分析報告時，測得其尖峰攻擊流量

為 215 Gbps，比本季 517 Gbps Spike 攻擊規模小一半。

超過 300 Gbps 的 DDoS 攻擊雖是新見，但並不意外。若檢視過去曾造就最大型

超大規模攻擊的殭屍網路，可發現 2014 年中的 XOR、2015 年末的 BillGates、2016 年前半的 Kaiten (Mirai 的前身)、9 月的 Mirai，以及第四季的 Spike。迄今，300 Gbps 以上的攻擊有半數發生於 2016 年 9 月至 12 月間。

2014 年 7 月至 2016 年 12 月各殭屍網路超過 300 Gbps 的 DDoS 攻擊

16 年 10 月14 年 7 月

321

14 年 7 月

312

15 年 12 月

309

16 年 4 月

337

16 年 6 月

363

16 年 9 月

623

16 年 9 月

555517

16 年 10 月

300

16 年 10 月

306

Mirai BillGates Kaiten XOR Spike

自 2014 年 7 月至 2016 年 12 月止，共四種殭屍網路產生 10 次超過 300 Gbps 的 DDoS 攻擊。其中七次發生於 2016 年

6 如需完整報告，請前往以下網站下載：www.akamai.com/StateOfTheInternet

[網際網路現狀] / 資安 / 2016 第四季執行摘要

本季記錄的 25 種攻擊手法當中，前三為 UDP 分段式攻擊 (27%)、DNS (21%) 與 NTP (15%)。與增長中的物聯網資源不同的是，可用於 DDoS 攻擊的 NTP 資源正因為伺服器修正與舊伺服器汰換而逐漸減少。第四熱門攻擊手法利用 CHARGEN，這是印表機使用的一種測試與測量通訊協定。由於這種協定持續使

用，因此令人質疑為何竟會向外部暴露。

Akamai 於本季報告中新增一種反射型 DDoS 攻擊手法：CLDAP (非連線式輕

量型目錄存取通訊協定)。攻擊者濫用 CLDAP 放大 DDoS 流量。CLDAP 係於 Windows 網路提供，供網路登入時存取驗證資訊。

DDoS 攻擊三大來源國家為美國 (24%)、英國 (10%) 與德國 (7%)。這並不尋 常，部分原因則在於 Mirai 殭屍網路。過去一年間，中國一向稱霸十大來源 國家。在 2016 年第四季，中國掉落至整體第四位，僅佔 6% 流量。加拿大位居

第 11，較以往各季顯著提高。

本季平均 DDoS 攻擊次數持平於每個目標 30 次，代表一家企業遭受首次攻擊之

後，有極高的可能性會再度遭受攻擊。一部分企業幾乎連續不斷遭受攻擊：遭受

最多攻擊的企業每日遭受三至五次攻擊。

7 如需完整報告，請前往以下網站下載：www.akamai.com/StateOfTheInternet

[網際網路現狀] / 資安 / 2016 第四季執行摘要

網路應用程式攻擊統計數據 / 本季所有網路應用程式攻擊中，有 9 5 % 的攻擊採用以下三種攻擊手法：SQLi (SQL 注入式攻擊)、LFI (本機檔案入

侵) 以及 XSS (跨網站指令碼)。雖然總計比例類似第三季，但是 SQLi 的比

例自第二季的 44% 增加至第三季的 49%，再至第四季的 5 1%，比 2015 年 第四季增加了 44%。同時，LFI 的使用比例則自第二季的 45% 降低至第三季的 40% 以及第四季的 37%。

在美國感恩節 11 月 22 至 29 日之間，Akamai 遞送平均尖峰流量達 33 Tbps。在此

期間，零售產業的四個子垂直產業均遭受顯著規模的網路應用程式攻擊，是針對

節慶購物潮而來。其中包括了一家鞋與服飾零售集團、一家消費者入口網站廠商

的地區網站、消費性電子產品公司，以及媒體與娛樂公司。

在第三季的 Mirai 攻擊之後，Akamai 進行了回溯性研究，掃描連接埠 23 及 2323。Mirai 利用這些連接埠登入無防護的數位攝影機與具備 IP 連線功能的

閉路電視系統。Mirai 最初版本可能早在 2016 年 5 月 13 日開始大幅增加掃

描動作時就已經入侵對象系統。而在 7 月底的第二次流量增大則可能是因 Mirai 程式碼正式發佈所造成。

SQLi

51.29%

37.26%

LFI

7.16%

XSS

1.96%

RFI

1.48%

PHPi

0.85%

其他

2016 年第四季網路應用程式攻擊頻率

SQLi 與 LFI 總計佔觀測所得網路應用程式 攻擊的 88%

8 如需完整報告，請前往以下網站下載：www.akamai.com/StateOfTheInternet

[網際網路現狀] / 資安 / 2016 第四季執行摘要

美國與荷蘭連續第二季名列第一與第二大網路應用程式攻擊來源，德國則位居 第三。檢視各區域資料可獲得進一步結論。美洲網路應用程式攻擊流量三大來源

分別是美國、巴西與加拿大。在 EMEA (歐洲、中東與非洲地區) 最大來源則依序

為荷蘭、德國與俄羅斯。在亞太地區最大來源依序為中國、印度與日本。

資源 / 向 Akamai 索取 2016 年第四季的網路安全資源：

1. Mirai 殭屍網路威脅預警分析報告 / Mirai 程式碼發表之前的攻擊與調查 結果，以及發表後的攻擊

2. mDNS 反射型攻擊威脅預警分析報告 / 濫用多點傳送網域名稱系統通訊協定 攻擊遊戲及軟體與科技產業

3. 黑暗網路現況 2016 / 新的數位貨幣、市場變遷與產品、隱私權服務、 政策及執法狀況

2016 年第四季全球網路應用程式攻擊來源國家

網路應用程式攻擊源自全世界，其中美國

為最氾濫的來源國家

國家 產出攻擊 百分比

美國 97,918,896 28%

荷蘭 61,499,919 17%

德國 32,384,205 9.2%

巴西 19,379,729 5.5%

俄羅斯 16,643,150 4.7%

中國 14,275,358 4.0%

英國 11,908,055 3.4%

立陶宛 9,793,507 2.8%

法國 8,772,176 2.5%

印度 8,638,666 2.4%

<100,000 1M – 5M

10M – 25M

5M – 10M

NA>25M

100,000 – 1M

[網際網路現狀] / 資安 / 2016 第四季執行摘要

[網際網路現狀] / 資安

網際網路現狀 / 資安小組

資深資安顧問、資深編輯 Martin McKeayJose Arteaga，Akamai SIRT編輯 Amanda Fakhreddine資安顧問 Dave Lewis Larry Cashdollar，Akamai SIRTChad Seaman，Akamai SIRTJon �ompson，自訂分析 Ryan Barnett，威脅研究單位 Ezra Caltum，威脅研究單位 設計

創意總監 Shawn Doughty藝術暨設計總監 Brendan O’Hara

聯絡資訊

SOTIsecurity@akamai.comTwitter：@akamai_soti / @akamaiwww.akamai.com/StateOf�eInternet

©2017Akamai Technologies, Inc. 版權所有。在未取得明示書面同意之前，不得以任何形式或媒介，全部或部分重製。Akamai 與 Akamai 波浪標誌為註冊商標。 本文所包含的其他商標為其個別所有者的財產。Akamai 確信本出版物資訊在發佈之日內容準確無誤。本出版物中的資訊可能隨時更改，恕不另行通知。 2017年 02 月發行。

Akamai 總部位於美國麻薩諸塞州劍橋市 (Cambridge)，全球擁有超過 57 個營運據點。我們的服務與享譽盛名的客戶服務可協助企業為全球客戶提供無與倫比的 網際網路體驗。所有營運據點的地址、電話號碼及聯絡資訊均列於：www.akamai.com/locations。

Akamai 為內容遞送網路 (CDN) 服務的全球領導廠商，致力為客戶提供快速、可靠與安全的網際網路。Akamai 提供先進的網路效能、行動效能、雲端安全及媒體

遞送解決方案，徹底改變企業於任何地點任何裝置上最佳化客戶、企業以及娛樂體驗的方式。想瞭解 Akamai 的解決方案以及其網際網路專家協助企業加速邁進

的方法，歡迎瀏覽 www.akamai.com 或 blogs.akamai.com，並在 Twitter 追蹤 @Akamai。

下載完整報告

[網際網路現狀] / 資安報告 2016 年第四季