《2022年上半年-全球DDoS威脅報告》

1、 HYPERLINK / ifle&T-ser DDosy)PJ!t. fi17A7Gt. e9t第一章：專家觀點游戲 / 視頻直播是熱點攻擊行業(yè)東南亞成海外攻擊熱點區(qū)域新型 UDP 反射攻擊放大倍數(shù)達數(shù)十億倍Tb 級攻擊連續(xù) 3 個月出現(xiàn)端云一體防護成抗 D 新思路政府部門和重要基礎(chǔ)設(shè)施更需重視 DDoS 防護第二章：整體威脅22 年上半年 DDoS 攻擊威脅創(chuàng)歷年新高100G 以上大流量攻擊每天超 40 次7 成攻擊持續(xù)時間不超過 30 分鐘5 月和 6 月成威脅最大月份游戲行業(yè)仍是遭受 DDoS 攻擊最多行業(yè)TCP 反射和 PUSHACK 攻擊持續(xù)肆虐掃描型掃段攻擊每月攻擊數(shù)以十萬計的

2、IP第三章：海外威脅海外攻擊逐年增長海外最大攻擊超過 600G東南亞是海外攻擊熱點區(qū)域海外攻擊 1 月最多海外攻擊的熱點行業(yè)與國內(nèi) 2 年前情形趨同第四章：黑產(chǎn)視角中高端攻擊團伙占四分之一敲詐勒索是主要攻擊動機大部分攻擊基于 UDP 協(xié)議發(fā)起Mirai 僵尸網(wǎng)絡(luò)上半年威脅最大高危漏洞的利用率與僵尸網(wǎng)絡(luò)活動正相關(guān)僵尸網(wǎng)絡(luò)控制端多數(shù)分布在海外僵尸網(wǎng)絡(luò)資源來源分析第五章：攻防對抗案例案例一：騰訊云客戶遭受 Tb 級別攻擊案例二：中間盒 TCP 反射攻擊案例三：掃段攻擊防護案例第六章：全球 DDoS 大事記第一章: 專家觀點2022 年Chapter one: Expert Opinions全球 DD

3、oS 威脅報告-4第一章 專家觀點Expert Opinions1游戲 / 視頻直播是熱點攻擊行業(yè)游戲和視頻直播繼續(xù)位居被攻擊最多行業(yè)：一直以來，游戲行業(yè)都是遭受 DDoS 攻擊最多的行業(yè)，今年的游戲行業(yè)的攻擊占比仍然高居第一，而且相比去年占比還略有提升。視頻直播行業(yè)遭受的 DDoS 攻擊占比則大幅提升并達到歷史新高，在所有行業(yè)中高居第二。另一方面，教培和互聯(lián)網(wǎng)金融等受到嚴格監(jiān)管的行業(yè)不僅 DDoS 攻擊比例出現(xiàn)下降，攻擊次數(shù)也出現(xiàn)非常明顯的收縮，和游戲 / 視頻直播行業(yè)的攻擊頻發(fā)，攻擊占比居高不下形成非常鮮明的對比。DDoS 攻擊的行業(yè)分布2東南亞成海外攻擊熱點區(qū)域東南亞區(qū)域人口密集，網(wǎng)民數(shù)

4、量眾多，近年來經(jīng)濟發(fā)展也較為迅猛，成為這兩年DDoS 攻擊的熱點區(qū)域。另外，日韓區(qū)域的 DDoS 攻擊占比也較高，超越了北美和歐洲，成為海外的攻擊熱點區(qū)域。海外攻擊的區(qū)域分布-53新型 UDP 反射攻擊放大倍數(shù)達數(shù)十億倍新型 UDP 反射攻擊放大倍數(shù)達數(shù)十億倍：UDP 反射可以用較小的初始流量經(jīng)過反射源放大數(shù)十倍乃至上萬倍，獲得海量的攻擊流量，因此一直以來深受 DDoS 攻擊團伙的青睞。除了大家熟知的 NTP 反射 /DNS 反射 /LDAP 反射等，3 月份業(yè)界發(fā)現(xiàn)一部分配置存在缺陷的 Mitel 設(shè)備，被 DDoS 攻擊團伙用于發(fā)起 DDoS 攻擊，盡管此類設(shè)備的數(shù)量僅有數(shù)千臺，但是由于其

5、具有數(shù)十億倍的放大倍數(shù)，超越幾年前流行的 Memcached 反射手法，成為迄今為止放大倍數(shù)最大的 UDP 反射放大手法。3 月份業(yè)界發(fā)現(xiàn)數(shù)千臺開放到互聯(lián)網(wǎng)的配置存在缺陷的 Mitel 設(shè)備可被 DDoS 攻擊團伙用于發(fā)起 DDoS 攻擊。盡管該手法理論上可以達到遠超 Memcached 反射的高達數(shù)十億倍的放大倍數(shù)，由于受限于缺陷設(shè)備的帶寬，以及缺陷設(shè)備的快速修復，并沒有引起大規(guī)模的爆發(fā)。根據(jù)騰訊安全 T-Sec DDoS 防護團隊的監(jiān)測數(shù)據(jù)，在 3 月 6 日首次監(jiān)測到此類攻擊，最大的一次攻擊峰值為 6Gbps。在 3 月上旬共監(jiān)測到約 20 次攻擊之后，此類攻擊再未在現(xiàn)網(wǎng)出現(xiàn)。4Tb 級

6、攻擊連續(xù) 3 個月出現(xiàn)自從 2017 年首次出現(xiàn)攻擊峰值超過 1Tb 的攻擊以來，Tb 級攻擊開始不斷見諸報道，但是整體來說 2021 年之前 Tb 級攻擊還是較為罕見，每年超過 1Tb 的攻擊在全球也基本屈指可數(shù)。但是近兩年 Tb 級攻擊開始變得更加頻繁，今年上半年自 4 月份開始，連續(xù) 3 個月每個月都有 Tb 級攻擊出現(xiàn)。在 Tb 級攻擊最多的 6 月，騰訊云某客戶甚至在 1 天之內(nèi)遭受了 2 次攻擊峰值均超過 1Tb 的超大型 DDoS 攻擊。Tb 級攻擊從一年數(shù)遇變成一月數(shù)遇，企業(yè)將面臨愈加嚴峻的 Tb 級大流量 DDoS 攻擊威脅。DDoS 攻擊峰值走勢-65端云一體防護成抗 D

7、新思路端云一體防護成抗 D 新思路：盡管當前的各國經(jīng)濟遭遇了不同的困難，但是工業(yè)互聯(lián)網(wǎng) / 大數(shù)據(jù) / 云計算 /AI/5G 等數(shù)字經(jīng)濟產(chǎn)業(yè)絲毫沒有放慢腳步，如火如荼高速發(fā)展。這些新興產(chǎn)業(yè)本身會產(chǎn)生大量的設(shè)備接入以及帶寬需求，而一旦這部分資源配置不當，就會淪為黑客的攻擊資源。另一方面，這些數(shù)字經(jīng)濟產(chǎn)業(yè)的發(fā)展，也讓互聯(lián)網(wǎng)深入到更廣闊的空間，也給黑客暴露了更多的獲利機會。因此從這兩個方面來說，未來的 DDoS 攻擊威脅不僅會持續(xù)增長，而且會變得無處不在。但是在很多場景下，業(yè)務(wù)因為合規(guī) / 數(shù)據(jù)隱私 / 系統(tǒng)架構(gòu)等方面的原因，只能部署在私有云或者自有機房上，同時由于成本預(yù)算或者技術(shù)能力的原因，本地很

8、難建立與當前 DDoS 威脅相匹配的抗 D 能力。這部分部署在私有云或者自有機房的業(yè)務(wù)，一旦遭遇大型 DDoS 攻擊，就會產(chǎn)生巨大的風險 。因此，在成本預(yù)算有限或者技術(shù)存在短板的客觀環(huán)境下，如何從外部尋找“遠水”來解部署在私有云或者自有機房的業(yè)務(wù)遭受大型 DDoS 攻擊這個“近渴”，就成為一個緊迫的課題。而依托端云一體 DDoS 防護服務(wù)平臺的解決方案就是在這種場景下應(yīng)運而生。作為脫胎于云計算的云原生安全產(chǎn)品，在海量業(yè)務(wù)驅(qū)動下完成了高性能高效率檢驗，各行各業(yè)各種規(guī)模用戶下催生了豐富的場景支持，以及多用戶共享形態(tài)下的成本優(yōu)勢海量帶寬儲備，在當前 DDoS 攻擊威脅增長非常迅猛而企業(yè)愈發(fā)關(guān)注成本的

9、形勢下，具有天然的優(yōu)勢。-76政府部門和重要基礎(chǔ)設(shè)施更需重視 DDoS 防護盡管游戲、視頻直播等行業(yè)一直居于 DDoS 攻擊的主要攻擊行業(yè)之列，但是其他行業(yè)遭受大型 DDoS 攻擊的新聞也讓人應(yīng)接不暇。根據(jù)外部公開報道統(tǒng)計，2022 年上半年國外除了有大量的政務(wù)站點遭受大型 DDoS 攻擊外，一些銀行和金融機構(gòu)、運營商以及通信、機場與港口等基礎(chǔ)設(shè)施部門也多次遭受 DDoS 攻擊，造成的宕機時間從數(shù)小時至數(shù)天不等。上半年國外部分大型 DDoS 攻擊的行業(yè)分析銀行和金融機構(gòu)，運營商以及通信，機場與港口等基礎(chǔ)設(shè)施部門，一方面服務(wù)的人群較為廣泛，和人們必要的生活和工作息息相關(guān)，一旦遭受 DDoS 攻擊

10、，就會輕易影響數(shù)萬乃至數(shù)十萬人的工作和生活。但是另一方面，這些行業(yè)的攻擊頻率又遠沒有游戲、視頻直播等行業(yè)的企業(yè)頻繁，因此很可能針對 DDoS 攻擊威脅缺乏必要的技術(shù)儲備和應(yīng)對預(yù)案，國外多個基礎(chǔ)設(shè)施站點被攻擊后宕機數(shù)天，可見一斑。因此，政府部門和重要基礎(chǔ)設(shè)施更需重視 DDoS 防護，必要時可借助于云原生的 DDoS 防護產(chǎn)品，可快速補齊 DDoS 防護的短板，輕松應(yīng)對高級攻擊團伙和 Tb 級攻擊，取得事半功倍的效果。-8第二章：整體威脅2022 年Chapter two: Overall Threats全球 DDoS 威脅報告-9第二章 整體威脅Overall Threats122 年上半年 D

11、DoS 攻擊威脅創(chuàng)歷年新高根據(jù)電信安全的數(shù)據(jù)，2022 年上半年的攻擊次數(shù)達到近 4 年新高，是去年同期的 3 倍，同比 21 年上半年增幅達到 205%。DDoS 攻擊次數(shù)2100G 以上大流量攻擊每天超 40 次盡管攻擊次數(shù)為歷年新高，但是 100G 以上的攻擊次數(shù)并未突破 2019 年的高峰值。根據(jù)電信安全近 3 年的數(shù)據(jù)來看，上半年 100G 以上的大流量攻擊次數(shù)均在 8000 次上下，也就是說平均每天約有 44 次大流量攻擊發(fā)生。100G 以上攻擊次數(shù)和前兩年 100G 以上大流量攻擊集中在 UDP 反射和 SYN 大包這兩種常見的擁塞帶寬型攻擊不同，今年的大流量攻擊手法多樣化趨勢愈

12、發(fā)明顯。由下圖可以看出，UDP 反射和 SYN 大包這兩種常見的擁塞帶寬型攻擊合計僅占半數(shù)，而 PSHACK 大包攻擊和 UDP 大包攻擊的比例顯著增加。此外由于攻擊者手里的攻擊資源越來越富足，導致一些協(xié)議缺陷型攻擊（如 SYN 小包和 TCP 反射）的攻擊流量能夠輕易超過 100G，成為兼具協(xié)議缺陷型攻擊和擁塞帶寬型攻擊的雙重威脅。-10此外，前些年的規(guī)模最大的 DDoS 攻擊記錄，主要的攻擊流量基本都是通過 UDP 反射發(fā)起，攻擊者的初始攻擊流量其實不足百 G。但是上半年騰訊云上最大的 Tb 級別的攻擊，攻擊手法都是非反射型的 UDPFLOOD，這充分說明攻擊者的攻擊資源極為充足，已經(jīng)不需

13、要 UDP 放大即可發(fā)起 Tb 級別的攻擊。百 G 以上攻擊的類型分布37 成攻擊持續(xù)時間不超過 30 分鐘盡管 DDoS 攻擊每天都有時時都在，但是大約 7 成的攻擊持續(xù)時間在半小時以內(nèi)。據(jù)綠盟全球威脅狩獵系統(tǒng)監(jiān)測，小于 5 分鐘的攻擊在整體中占比大約三分之一，而持續(xù)時間小于 5 分鐘的攻擊和介于 5 分鐘和 10 分鐘的攻擊的比例相加就接近一半，另外有四分之一的攻擊的持續(xù)時間在 10 分鐘至 30 分鐘之間。但是長時間的攻擊也有相當大的比例，有超過一成的攻擊持續(xù)時間超過 1 小時，其中超過 6 小時的長時間攻擊的比例也達到 2%。DDoS 攻擊持續(xù)時長分布-1145 月和 6 月成威脅最大

14、月份今年上半年的DDoS 攻擊的月度分布也極具特點。從攻擊次數(shù)的角度來看，5 月和6 月成為攻擊次數(shù)最多的月份。而從攻擊峰值的角度來看，前 3 個月的峰值均在 800G 以下，從 4 月開始，攻擊峰值則連續(xù) 3 個月超過 1TB。綜合來看 5 月和 6 月成為存在 DDoS 威脅最大的月份。5 月和 6 月 DDoS 攻擊威脅大增，背后的原因則是攻擊者的攻擊資源變得更為充裕。通過分析發(fā)現(xiàn)，5 月份之后的 Tb 級別的攻擊，攻擊手法都是通過肉雞發(fā)起大量非反射類型的 UDP 大包攻擊，說明基于當前的攻擊者手中的資源就已經(jīng)可以做到不依賴 UDP 反射放大即可產(chǎn)生 Tb 級的攻擊流量。上半年 DDoS

15、 攻擊次數(shù)走勢1000G500G5游戲行業(yè)仍是遭受 DDoS 攻擊最多行業(yè)一直以來，游戲行業(yè)都是 DDoS 攻擊的重災(zāi)區(qū)。相比去年，游戲行業(yè)繼續(xù)成為了遭受 DDoS 攻擊最多的行業(yè)，不僅遭受了所有行業(yè) DDoS 的 4 成以上的攻擊，而且占比相比去年還略有增長。游戲行業(yè)攻擊占比走勢-126TCP 反射和 PSHACK 攻擊持續(xù)肆虐隨著對抗的持續(xù)進行，攻擊者的攻擊手法也在不斷進化。傳統(tǒng)的 UDP 反射和 SYN 大包等攻擊手法，只要防守方儲備足夠的防護帶寬，防護效果已經(jīng)相當可靠。為了進一步繞過防護方的防護策略，提升攻擊效果，DDoS攻擊者將更多注意力投向了和業(yè)務(wù)流量更為接近，區(qū)分攻擊流量更為艱難

16、的TCP 反射/PSHACK 等攻擊手法中。大量新的 TCP 反射端口被利用導致 TCP 反射攻擊更加猖獗：TCP 反射在 2018 年廣泛出現(xiàn)后，因為其攻擊資源來源豐富，易于隱藏真實攻擊者的行蹤以及難以防護等特點，成為攻擊者目前使用較多的攻擊手法。今年上半年，據(jù)監(jiān)測發(fā)現(xiàn)攻擊者對存在主動外連行為的目標發(fā)起攻擊時，會特意選取 TCP 反射來發(fā)起攻擊。此時外部的攻擊流量和用戶正常的主動外連的流量將難以區(qū)分，再加上TCP 反射的攻擊流量來源是真實的站點，會對防護方的挑戰(zhàn)算法做出正確的回應(yīng)，防護的難度將大幅提升。另外，攻擊者也在不斷將新的反射端口利用到攻擊中，以提升攻擊的威力和防護難度外，一些大于 1

17、024 的非常見的服務(wù)端口，如 TCP 7547 端口，TCP 32768 端口，TCP 30010 端口等，也被攻擊者大量應(yīng)用到實際攻擊中。攻擊源數(shù)量PSHACK 攻擊既大又快：據(jù)騰訊安全 T-Sec DDoS 防護團隊監(jiān)測的結(jié)果，PSHACK 攻擊是近兩年較為突出的威脅。一方面，發(fā)起此類攻擊的黑產(chǎn)擁有豐富的攻擊資源，因此此類攻擊基本都是大流量攻擊，最大的攻擊流量接近 900G，同時此類攻擊的流量飆升極快，可以在數(shù)秒之內(nèi)流量躥升到 500G 以上。另一方面，PSHACK 包也是業(yè)務(wù)流量中較為常見的數(shù)據(jù)報文，而且是 TCP 連接建立后的報文，不僅較難區(qū)分業(yè)務(wù)正常流量報文和攻擊報文，很容易出現(xiàn)誤

18、殺，而且過于厚重的算法也會帶來明顯的業(yè)務(wù)延遲。上述因素導致 PSHACK 攻擊手法的威力不容小覷，同時也給防護方帶來了更大的挑戰(zhàn)。-13PSHACK 威脅走勢7掃描型掃段攻擊每月攻擊數(shù)以十萬計的 IP近年來，各種基礎(chǔ)軟件漏洞層出不窮，一旦一些廣泛使用的基礎(chǔ)軟件爆出高危漏洞，意味著黑產(chǎn)人員迎來一次盛宴。為了盡早發(fā)現(xiàn)存在漏洞的站點，在“抓雞“活動中取得先機，黑客們的掃描器也日益精進和暴力，數(shù)秒內(nèi)就可對數(shù)以十萬計的 IP 完成掃描。黑客的暴力掃描除了會導致存在漏洞的服務(wù)器淪為肉雞的潛在威脅，也會給機房網(wǎng)絡(luò)帶來沖擊，演變成掃描型掃段攻擊的現(xiàn)實威脅。根據(jù)騰訊安全 T-Sec DDoS 防護團隊統(tǒng)計，每月

19、發(fā)生的掃描型掃段攻擊涉及的網(wǎng)段數(shù)以百計，涉及的 IP 超過 10 萬個。掃段攻擊涉及網(wǎng)段走勢-14第二章：整體威脅2022 年Chapter two: Overall Threats全球 DDoS 威脅報告-15第三章 海外威脅Overseas Threats1海外攻擊逐年增長隨著國內(nèi)企業(yè)不斷出海，大量中國企業(yè)的游戲、電商、視頻直播等業(yè)務(wù)拓展到了海外，海外的 DDoS 攻擊也持續(xù)攀升，除了在 21 年上半年迎來大幅增長外，22 年上半年的 DDoS 攻擊增長也非常顯著，增幅接近 70%。海外 DDoS 攻擊次數(shù)2海外最大攻擊超過 600G從時間上來看，海外區(qū)域超過 100G 的大流量攻擊在 1

20、 月份較為集中，之后幾個月則呈現(xiàn)大流量攻擊次數(shù)和峰值持續(xù)增加的趨勢。而 6 月份最大的一次攻擊峰值超過 600G，成為上半年海外區(qū)域最大的一次攻擊。海外百 G 以上攻擊的次數(shù)和峰值走勢-163東南亞是海外攻擊熱點區(qū)域今年上半年東南亞區(qū)域成為海外DDoS 攻擊的主要集中區(qū)域。日韓區(qū)域超過北美，成為海外攻擊第二多的區(qū)域。北美和歐洲則分居第三和第四位。除了上述區(qū)域之外的其他區(qū)域的攻擊占比大約為一成左右。從時間上來看，東南亞區(qū)域在 2 月份之后的攻擊比例有明顯增加的趨勢，而日韓區(qū)域在 1 月和 2 月的攻擊占比較高。海外 DDoS 攻擊的走勢相比去年，大部分區(qū)域的攻擊峰值沒有太多增長或者未超過 200

21、G，但是新加坡和美國區(qū)域的 DDoS 攻擊峰值增長較為明顯，新加坡區(qū)域峰值超過 600G，成為海外攻擊峰值最大的區(qū)域。海外主要區(qū)域的 DDoS 攻擊峰值-174海外攻擊 1 月最多相對國內(nèi)而言，海外的 DDoS 攻擊有一個較為顯著的特點，就是在月度分布上比較均衡，1 月份和 4 月份作為攻擊最多的月份，與攻擊最少的 2 月相比，只增加了大約 2 成左右。但是攻擊峰值在上半年則是呈明顯的逐月增長趨勢，最大的一次攻擊落在了 6 月份，攻擊峰值更是超過了 600G。國外 DDoS 攻擊威脅走勢5海外攻擊的熱點行業(yè)與國內(nèi) 2 年前情形趨同海外的攻擊行業(yè)分布和國內(nèi) DDoS 攻擊的行業(yè)分布大同小異，絕大

22、部分攻擊主要分布在游戲、IT 通信、視頻直播等行業(yè)，其中游戲行業(yè)占比 40%，蟬聯(lián)攻擊最多的行業(yè)。而游戲行業(yè)下的細分品類中，手游成為最主要的攻擊品類。此外，游戲相關(guān)的第三方服務(wù)，如游戲加速 / 游戲聊天工具等，也占據(jù)了相當比例的攻擊份額。海外 DDoS 攻擊的行業(yè)分布海外游戲行業(yè) DDoS 攻擊細分-18第四章：黑產(chǎn)視角2022 年Chapter four: Underground Industry Perspective全球 DDoS 威脅報告-19第四章 黑產(chǎn)視角Underground Industry PerspectiveDDoS 攻擊背后是完整復雜的黑色利益鏈，和不擇手段、規(guī)模龐大的

23、撈金團伙。與之對抗，既要在防御上推陳出新，不斷引入新型技術(shù)，也要知己知彼，對黑客團伙的戰(zhàn)術(shù)持續(xù)研究。1中高端攻擊團伙占四分之一攻擊團伙實力基本符合二八原則，接近 3/4 的 DDoS 攻擊由一般團伙發(fā)起，他們本身沒有攻擊資源，依靠第三方攻擊站點。而擁有較多攻擊資源，可自主掌控攻擊程序的中級和高級團伙，發(fā)起的攻擊占比接近 1/4。各類團伙發(fā)起的攻擊占比2敲詐勒索是主要攻擊動機敲詐勒索、游戲玩家惡意作弊、行業(yè)內(nèi)惡意競爭仍然是DDoS 攻擊最主要的攻擊動機，這在游戲行業(yè)內(nèi)尤為典型。敲詐勒索和行業(yè)內(nèi)惡意競爭存在于各個行業(yè)。相對而言，敲詐勒索團伙的作案更為頻繁和猖獗。對于國內(nèi)企業(yè)來說，ACCN 團伙是一

24、個較為知名的敲詐勒索團伙，該團伙在今年上半年也較為活躍。大量國內(nèi)游戲企業(yè)遭遇過該團隊的勒索，日本、韓國、東南亞等地的企業(yè)也深受其害。該團伙慣用的手法就是潛伏到目標企業(yè)的玩家論壇或者玩家群內(nèi)，在了解到游戲企業(yè)即將有新游戲上線或者在新區(qū)域發(fā)布時，對游戲企業(yè)發(fā)起數(shù)萬元至數(shù)十萬元不等的敲詐勒索。業(yè)內(nèi)有多家企業(yè)因為該團伙的敲詐勒索導致游戲停運，遭受重大損失。而游戲玩家惡意作弊發(fā)起 DDoS 攻擊則是游戲行業(yè)獨有的威脅，以 MOBA 類游戲以及 FPS 類游戲最為典型。一旦玩家發(fā)現(xiàn)可觀的獲利點，在外掛團伙推波助瀾下，就會頻繁通過流量掛 / 炸房掛發(fā)起 DDoS 攻擊，不僅影響同對局的玩家，甚至會影響同服務(wù)

25、器或者同機房的其他玩家。3大部分攻擊基于 UDP 協(xié)議發(fā)起根據(jù)上半年的數(shù)據(jù)統(tǒng)計，大約三分之二的攻擊是基于 UDP 協(xié)議發(fā)起。此外 SYN 小包攻擊和 ACK/PSHACK類攻擊占比均超過 10%，分列第二位和第三位也較高。此外 TCP 反射攻擊的占比則接近傳統(tǒng)的 ICMP 攻擊和 SYN 大包攻擊。-20攻擊手法分布UDP 類攻擊在整體攻擊數(shù)量中占比 65%，遠遠高于基于 TCP 協(xié)議的攻擊。其中 UDP 反射類攻擊的在整體的比例高達 49%，其中 NTP 反射，SSDP 反射以及 Chargen 反射是最受攻擊者歡迎的 3 種攻擊手法。另外也有 16% 的攻擊是基于非反射手法的 UDP 流量

26、發(fā)起。UDP 反射手法分布-214Mirai 僵尸網(wǎng)絡(luò)上半年威脅最大無論是攻擊指令的角度，還是發(fā)起的 DDoS 攻擊次數(shù)的角度，Mirai 僵尸網(wǎng)絡(luò)都是上半年威脅最大的僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)攻擊指令與家族分布在攻擊指令分布來看，Mirai 和 Dofloo 占據(jù)了最高的比例，合計占比超過 90%，遠遠高于其他僵尸網(wǎng)絡(luò)。相對來說，Mirai 僵尸網(wǎng)絡(luò)的控制指令活動比較平穩(wěn)，不同月份之間相差不大。而 Dofloo 僵尸網(wǎng)絡(luò)則在 1、3、5月呈現(xiàn)高活躍度，其他月份較為沉寂。DDoS 攻擊指令分布（萬）而從發(fā)起 DDoS 攻擊的維度來看，Mirai 僵尸網(wǎng)絡(luò)發(fā)起了超過 6 成的 DDoS 攻擊。位居次席的

27、則是 Gafgyt 僵尸網(wǎng)絡(luò)，發(fā)起的 DDoS 攻擊活動大約占 2 成。值得注意的是前兩年較為活躍的 XoR.DDoS 僵尸網(wǎng)絡(luò)現(xiàn)在已經(jīng)非常式微，發(fā)起的 DDoS 攻擊活動占比僅有不到 2%。-22DDoS 攻擊活動的僵尸網(wǎng)絡(luò)分布5高危漏洞的利用率與僵尸網(wǎng)絡(luò)活動正相關(guān)Mirai 僵尸網(wǎng)絡(luò)除了活躍程度最高，它所擁有的肉雞數(shù)量也是所有僵尸網(wǎng)絡(luò)最多的。2022 年上半年，Mirai 僵尸網(wǎng)絡(luò)的肉雞數(shù)量占據(jù)整體 4 成左右，比排在第二位的 BillGates 和排在第三位的 Gafgyt 的總和還要多。上半年各個僵尸網(wǎng)絡(luò)肉雞數(shù)量分布通過對近兩年 TOP20 的 Linux/IoT 高危漏洞的利用情況進

28、行統(tǒng)計后發(fā)現(xiàn)，漏洞利用率的高低與僵尸網(wǎng)絡(luò)的活躍程度和規(guī)模呈明顯正相關(guān)。比如這兩年威脅極大的 Mirai 和 Gafgyt 僵尸網(wǎng)絡(luò)對近兩年 TOP20 高危漏洞的利用率接近 100%，反之近兩年活躍程度持續(xù)下滑的 XoR.DDoS 對這部分漏洞的利用率不足 20%。-23僵尸網(wǎng)絡(luò)對 TOP20 的 Linux/IoT 漏洞利用率6僵尸網(wǎng)絡(luò)控制端多數(shù)分布在海外DDoS 攻擊的溯源較為困難，其中一個重要原因就是相當大比例的 DDoS 攻擊是黑產(chǎn)團伙租用僵尸網(wǎng)絡(luò)發(fā)起，而僵尸網(wǎng)絡(luò)的控制端往往位于萬里之外的其他國家。比如今年上半年，92% 的僵尸網(wǎng)絡(luò)控制端都位于國外，其中北美和歐洲是僵尸網(wǎng)絡(luò)控制端比較聚

29、集的區(qū)域，二者合計占比接近 9 成。其中 ColoCrossing、Des Capital B.V. 以及 FranTech Solutions 是涉及控制端最多的云服務(wù)及運營商。僵尸網(wǎng)絡(luò)控制端地域分布C&C 云服務(wù)及運營商分布 Top107僵尸網(wǎng)絡(luò)資源來源分析肉雞的分布主要集中于遠程辦公設(shè)備和物聯(lián)網(wǎng)設(shè)備，上半年由于疫情影響，大量民眾居家辦公，VPN、 Famatech Radmin（遠程控制軟件）、NAS（數(shù)據(jù)存儲服務(wù)器）、Kubernetes( 開源容器集群管理系統(tǒng) ) 等辦公相關(guān)的軟件和應(yīng)用占據(jù)了半壁江山，路由器和攝像頭等常用的物聯(lián)網(wǎng)設(shè)備超過四成，Windows 主機的數(shù)量下降明顯，只有

30、不足 1%。-24僵尸網(wǎng)絡(luò)肉雞來源分布-25第四章：黑產(chǎn)視角2022 年Chapter four: Underground Industry Perspective全球 DDoS 威脅報告-26第五章：攻防對抗案例Attack Defense Cases1攻防對抗案例案例一：騰訊云客戶遭受 Tb 級別攻擊2022 年 6 月上旬，某騰訊云客戶遭受了一系列的針對性 DDoS 攻擊?？蛻衾塾嫳还舫^ 20 余次，涉及攻擊手法有 6 種，經(jīng)過了 3 輪的激烈對抗。攻擊類型分布在開始的 2 天中，攻擊者先用較為常規(guī)的 SYN 大包攻擊和 NTP 反射手法，對客戶的進行試探，期間攻擊者也在不斷加大攻擊

31、流量，但是由于客戶購買了高防防護，攻擊者的多次試探均無功而返。在之后開始的 2 天中，攻擊者對客戶的多個域名發(fā)起的 CC 攻擊：1、攻擊者對目標較為熟悉，攻擊針對性強：不僅精心選擇 CC 攻擊的 CGI，而且專門針對用戶的業(yè)務(wù)高峰期發(fā)起攻擊。2、攻擊者發(fā)起的攻擊也非常持久，持續(xù)時間超過 3 天，累計發(fā)起 CC 請求數(shù)超過 6 億。CC 攻擊請求量走勢-27此外，針對用戶的正常業(yè)務(wù)是基于 TCP 協(xié)議的特點，攻擊者開始在 CC 攻擊的間隙不斷的穿插一些小流量 PSHACK/TCP 反射攻擊，企圖在防守方注意力集中在 CC 攻擊時用這部分與用戶業(yè)務(wù)流量非常接近的攻擊流量穿透防護。之后攻擊者發(fā)現(xiàn)即便

32、長時間發(fā)起 CC 攻擊和 PSHACK/TCP 反射攻擊仍被有效防護后，攻擊者大幅增加攻擊資源，對客戶的 2 個 IP 發(fā)起超大型擁塞帶寬型 DDoS 攻擊，攻擊峰值均超過 1Tb。1、攻擊者資源非常豐富：峰值超過 1Tb 的攻擊流量中，其中僅有約 19% 的流量是基于 NTP 反射，而其余的超過 8 成的攻擊流量是非 UDP 反射發(fā)起的，這說明攻擊者的攻擊資源異常豐富，初始的攻擊流量就超過了 800G。2、流量躥升極快：攻擊流量從 0 躥升到 1Tb 用時僅 5 秒。Tb 級攻擊的攻擊流量構(gòu)成應(yīng)對方案：1、用戶在業(yè)務(wù)遷入騰訊云之后，云原生安全下的 DDoS 防護產(chǎn)品，提供三層 / 四層 /

33、七層的一站式 DDoS 防護產(chǎn)品，對客戶的業(yè)務(wù)提供全方位無死角防護。2、海量冗余帶寬，對付此類擁塞帶寬型攻擊綽綽有余，客戶節(jié)約了大量用于防護帶寬擁塞型攻擊的冗余帶寬費用。3、AI 智能防護，智能學習客戶業(yè)務(wù)基線，動態(tài)智能下發(fā)防護。4、在遭受針對性持續(xù)攻擊場景下，具有十余年 DDoS 對抗經(jīng)驗的專家團隊全程支持。-28案例二：中間盒 TCP 反射攻擊除了UDP 反射之外，TCP 反射這兩年也盛行一時，一直以來人們都認為TCP 反射無法對攻擊流量進行放大，但是今年上半年的發(fā)現(xiàn)打破了大家對于 TCP 反射的認知。3 月份以來，一種利用中間盒的 TCP 反射型放大攻擊在現(xiàn)網(wǎng)頻頻出現(xiàn)。1、攻擊者偽造受害

34、者源 IP，向受同一個安全設(shè)備防護的大量 IP 發(fā)送初始攻擊包，攻擊包一般是針對某些不允許訪問的站點或者路徑。2、盡管攻擊包沒有建立連接必需的三次握手過程，但是由于部分安全設(shè)備對 80 端口的 HTTP 協(xié)議訪問進行阻斷的功能實現(xiàn)存在缺陷，沒有嚴格按照 TCP 協(xié)議檢查會話有效性，同時初始攻擊包里的 payload 可以觸發(fā)安全設(shè)備的防護規(guī)則，引發(fā)這部分安全設(shè)備對初始攻擊流量產(chǎn)生應(yīng)答。3、由于應(yīng)答報文中一般會包含一些 HTML 樣式，因此反射產(chǎn)生的攻擊報文的長度達到數(shù)百乃至上千字節(jié)，這意味著此類手法可以將初始攻擊流量放大數(shù)倍乃至十幾倍。根據(jù)騰訊安全 T-Sec DDoS 團隊分析，最為常見的利用方式如下：最終的后果：1、利用中間盒的 TCP 反射型放大攻擊