全球DDoS威脅報(bào)告

目錄Contents第一章：專家觀點(diǎn)22年DDoS威脅大流量攻擊增長(zhǎng)高于整體威脅增長(zhǎng)Tb級(jí)攻擊以UDP流量為主，次數(shù)超過(guò)40次游戲行業(yè)是DDoS攻擊重災(zāi)區(qū)，東南亞是海外攻擊熱點(diǎn)僵尸網(wǎng)絡(luò)規(guī)模擴(kuò)張迅猛，高危漏洞依舊是最大殺器以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)的DDoS攻擊愈演愈烈第二章：整體威脅6個(gè)月攻擊峰值超過(guò)1Tb5月、9月、10月成全年攻擊最多大流量攻擊8月份最多網(wǎng)絡(luò)游戲品類繼續(xù)蟬聯(lián)攻擊最多應(yīng)用DDoS攻擊不受現(xiàn)實(shí)時(shí)間影響DDoS攻擊目標(biāo)趨于明確，攻擊持久性逐年加強(qiáng)新型攻擊手段：Cloud9惡意插件遠(yuǎn)程控制第三章：海外威脅7月攻擊最多、8月攻擊最大100G以上大流量攻擊集中在1月東南亞主要攻擊熱點(diǎn)區(qū)域“短平快”攻擊依然是主要攻擊戰(zhàn)法攻擊者重點(diǎn)關(guān)注遠(yuǎn)程登錄與WEB應(yīng)用服務(wù)目錄ContentsUDPFragmentFlood“異軍突起”北美洲為應(yīng)用層DDoS攻擊流量主要來(lái)源地秘魯國(guó)內(nèi)形勢(shì)緊張，淪陷為應(yīng)用層DDoS攻擊重災(zāi)區(qū)第四章：黑產(chǎn)視角UDP攻擊手法最受黑客青睞大型攻擊中UDP非反射攻擊占據(jù)三分之一僵尸網(wǎng)絡(luò)攻擊活動(dòng)分布僵尸網(wǎng)絡(luò)肉雞分布僵尸網(wǎng)絡(luò)控制端分析僵尸網(wǎng)絡(luò)攻擊指令分析美國(guó)成為僵尸網(wǎng)絡(luò)DDoS攻擊首要目標(biāo)第五章：攻防對(duì)抗案例案例一：騰訊云客戶遭受Tb級(jí)別攻擊案例二：基于CVE-2022-26143的反射放大攻案例三：大規(guī)模UDP泛洪DDoS攻擊第六章：全球DDoS大事記章章:點(diǎn) 2r:ts 球S-4第一章專家觀ExpertOpinions122年DDoS威脅大流量攻擊增長(zhǎng)高于整體威脅增長(zhǎng)1盡管2021年因?yàn)槌霈F(xiàn)大型掃段攻擊的原因，攻擊次數(shù)已經(jīng)處于高位，但是222年全年DDoS攻擊次數(shù)同比2021年還是增長(zhǎng)8%，DDoS威脅維持了4年持續(xù)增長(zhǎng)的態(tài)勢(shì)，2022年也成為DDoS攻擊最多的一年。DDoSDDoS攻擊次數(shù)走勢(shì)最近幾年在云計(jì)算/大數(shù)據(jù)/AI/視頻直播等行業(yè)高速增長(zhǎng)驅(qū)動(dòng)下IDC網(wǎng)絡(luò)和家庭寬帶網(wǎng)絡(luò)帶寬持續(xù)高速增長(zhǎng)但是相當(dāng)數(shù)量的服務(wù)器和個(gè)人PC/IoT設(shè)備由于存在配置缺陷或者存在安全漏洞，淪入黑客之手。DDS攻擊黑產(chǎn)獲得了大量的攻擊資源和攻擊帶寬，導(dǎo)致百G以上的大流量攻擊越來(lái)越普遍，而且呈現(xiàn)明顯的大流量攻擊增長(zhǎng)幅度高于整體威脅增長(zhǎng)幅度的態(tài)勢(shì)。騰訊安全T-ecDDoS團(tuán)隊(duì)統(tǒng)計(jì)，2022年百G以上大流量攻擊同比增幅超過(guò)5成，平均下來(lái)大約每隔1小時(shí)就會(huì)出現(xiàn)1次百G以上的大流量攻擊。百百G以上大流量攻擊威脅趨勢(shì)2Tb級(jí)攻擊以UDP流量為主，次數(shù)超過(guò)40次2除了攻擊次數(shù)大幅增長(zhǎng)外，202年的攻擊峰值也再創(chuàng)新高。222年的最大攻擊峰值同比去年增長(zhǎng)15%，達(dá)到1.45Tbps，2022年也成為攻擊峰值最大的一年。騰訊云騰訊云DDoS攻擊峰值（Tbps）騰訊安全T-SecDDS團(tuán)隊(duì)監(jiān)測(cè)數(shù)據(jù)顯示2022年全年攻擊峰值流量超過(guò)1Tb的攻擊次數(shù)接近40，不僅是歷年之最，而且比22年之前所有的Tb級(jí)攻擊的次數(shù)還要多。從數(shù)據(jù)看，7月至8月以及11月至12月是Tb級(jí)攻擊的高發(fā)月份，這四個(gè)月平均4天就會(huì)出現(xiàn)1次Tb級(jí)攻擊。近年來(lái)DoS攻擊黑產(chǎn)獲得了大量的攻擊資源，攻擊程序也有大幅進(jìn)化，這導(dǎo)致攻擊者的攻擊手法不再拘泥于之前較為典型的UDP反射和SYN大包攻擊，攻擊手法五花八門，呈現(xiàn)越來(lái)越明顯的多樣性。但是在Tb級(jí)別的大流量攻擊中黑客們不約而同都選擇了UDP類攻擊具體來(lái)看大約三分之一的Tb級(jí)攻擊基于UDP反射而另外的三分之二的攻擊的主要流量是UDP非反射型攻擊。TbTb級(jí)攻擊的手法分布3游戲行業(yè)是DDoS攻擊重災(zāi)區(qū)，東南亞是海外攻擊熱點(diǎn)3由于存在惡意玩家通過(guò)發(fā)起DDoS攻擊、黑產(chǎn)團(tuán)伙敲詐勒索，同行業(yè)DDoS攻擊惡意競(jìng)爭(zhēng)等多個(gè)攻擊場(chǎng)景，游戲行業(yè)歷來(lái)都是DDoS攻擊的重災(zāi)區(qū)。222年游戲行業(yè)繼續(xù)成為DDoS攻擊最多的行業(yè)，不僅相比21年大幅回升，而且占比也遙遙領(lǐng)先于其他行業(yè)，占據(jù)所有行業(yè)DDoS攻擊的一半以上。游戲行業(yè)占比游戲行業(yè)占比一般來(lái)說(shuō)經(jīng)濟(jì)較為發(fā)達(dá)互聯(lián)網(wǎng)普及水平高的北美和歐洲是海外DDoS攻擊比較高發(fā)的區(qū)域但是今年以來(lái)這個(gè)趨勢(shì)出現(xiàn)了明顯的變化。022年?yáng)|南亞區(qū)域的經(jīng)濟(jì)高速發(fā)展，各個(gè)主要國(guó)家的GDP都出現(xiàn)大幅增長(zhǎng)。而在DDoS攻擊方面，得益于東南亞區(qū)域互聯(lián)網(wǎng)發(fā)展迅猛，DDoS攻擊占比也水漲船高，在2022年高居海外各個(gè)區(qū)域第一。傳統(tǒng)的經(jīng)濟(jì)發(fā)展水平較高，互聯(lián)網(wǎng)發(fā)達(dá)的北美區(qū)域的DDoS攻擊在海外各個(gè)區(qū)域中占比第二，此外日韓區(qū)域的DDoS攻擊占比也較高，超過(guò)了歐洲區(qū)域，位居第三。海外各個(gè)區(qū)域攻擊分布海外各個(gè)區(qū)域攻擊分布4僵尸網(wǎng)絡(luò)規(guī)模擴(kuò)張迅猛，高危漏洞依舊是最大殺器4DDoS攻擊是僵尸網(wǎng)絡(luò)第一個(gè)有明確收益的攻擊方式在國(guó)家和安全人員不斷對(duì)僵尸網(wǎng)絡(luò)治理和打擊的形勢(shì)下黑產(chǎn)團(tuán)伙仍從未放棄任何一次擴(kuò)張控制范圍的機(jī)會(huì)。近年來(lái)，DDoS僵尸網(wǎng)絡(luò)不斷利用漏洞擴(kuò)張控制范圍2022年被僵尸網(wǎng)絡(luò)利用的在野漏洞已達(dá)135種，新漏洞在剛披露的幾個(gè)小時(shí)內(nèi)即被快速集成，脆弱主機(jī)漏洞還未修復(fù)之前就已被控制并植入木馬。Mirai作為最活躍的僵尸網(wǎng)絡(luò)之一，今年發(fā)現(xiàn)其最高攜帶了77個(gè)中高危漏洞，如ApacheLog4jRCE漏洞（CVE-2021-44228）、F5BIG-IP未授權(quán)RCE漏洞（CVE-2022-1388）、Spring4ShellRCE漏洞（CVE-022-2265）等高危漏洞。從利用弱口令起家發(fā)展到利用漏洞進(jìn)行大面積擴(kuò)張，Miri尋找一切機(jī)會(huì)感染其他設(shè)備，擴(kuò)張控制范圍。由此可見(jiàn)，黑產(chǎn)團(tuán)伙具備隨時(shí)將高危漏洞用于擴(kuò)張僵尸網(wǎng)絡(luò)主機(jī)并用于DDoS攻擊的能力，這給關(guān)鍵信息基礎(chǔ)設(shè)施帶來(lái)極大威脅，因此防御方需要提前做好防御準(zhǔn)備。5以關(guān)鍵信息基礎(chǔ)設(shè)施為目標(biāo)的DDoS攻擊與日俱增5根據(jù)綠盟科技全球威脅狩獵系統(tǒng)監(jiān)測(cè)，2022年針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的DDoS攻擊呈上升趨勢(shì)，在11月攻次數(shù)達(dá)到最高。疫情期間，全球整體經(jīng)濟(jì)形勢(shì)下滑，以勒索型DDoS攻擊為代表的攻擊者將目標(biāo)轉(zhuǎn)向停運(yùn)成本較高的關(guān)鍵基礎(chǔ)設(shè)施，尤其是公共通信和信息服務(wù)、金融、公共服務(wù)、電子政務(wù)、重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)等。DDoS攻擊者試圖耗盡目標(biāo)網(wǎng)絡(luò)、應(yīng)用程序或服務(wù)的可用資源，對(duì)高度依賴業(yè)務(wù)連續(xù)性的關(guān)鍵信息基礎(chǔ)設(shè)施造成破壞，高昂的停運(yùn)成本意味著它們常常更有可能支付贖金，這些行業(yè)一旦被攻擊不僅會(huì)帶來(lái)經(jīng)濟(jì)壓力，還可能帶來(lái)額外社會(huì)安全穩(wěn)定性影響。受害關(guān)鍵基礎(chǔ)設(shè)施月度分布受害關(guān)鍵基礎(chǔ)設(shè)施月度分布脅脅 2r:ls 球S-9第二章整體威OverallThreats20222022年整體DDoS威脅呈上升趨勢(shì)。攻擊峰值方面，全年有6個(gè)月的攻擊峰值突破1b，12月份則成為攻擊峰值最大的月份。攻擊次數(shù)方面，5月份、8月份、10月份攻擊次數(shù)最多，大流量攻擊則在8月和1月最為集中。攻擊行業(yè)方面，游戲行業(yè)攻擊最多，手游則成為攻擊最多的細(xì)分品類。根據(jù)電信云堤監(jiān)測(cè)2022年11月1日曾出現(xiàn)過(guò)一次最高攻擊峰值超過(guò)3Tb/s的攻擊它發(fā)生在浙江電信具體時(shí)間為2022年11月1日8點(diǎn)08分，共持續(xù)107秒，這期間平均攻擊峰值超過(guò)167Gb/s，所屬類型為UDP型攻擊；對(duì)比歷年監(jiān)控，攻擊峰值流量超過(guò)3Tb/s級(jí)別屬于較為罕見(jiàn)的超大流量攻擊。1個(gè)月攻擊峰值超過(guò)1Tb1202年的攻擊峰值為歷年之最，同比21年增長(zhǎng)幅度達(dá)到15。22年最大的攻擊發(fā)生在12月份，攻擊峰值達(dá)到1.45bps。按月來(lái)看，022年各個(gè)月的攻擊峰值，在2月至7月以及8月至12月，呈現(xiàn)明顯的逐月遞增的態(tài)勢(shì)。最大攻擊流量最大攻擊流量Gbps由于2022年全年的b級(jí)別的攻擊接近40次，因此有6個(gè)月的攻擊峰值超過(guò)1T。但是從月份來(lái)看，b級(jí)別的攻擊的分布具有明顯的聚集性，6月至7月，1月至12月是Tb級(jí)攻擊最聚集的月份，全年94%的Tb級(jí)攻擊分布在這4個(gè)月。TbTb級(jí)攻擊的月份分布除了在時(shí)間分布上呈現(xiàn)聚集性外，在攻擊手法方面，Tb級(jí)攻擊也都聚集在UDP類攻擊手法。具體來(lái)說(shuō)，有三分之一的Tb級(jí)攻擊，是基于UDP反射發(fā)起。而剩余的三分之二的b級(jí)攻擊，則是直接基于非反射的UDP大包攻擊，這說(shuō)明DDoS攻擊者控制的攻擊資源異常充裕，已經(jīng)不需要借助UDP反射放大流量，就能直接起Tb級(jí)別的攻擊。TbTb級(jí)攻擊的手法分布25月、9月、10月成全年攻擊最多22022年的DDoS攻擊次數(shù)和221同期相比，一個(gè)很顯著的特點(diǎn)就是上半年的每個(gè)月的攻擊次數(shù)都多于21年同期，而下半年每個(gè)月的攻擊次數(shù)均少于21年同期。此外，整體來(lái)看相比21年，22年的DDoS攻擊次數(shù)分布較為均勻5月是攻擊次數(shù)最多的月份在全年占比為12%6月為攻擊次數(shù)最少的月份在全年攻擊占比為6%5月攻擊次數(shù)約為6月攻擊次數(shù)的2倍，而21年次數(shù)最多的月份是次數(shù)最少月份的5倍以上。根據(jù)電信云堤數(shù)據(jù)：截止202年11月30日，DDoS攻擊總次數(shù)為427815次，其中9月攻擊次數(shù)最多，為65458次；10月的攻擊次數(shù)其次，為60468次；9月的攻擊次數(shù)相比8月提升35513次，也是攻擊次數(shù)提升最明顯的月份；11月相比10月下降了27359次，為攻擊次數(shù)下降最明顯的月份；截止2022年11月30日，DDoS攻擊次數(shù)在國(guó)內(nèi)總計(jì)7970次，各月趨勢(shì)波動(dòng)較小，11月的攻擊次數(shù)最多，為9215次；DDoSDDoS攻擊次數(shù)走勢(shì)3大流量攻擊8月份最多32022年全年100G以上的累計(jì)超過(guò)1萬(wàn)次，數(shù)量為歷年之最。從時(shí)間分布來(lái)看，從2月份開(kāi)始，大流量攻擊持續(xù)增長(zhǎng)，8月份則是百G以上大流量攻擊的高峰，數(shù)量是百G以上大流量攻擊最少的2月份的3倍左右。百百G以上大流量攻擊趨勢(shì)4網(wǎng)絡(luò)游戲品類繼續(xù)蟬聯(lián)攻擊最多應(yīng)用4網(wǎng)絡(luò)游戲歷來(lái)都是DDoS攻擊較多，2022年也不例外，網(wǎng)絡(luò)游戲蟬聯(lián)DDS攻擊最多的網(wǎng)絡(luò)應(yīng)用，而且占比相比221年也有大幅提升。企業(yè)官網(wǎng)和IT通信行業(yè)的DoS攻擊占比則位于網(wǎng)絡(luò)游戲之后，分列第二位和第三位。DDoSDDoS攻擊行業(yè)分布盡管網(wǎng)絡(luò)游戲的攻擊占比高居第一，但是不同品類下的攻擊占比，差距也是非常明顯。手機(jī)游戲的攻擊最多，而且占據(jù)了游戲行業(yè)近三分之二的DDS攻擊，而端游占比則是僅次于手游。此外如游戲加速/游戲聊天等第三方游戲服務(wù)行業(yè)的DDoS攻擊占比也較高，甚至遠(yuǎn)遠(yuǎn)超過(guò)頁(yè)游這個(gè)游戲品類。游戲品類二級(jí)行游戲品類二級(jí)行業(yè)DDoS攻擊分布5DDoS攻擊不受現(xiàn)實(shí)時(shí)間影響5從攻擊次數(shù)的周天分布來(lái)看，DDoS攻擊除在周中稍微密集一些外，在一周內(nèi)的攻擊次數(shù)比較均勻。據(jù)此可看出，DDoS攻擊是持續(xù)不斷發(fā)生的，與是否為休息日無(wú)關(guān)，攻擊者每一天都可能對(duì)受害方發(fā)起攻擊，DDoS防護(hù)人員應(yīng)隨時(shí)保持警惕。20222022DDoS攻擊次數(shù)周天分布6DDoS攻擊目標(biāo)趨于明確，攻擊持久性逐年加強(qiáng)6從受害目標(biāo)被攻擊頻次來(lái)看，2022年被重復(fù)攻擊的IP比2021年有明顯上升。針對(duì)單個(gè)目標(biāo)的DDoS攻擊周期越來(lái)越持久不同于2021年56.91%的受害者只遭受過(guò)一次DDoS攻擊今年受害者一旦被認(rèn)定為攻擊目標(biāo)則更容易遭受多次DDoS攻擊這種DDoS攻擊持久性逐年加強(qiáng)的攻擊趨勢(shì)無(wú)疑給DDoS防護(hù)帶來(lái)更大的挑戰(zhàn)2021-20222021-2022年DDoS攻擊持久性分布7新型攻擊手段：Cloud9惡意插件遠(yuǎn)程控制7安全社區(qū)研究人員發(fā)現(xiàn)了一個(gè)新的名為“Cloud9”的瀏覽器僵尸網(wǎng)絡(luò)，使用惡意擴(kuò)展來(lái)竊取在線賬戶、記錄擊鍵、注入廣告和惡意JS代碼，并讓受害者的瀏覽器參與DDoS攻擊。Cloud9實(shí)際上是瀏覽器的遠(yuǎn)程訪問(wèn)馬(RAT)，其作用是允許攻擊者遠(yuǎn)程執(zhí)行命令。Cloud9在官方網(wǎng)上商店中不可用，而是通過(guò)其他渠道傳播，例如推送虛假播放器更新網(wǎng)站。Cloud9由三個(gè)JavaScript文件組成，用于收集系統(tǒng)信息、使用主機(jī)資源挖掘加密貨幣、執(zhí)行DDoS攻擊及注入運(yùn)行瀏覽器漏洞的腳本。該惡意軟件可以利用主機(jī)通過(guò)對(duì)目標(biāo)域的HTTPPOST請(qǐng)求執(zhí)行應(yīng)用層攻擊。脅脅 2r:ls 球S-15第三章海外威OverseasThreats海海外DDoS攻擊威脅呈現(xiàn)前三個(gè)季度波動(dòng)較大，而Q4則較為平穩(wěn)的態(tài)勢(shì)。全年攻擊峰值接近700，正在快速逼近1Tb這個(gè)門檻。東南亞區(qū)域是海外攻擊最多的區(qū)域，網(wǎng)絡(luò)游戲也是海外黑客的最愛(ài)攻擊目標(biāo)。1月攻擊最多、8月攻擊最大1海外的DDoS攻擊在前3個(gè)季度相鄰月份間變化較大，4季度則相對(duì)非常平穩(wěn)。其中202年7月份，海外的歐洲北美東南亞區(qū)域的DDoS威脅均達(dá)到2022年的高點(diǎn)這也導(dǎo)致7月成為海外DDoS攻擊最多的月份海外海外DDoS威脅趨勢(shì)攻擊峰值方面，海外的DDoS攻擊在上半年呈逐月增長(zhǎng)趨勢(shì)，到了下半年則呈現(xiàn)Q3攻擊峰值波動(dòng)較大，而Q4則較為平穩(wěn)的態(tài)勢(shì)。全年最大的攻擊發(fā)生在8月份，峰值接近700G，攻擊手法為UDP大包攻擊，海外的攻擊者也控制著非常龐大的攻擊資源，海外的DDoS攻擊峰值也在快速逼近1Tb這個(gè)門檻。海外最大攻擊流量走勢(shì)海外最大攻擊流量走勢(shì)脅 2年r:ss 球S2100G以上大流量攻擊集中在1月2盡管22年海外整體的DoS攻擊次數(shù)走勢(shì)較為平穩(wěn)，但是在100G以上大流量攻擊方面，各個(gè)月份之間波動(dòng)較大。根據(jù)騰訊安全T-SecDDoS團(tuán)隊(duì)的數(shù)據(jù)，海外區(qū)域1月份的100G以上大流量攻擊占全年比例接近三分之一，呈現(xiàn)大流量攻擊集中在1月份的趨勢(shì)，同時(shí)年尾的12月份100G以上大流量攻擊次數(shù)則排名第二。海外百海外百G以上大流量攻擊趨勢(shì)3東南亞主要攻擊熱點(diǎn)區(qū)域3得益于區(qū)域經(jīng)濟(jì)高速發(fā)展，以及擁有龐大的年輕用戶的互聯(lián)網(wǎng)產(chǎn)業(yè)快速增長(zhǎng)，2022年?yáng)|南亞區(qū)域的DDoS攻擊也水漲船高，在海外區(qū)域的占比大幅增加至四成以上，而且?guī)缀踉谒性路荩瑬|南亞區(qū)域的DDoS攻擊在海外區(qū)域的占比都高居第一，成為海外DDoS攻擊的熱點(diǎn)區(qū)域。海外各個(gè)區(qū)域威脅走勢(shì)海外各個(gè)區(qū)域威脅走勢(shì)而在峰值方面，2022年歐洲區(qū)域的攻擊峰值在在海外名列第一，東南亞區(qū)域則僅次于歐洲，這兩個(gè)區(qū)域的值都超過(guò)600G北美區(qū)域的攻擊峰值居于第三其他區(qū)域的峰值相比21年也有不同程度增長(zhǎng)但是與上述域的峰值差距則較大。各個(gè)區(qū)域攻擊峰值各個(gè)區(qū)域攻擊峰值4“短平快”攻擊依然是主要攻擊戰(zhàn)法4據(jù)綠盟全球威脅狩獵系統(tǒng)監(jiān)測(cè)，全球近七成DDoS攻擊不到10分鐘，約兩成的持續(xù)時(shí)間為10-30分鐘，余下的攻擊持續(xù)時(shí)間超過(guò)30分鐘，高頻瞬時(shí)攻擊依舊是當(dāng)前主要攻擊手段。“短平快”這種攻擊頻率高，持續(xù)時(shí)間短，攻擊收益高的DDoS攻擊戰(zhàn)法難以及時(shí)防護(hù)，這類攻擊會(huì)在短時(shí)間內(nèi)發(fā)送大量的攻擊流量轟擊目標(biāo)，依賴于安全分析的DDoS防護(hù)人員無(wú)法快速組織防護(hù)，只能在攻擊發(fā)生后進(jìn)復(fù)盤，部署過(guò)濾該攻擊指紋的防護(hù)規(guī)則，使下次發(fā)生攻擊時(shí)能產(chǎn)生告警并及時(shí)攔截。這類短時(shí)間的DDoS攻擊一旦成功，應(yīng)用可能要花費(fèi)數(shù)小時(shí)甚至數(shù)天才能恢復(fù)服務(wù)，造成極大的精力損耗。建議企業(yè)啟用自動(dòng)化DDoS防護(hù)服務(wù)，及時(shí)攔截高頻瞬時(shí)攻擊。DDoSDDoS攻擊持續(xù)時(shí)間分布r:dye

2年球S5攻擊者重點(diǎn)關(guān)注遠(yuǎn)程登錄與WEB應(yīng)用服務(wù)5從受害端口對(duì)應(yīng)的攻擊事件數(shù)來(lái)看，受害者遭受的DDoS攻擊的服務(wù)以telnet遠(yuǎn)程登錄服務(wù)(23/TCP)和HTTPs服務(wù)(443/TCP)的為主。2022年受疫情影響，民眾居家辦公成為常態(tài)，遠(yuǎn)程登錄服務(wù)(23/TCP)和文件傳輸服務(wù)（21/TP）成為遭受DoS攻擊的重災(zāi)區(qū)。此外，在一些對(duì)安全性要求較高的網(wǎng)站比如銀行，購(gòu)物，金融等行業(yè)都會(huì)采用HTTPS(443/TCP)服務(wù)，這類行業(yè)的網(wǎng)站若遭受DDoS攻擊，可能會(huì)造成嚴(yán)重的經(jīng)濟(jì)損失。受害端口對(duì)應(yīng)攻擊事件數(shù)統(tǒng)計(jì)受害端口對(duì)應(yīng)攻擊事件數(shù)統(tǒng)計(jì)6UDPFragmentFlood“異軍突起”62022年，UDPFlood，SYNFlood和UDPFragementFlood是TOP3網(wǎng)絡(luò)層DDoS攻擊。UDPFlood攻擊占比較2021年提升了8.01%%，SYNFlood較2021年下降了15.08%。需要注意的是，UDPFlood攻擊類型顯著增多，在UDPFragmentDDoS攻擊過(guò)程中，攻擊者會(huì)傳輸偽造的UDP數(shù)據(jù)包，這些據(jù)包看起來(lái)比最大傳輸單元MTU大，但實(shí)際上只發(fā)送了部分?jǐn)?shù)據(jù)包，這些數(shù)據(jù)包無(wú)法重新組合，服務(wù)器的資源很快就會(huì)被消耗掉，最終導(dǎo)致無(wú)法正常服務(wù)。2021-20222021-2022網(wǎng)絡(luò)層攻擊類型分布7北美洲為應(yīng)用層DDoS攻擊流量主要來(lái)源地7與網(wǎng)絡(luò)層DDoS攻擊不同應(yīng)用層DDoS攻擊過(guò)程中會(huì)發(fā)生完整的TCP連接其攻擊源IP無(wú)法偽造若區(qū)內(nèi)應(yīng)用層攻擊源IP攻擊的活躍度較高，也表明有僵尸網(wǎng)絡(luò)在其境內(nèi)較為活躍。北美洲是應(yīng)用層DDoS攻擊的主要來(lái)源地，其中美國(guó)占比高達(dá)98.43%，表明美國(guó)是當(dāng)前僵尸網(wǎng)絡(luò)較為活躍的地區(qū)。應(yīng)用層攻擊源地域分布應(yīng)用層攻擊源地域分布8秘魯國(guó)內(nèi)形勢(shì)緊張，淪陷為應(yīng)用層DDoS攻擊重災(zāi)區(qū)82022年，秘魯成為遭受應(yīng)用層DDoS攻擊最多的國(guó)家。攻擊者“趁火打劫”對(duì)其進(jìn)行大規(guī)模應(yīng)用層DDoS攻擊來(lái)篡取利益。美國(guó)和英國(guó)作為發(fā)達(dá)國(guó)家，受到應(yīng)用層攻擊的數(shù)量分列二三位。應(yīng)用層攻擊目標(biāo)地域分布應(yīng)用層攻擊目標(biāo)地域分布角角 2r:dye 球S-21第四章黑產(chǎn)視UndergroundIndustryPerspectiveDDoS攻擊背后是完整復(fù)雜的黑色利益鏈，和不擇手段規(guī)模龐大的撈金團(tuán)伙與之對(duì)抗既要在防御上推陳出新不斷引入新型技術(shù)，也要知己知彼對(duì)黑客團(tuán)伙的戰(zhàn)術(shù)持續(xù)研究。1UDP攻擊手法最受黑客青睞1攻擊手法方面，UDP類攻擊仍然是DDoS攻擊團(tuán)伙最青睞的攻擊手法，合計(jì)占比達(dá)到全部攻擊的6成左右。具體來(lái)說(shuō)DP反射攻擊占比約4成，UDP非反射攻擊占比約2成左右。SYNFLOOD攻擊占比則跌落到15%左右，其中YN大包攻擊占比已經(jīng)不足一成。作為近兩年攻擊的熱點(diǎn)手法，TCP反射在全部攻擊中的占比則為3%。攻擊手法分布攻擊手法分布2大型攻擊中UDP非反射攻擊占據(jù)三分之一2100G以上的大流量攻擊中，UDP類攻擊還是絕對(duì)主力，占比接近6。但是與以往不同的是，今年的UDP大包攻擊的占比已經(jīng)超過(guò)UDP反射的占比。SYN大包攻擊占比接近二成，名列第三位。此外，PSHACK攻擊的占比也較為可觀。UDP大包攻擊在100G以上的大流量攻擊中占比超過(guò)三分之一，背后的原因和僵尸網(wǎng)絡(luò)的變遷有較大關(guān)。歷史上100G以上的大流量攻擊中基本都是UDP反射和SYN大包評(píng)分秋色但是近兩年但是根據(jù)騰訊安全T-SecDDoS團(tuán)隊(duì)的監(jiān)測(cè)數(shù)據(jù)，Miai僵尸網(wǎng)絡(luò)強(qiáng)勢(shì)崛起，該僵尸網(wǎng)絡(luò)的多個(gè)變種發(fā)起的攻擊活動(dòng)都以UDP大包攻擊為主，而以SN大包攻擊位主要攻擊手段的Xr.DoS僵尸網(wǎng)絡(luò)持續(xù)式微。這一變遷不僅將UDP大包發(fā)起的大流量攻擊的峰值推升到Tb級(jí)別，也將UDP非反射攻擊占比大幅推升到2成以上。100G100G以上大流量攻擊威脅場(chǎng)景分布3僵尸網(wǎng)絡(luò)攻擊活動(dòng)分布3根據(jù)騰訊安全TSecDDoS團(tuán)隊(duì)的監(jiān)測(cè)數(shù)據(jù)，2022年攻擊活動(dòng)最活躍的僵尸網(wǎng)絡(luò)是irai僵尸網(wǎng)，占據(jù)所有僵尸網(wǎng)絡(luò)活動(dòng)的比例高達(dá)54%。此外afgyt和BilGats僵尸網(wǎng)絡(luò)的攻擊活動(dòng)占比則分列第二和第三。而前兩年大量發(fā)起SYN大包攻擊的XorDDoS僵尸網(wǎng)絡(luò)的占比則保持在低位，不足1成。僵尸網(wǎng)絡(luò)攻擊活動(dòng)分布僵尸網(wǎng)絡(luò)攻擊活動(dòng)分布4僵尸網(wǎng)絡(luò)肉雞分布4從肉雞數(shù)量維度來(lái)看，Mirai僵尸網(wǎng)絡(luò)仍然是所有僵尸網(wǎng)絡(luò)中的王者，占比超過(guò)四，afgyt，BilGates和XorDDoS的肉雞數(shù)量占比則較為接近，但是占比都不足2成。僵尸網(wǎng)絡(luò)肉雞數(shù)分布僵尸網(wǎng)絡(luò)肉雞數(shù)分布通過(guò)對(duì)2022年OP20的Liux/IoT高危漏洞利用情況進(jìn)行統(tǒng)計(jì)后發(fā)現(xiàn)，漏洞利用率的高低與僵尸網(wǎng)絡(luò)的活躍程度及規(guī)模正相關(guān)。irai與Gfgyt僵尸網(wǎng)絡(luò)對(duì)今年TOP20高危漏洞的利用率接近100%，新秀Mozi僵尸網(wǎng)絡(luò)亦接近60，而XorDDoS卻呈下滑趨勢(shì)。面世不久的KekecDDoS團(tuán)伙雖不足3%，卻也在更新迭代中逐漸擴(kuò)寬攻擊面。僵尸網(wǎng)絡(luò)對(duì)僵尸網(wǎng)絡(luò)對(duì)top20的linux/IoT漏洞利用率5僵尸網(wǎng)絡(luò)控制端分析5從控制端數(shù)量維度來(lái)看，Mirai僵尸網(wǎng)絡(luò)的控制端數(shù)量最多，占比接近8成。黑產(chǎn)團(tuán)伙為規(guī)避法律法規(guī)風(fēng)險(xiǎn)，通常將控制端部署于境外云主機(jī)2022全年94%的僵尸網(wǎng)絡(luò)主控端位于境外分布區(qū)域以北美及歐洲為主其中DigitalOcean和FranTechSolution是涉及僵尸網(wǎng)絡(luò)控制端最多的云服務(wù)廠商。僵尸網(wǎng)絡(luò)控制端數(shù)量分布僵尸網(wǎng)絡(luò)控制端數(shù)量分布僵尸網(wǎng)絡(luò)控制端地域分布 C&C僵尸網(wǎng)絡(luò)控制端地域分布C&C云服務(wù)廠商及運(yùn)營(yíng)商分布6僵尸網(wǎng)絡(luò)攻擊指令分析6從攻擊活躍度來(lái)看，Mirai僵尸網(wǎng)絡(luò)發(fā)起了接近一半的DDoS攻擊，并于7-8月達(dá)到攻擊高峰。XorDoS尸網(wǎng)絡(luò)的攻擊指令總數(shù)已然超過(guò)傳統(tǒng)家族Gafgyt，本年度發(fā)起的攻擊活動(dòng)占比接近4成。XorDDoS僵尸網(wǎng)絡(luò)家族于2014年9月底被首次監(jiān)測(cè)到，它組建了能夠發(fā)起DDoS攻擊的僵尸網(wǎng)絡(luò)，XorDDoS惡意家族主要特點(diǎn)是，用暴力猜解目標(biāo)主機(jī)SSH弱密碼的方式，入侵目標(biāo)主機(jī)，然后執(zhí)行相應(yīng)的SHELL腳本安裝XorDDoS惡意家族以及惡意RootKit來(lái)感染客戶主機(jī)。XorDDoS僵尸網(wǎng)絡(luò)家族的主要攻擊目標(biāo)為中國(guó)、美國(guó)等國(guó)家和地區(qū)。DDoSDDoS攻擊指令分布（萬(wàn)）僵尸網(wǎng)絡(luò)攻擊指令與家族分布僵尸網(wǎng)絡(luò)攻擊指令與家族分布僵尸網(wǎng)絡(luò)家族的主要攻擊目標(biāo)僵尸網(wǎng)絡(luò)家族的主要攻擊目標(biāo)7美國(guó)成為僵尸網(wǎng)絡(luò)DDoS攻擊首要目標(biāo)7僵尸網(wǎng)絡(luò)攻擊一般都是以謀取經(jīng)濟(jì)利益為最終目標(biāo)，其活躍程度與經(jīng)濟(jì)水平息息相關(guān)。美國(guó)作為世界第一大經(jīng)濟(jì)體，成為僵尸網(wǎng)絡(luò)攻擊的首要目標(biāo)。2022年全年最活躍的Miri僵尸網(wǎng)絡(luò)以及Gafyt和XorDDoS等知名僵尸網(wǎng)絡(luò)的主要攻擊目標(biāo)都位于美國(guó)，此外，中國(guó)和德國(guó)也遭到了大量Mirai僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊。僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)DDoS攻擊目標(biāo)分布角角 2r:dye 球S-27第五章攻防對(duì)案例AttackCases1攻防對(duì)抗案例1案例一：騰訊云客戶遭受Tb級(jí)別攻擊2022年12月2日某騰訊云客戶遭受超大流量DDoS攻擊攻擊手法為UDPFLOOD攻擊峰值達(dá)到為騰訊云歷史上最大的攻擊。之后的一周內(nèi)，該客戶又被攻擊超過(guò)40次。攻擊手攻擊者在短短一周之內(nèi)輪番動(dòng)用了超過(guò)9種攻擊手法其中大部分攻擊通過(guò)UDP大包攻擊發(fā)起ACK大包和PSHACK攻擊占比也較多。攻擊手法分布攻擊手法分布攻擊流量分布：針對(duì)該客戶的攻擊以超大流量攻擊為主，7成的攻擊超過(guò)100G，接近五成的攻擊超過(guò)500G。攻擊峰值區(qū)間分布攻擊峰值區(qū)間分布攻擊源來(lái)源：Mirai僵尸網(wǎng)絡(luò)的1個(gè)變種參與了此次攻擊，捕獲的2個(gè)控制端IP為157.XX.102.XX（位于印度班加羅爾）和18.XXX.65.XXX（位于德國(guó)法蘭克福）。攻擊者動(dòng)用了超過(guò)4萬(wàn)臺(tái)肉雞發(fā)起攻擊。其中來(lái)國(guó)外的攻擊源占比6%，分布于海外10個(gè)國(guó)家。來(lái)自國(guó)內(nèi)的攻擊源占比94%，國(guó)內(nèi)的各個(gè)省份均有分布，其中江蘇省，浙江省和廣東省是攻擊源數(shù)量較多的省份。國(guó)內(nèi)攻擊源來(lái)源省份分布防護(hù)困境國(guó)內(nèi)攻擊源來(lái)源省份分布防護(hù)困境Tb級(jí)別DDoS攻擊成為現(xiàn)實(shí)威脅不僅會(huì)影響被攻擊業(yè)務(wù)還會(huì)導(dǎo)致運(yùn)營(yíng)商網(wǎng)絡(luò)擁塞導(dǎo)致整個(gè)機(jī)房業(yè)務(wù)受影響。防護(hù)建議自建超大帶寬機(jī)房通過(guò)帶寬冗余的方式防范Tb級(jí)攻擊會(huì)導(dǎo)致機(jī)房建設(shè)和帶寬成本居高不下同時(shí)存在帶寬利用率低等問(wèn)題。建議企業(yè)應(yīng)該儲(chǔ)備大量防護(hù)帶寬的云計(jì)算廠商來(lái)防范Tb級(jí)DDoS攻擊威脅或者借用云計(jì)算廠商的端云一體防護(hù)能力在遭受攻擊時(shí)借助云計(jì)算廠商的海量防護(hù)能力進(jìn)行防護(hù)。防護(hù)困境防護(hù)困境：黑產(chǎn)團(tuán)伙持續(xù)進(jìn)化，攻擊能力日新月異，攻擊手法變化莫測(cè)。普通企業(yè)的安全團(tuán)隊(duì)資源有限，難以把握黑產(chǎn)最新攻擊態(tài)勢(shì)，在與高端團(tuán)伙對(duì)抗時(shí)很容易陷入被動(dòng)。防護(hù)建議云計(jì)算廠商依托海量客戶的攻防對(duì)抗場(chǎng)景和專業(yè)的安全防護(hù)專家隊(duì)伍投入資源專注于安防護(hù)追蹤業(yè)界最新的安全攻防態(tài)勢(shì)不斷迭代安全防護(hù)策略實(shí)現(xiàn)安全威脅一旦感知即能廣泛防護(hù)的力。案例二：基于CVE-2022-26143的反射放大攻擊2022年3月上旬，國(guó)際拉美地區(qū)某客戶遭受了UPFlood攻擊，峰值期間攻擊流量達(dá)到6.9Gbp。綠盟IBCS團(tuán)隊(duì)發(fā)現(xiàn)本次攻擊的源端口為固定的0074，經(jīng)過(guò)深入分析，可以確定本次攻擊是黑客利用TP-240rv驅(qū)動(dòng)程序存在漏洞（CVE-2022-26143）發(fā)起的反射放大攻擊。該漏洞可以使tp240dvr服務(wù)的一個(gè)公開(kāi)命令遭到濫用，該命令旨在對(duì)其客戶端進(jìn)行壓力測(cè)，以便于調(diào)試性能測(cè)試。攻擊者可以使用自定義的命令使tp20dvr服務(wù)發(fā)送更大的信息狀態(tài)更新數(shù)據(jù)包，從而顯著提高大率，放大比例理論為4,294,967,294:1。在得出結(jié)論后，綠盟IBCS團(tuán)隊(duì)在ADS上將防護(hù)群組的UDP防護(hù)策略進(jìn)行了調(diào)優(yōu)，將來(lái)自10074的端口的UDP流量進(jìn)行限速處理，以保證客戶業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。案例三：大規(guī)模UDP泛洪DDoS攻擊2022年下旬，國(guó)際某拉美地區(qū)客戶遭受了三次規(guī)模較大的UDP泛洪DDoS攻擊，峰值期間攻擊流量一度高達(dá)225.5Gbps，而清洗后回注給客戶的流量為3.7Gbps，清洗效率為98.8%。綠盟ICS團(tuán)隊(duì)在客戶遭受攻擊后迅速進(jìn)行了響應(yīng)，通過(guò)與客戶溝通與抓包分析，我們了解到被攻擊IP在線游戲業(yè)務(wù)，使用的協(xié)議為UP，服務(wù)端口27030和27055，且該攻擊通過(guò)具有完整協(xié)議棧的隨機(jī)源向服務(wù)器發(fā)起單次查詢請(qǐng)求，payload字段一致，且報(bào)文無(wú)異常。7月15日UDPFlood攻擊，清洗率98.87%10月5日UDPFlood攻擊，清洗率98.88%10月27日UDPFlood攻擊，清洗率98.8%此攻擊是利用隨機(jī)源發(fā)起的UDP小包攻擊，如果使用常規(guī)防護(hù)手段進(jìn)行限速處理，正常用戶的合法業(yè)務(wù)流量也會(huì)被誤殺。因此針對(duì)該攻擊必須要找到更加細(xì)節(jié)的攻擊特征，在源頭上將攻擊進(jìn)行封堵，才能不妨礙到正常客戶的業(yè)務(wù)。通過(guò)進(jìn)一步的分析討論，綠盟BCS團(tuán)隊(duì)發(fā)現(xiàn)該攻擊所有UDP包其TTL均為251，而正常Windows或macOS操作系統(tǒng)其默認(rèn)TTL一般為128或64，由此可以斷定該攻擊報(bào)文是由攻