一些反射和放大攻击工具可以以相对较少的努力为目标提供汹涌的滚雪球式流量，因此，黑客活动家和其他人正在大规模地接受它们。

Akamai 高级副总裁兼安全总经理 Stuart Scholly 在一份声明中表示：“在第一季度，DDoS 攻击者较少依赖传统的僵尸网络感染，转而采用反射和放大技术，这是 Prolexic 一段时间以来一直看到的趋势。 ” “新的 DDoS 工具包不是使用僵尸计算机网络，而是滥用开放或易受攻击的服务器和设备上可用的互联网协议。我们相信这种方法可以导致互联网成为恶意行为者的现成僵尸网络。”

网络时间协议(NTP) 放大攻击依赖于使用可公开访问的服务器。该技术利用 NTP 服务器用 UDP 流量淹没受害系统。NTP 很普遍，不仅被台式机使用，而且各种连接的设备都使用它来同步它们的时钟。例如，Mac 电脑上的时钟配置实际上是苹果公司运行的 NTP 服务器的地址。

NTP 服务器还支持监控服务，允许管理员向服务器查询已连接客户端的流量计数。查询是使用“monlist”命令完成的，该命令实际上算作漏洞 (CVE-2013-5211)。默认情况下，在支持 NTP 的旧设备上启用 NTP 的 monlist 功能。

基本攻击向量包括攻击者向易受攻击的NTP 服务器发送“get monlist”请求。该命令导致返回连接到 NTP 服务器的最后 600 个 IP 地址的列表。在 NTP 放大攻击中，源地址被伪装成不知情的受害者的地址，然后受害者会收到该列表。几个查询很容易从结果中获取足够的流量，从而使受害者的资源不堪重负。

“由于响应的大小通常比请求大得多，因此攻击者能够放大针对受害者的流量，”US-CERT 在最近的一份咨询中解释道。“此外，由于响应是来自有效服务器的合法数据，因此阻止这些类型的攻击尤其困难。”

而且，由于NTP 的普遍性，它是一种相对简单的攻击。拥有互联网上开放 NTP 服务器列表的攻击者可以使用 NTP 轻松发起 DDoS 攻击。Metasploit 和 NMAP 等常用工具具有能够识别支持 monlist 的 NTP 服务器的模块。

除了NTP，Prolexic 还观察到其他被滥用的协议是字符生成器 (CHARGEN) 和域名系统 (DNS)。这些协议都基于 UDP，提供放大功能，并且可能会受到青睐，因为它们允许攻击者隐藏他们的身份。

创新带来更大的危险

报告指出：“DDoS 市场的创新催生了可以用更少的资源造成更大破坏的工具。” “由于 DDoS 即服务市场中易于使用的 DDoS 工具的可用性，Q1 的大容量、基于基础设施的攻击成为可能。这些工具是由恶意黑客设计的，目的是为不太熟练的攻击者提供更大的功能和便利。”

一季度，NTP反射攻击激增。NTP 洪水攻击方法从上一季度在所有攻击中的占比不到 1% 发展到与 SYN 洪水攻击几乎相同的流行度，而 SYN 洪水攻击是 DDoS 攻击者长期以来的最爱。同时，CHARGEN 和 NTP 攻击向量一年前都没有被检测到，但占 Prolexic 在 2014 年第一季度缓解的所有基础设施攻击的 23%。

这种技术转变的证据是显而易见的。第一季度平均带宽增加了39%，并且是有史以来最大的跨越 Prolexic DDoS 缓解网络的 DDoS 攻击。该攻击涉及多种反射技术，结合传统的基于僵尸网络的应用程序攻击，产生超过 200 Gbps 的峰值流量和每秒 5350 万个数据包。

总体而言，与一年前相比，Prolexic 的 DDoS 攻击总数增加了 47%，平均峰值带宽增加了 133%。与上一季度相比，DDoS 攻击总数增加了 18%，平均峰值带宽增加了 114%。

此外，有趣的是，平均持续时间正在下降：去年典型的攻击持续了35 小时；上个季度是 23 小时。现在，平均攻击时间为 17 小时，自去年以来平均攻击持续时间减少了 50%。

在目标方面，本季度超过一半的DDoS 攻击流量针对的是媒体和娱乐行业。在第一季度的主动 DDoS 攻击期间，Prolexic 缓解的恶意数据包中有 54% 是针对这一行业的。

“对这一领域的攻击为恶意行为者提供了很多好处，包括新闻报道和高知名度，”Akamai 在报告中指出。“高知名度使竞选组织者能够更有效地接触支持者并招募其他人加入他们的事业。”