2013上半年安全宝攻击分析

一、 HTTP Flood攻击比例越来越高。

从安全宝2013上半年的所有被攻击事件统计中，HTTP Flood攻击约占56.3%，其次是TCP Flood攻击(包括SYN Flood和ACK Flood)约占31.2%，DNS Flood攻击约占7.8%，UDP Flood攻击约占4.7%。

二、 DDoS攻击的平均峰值达到了496.38Mbps，最大峰值达到43.8Gbps，最小峰值为17Mbps。

上半年的DDoS攻击事件，我们统计了其攻击峰值带宽，此类攻击的最低峰值17 Mbps，最高峰值43.8 Gbps，平均峰值496.38 Mbps。52.7%的攻击峰值在50 Mbps以下，基本上这类攻击都是HTTP Flood攻击。

三、 被DDoS攻击的地域仍然集中在广东，江苏，浙江，河北，河南等省份。

分析所有攻击事件的目标分布，其中受害最严重的是广东，浙江，江苏，河南，河北等地。同时被攻击的网站也绝大多数是在电信网。

四、 DDoS攻击仍然保持短期多次的特征。80%以上的攻击持续在30分钟以内，90%以上的攻击持续时间在60分钟以内。

大部分的DDoS攻击持续时间都很短，30分钟之内的攻击占到了83.3%，而攻击持续时间超过48小时的攻击处于极低的比例。

单次攻击持续时间为10分钟和30分钟的攻击事件，其次数明显超过其他的攻击事件。

其中30分钟的攻击事件，接近半数的攻击峰值非常稳定的呈10分一档的阶梯状上涨，往往每次上涨的量约2Gbps。据推测攻击者希望通过逐步累加的方式判断出适合的攻击量，这说明攻击者也开始计算自己的攻击成本。

六、 攻击者发起一次攻击后，对同一目标再次发起攻击的概率会成倍上升。

使用安全宝的所有网站中，被攻击的概率约为1%，而这些被攻击的网站，再次受到攻击的概率达到49.3%。