大选在即，巴西多个重点行业目标遭受大规模DDoS攻击

本文链接：https://blog.csdn.net/qq_53058639/article/details/132080935

背景

早在2017年，美国安全评估公司BitSight的报告显示，巴西是企业网络安全风险最高的国家之一。根据SonicWall发布的网络威胁报告，2021年，巴西遭受了3300多万次入侵尝试，遭遇的勒索软件攻击仅次于美国、德国和英国。IDC数据显示，自新冠肺炎疫情开始，巴西遭受网络攻击的趋势不断上升。

绿盟科技全球威胁狩猎系统监测到针对巴西的DDoS攻击趋势异常，在7月份和8月中上旬有明显的增高趋势，疑似与10月即将举行的巴西大选有关。

典型攻击事件

在全球威胁狩猎系统监测到的一系列DDoS攻击活动中，巴西的政府机构、教育机构、新闻机构、通信运营商等均遭到攻击。

针对重要部门机构的攻击

政府部门

7月31日9时10分20秒，监测到针对巴西政府网站皮拉尔市政厅（pilar.al.gov.br）的反射型DDoS攻击。此外，巴西还有其他15家市政厅网站均遭受大规模DDoS攻击。

8月29日13点8分38秒，监测到针对巴西联邦政府网站的DDoS反射攻击。

教育机构

7月17日18时12分26秒，监测到针对巴西圣卡塔琳娜州教育局的DDoS反射攻击。

新闻门户

8月10日5时39分59秒，监测到针对巴西最大的传媒公司Organizacoes Globo旗下的Globo门户网官网的DDoS反射攻击。

通信运营商

8月10日早上6点9分46秒，监测到针对巴西光纤服务提供商kyatera网站的DDoS反射攻击。

扫段攻击

以往攻击者只盯着单个目标IP不断变换攻击手法、寻求突破防护策略短板的攻击方式不同，扫段攻击多使用已知的通用攻击手法，攻击期间基本不会变换，但黑客对IP段内每个IP均施以小流量DDoS攻击，致使每个IP遭受的攻击流量都不会达到DDoS防御系统的清洗阈值，导致一个段多个IP攻击流量汇聚就会超出接入交换机的最高带宽，间接影响整个IP段的用户业务。

全球威胁狩猎系统此次监测到针对C段201.158.xx.0/24和138.186.xx.0/24的扫段攻击，经研判，这两个C段分别属于巴西著名的互联网服务提供商Webfibra和Weblacerda。

巴西DDoS攻击分析

7月份以来，全球威胁狩猎系统监测到巴西有224090个IP/域名遭受DDoS攻击。

受害IP分布

受害IP区域分布

通常情况下，DDoS攻击的地域分布和当地的经济发展水平以及人口数量呈正相关趋势，针对巴西的多个区域的反射型DDoS攻击中，里约热内卢州作为巴西的重要经济中心，受攻击占比达36.71%，成为本次DDoS攻击最集中的区域，圣埃斯皮里图州作为巴西发达的沿海城市。占比高达35.51%。除此之外，DDoS受攻击区域总体分布比较均衡。

主要受害IP ISP分布

在经济成长衰退的全球环境下，网络攻击愈演愈烈，而且攻击手法愈来愈复杂，
互联网服务供应商(ISP)面临着日益增长的DDoS攻击威胁。在本次攻击事件中，巴西遭到DDoS攻击的ISP分布极为广泛，多达1195家， K2
Telecom，GTI Telecom，Fazzy为遭受攻击最多的前三甲，均是巴西重要的互联网通信服务提供商。

受害IP所属行业分布

DDoS攻击通常会针对金融或者关键基础设施行业。根据全球威胁狩猎系统监测数据，巴西受反射型DDoS攻击IP所属行业呈现多元化趋势，其中分布绝大多数为光纤运营商公司，占比86.35%。在巴西受害行业中，除了针对互联网公司、教育机构、游戏等大众化的行业外，主要都是针对关键设施和国家政府部门的攻击，包括光纤运营商公司、政府部门机构、银行等，对于这些行业，反射型DDoS攻击具有很强的针对性，容易使国家通信设施瘫痪，造成严重的后果。

攻击持续时长分布

根据全球威胁狩猎系统监测数据，
绝大多数的DDoS攻击时长都在5分钟以内，瞬时攻击占比高，表明攻击者非常重视攻击成本、效率和技术对抗，倾向于发动短时间、多次的脉冲攻击，导致目标无法正常提供服务。长远来看，在有效控制成本的情况下，高频率、多次的瞬时攻击严重影响目标的服务质量，给DDoS防护人员造成极大的精力损耗。