2022年上半年-全球DDoS威胁报告

第一章:专家观点2022年 Chapterone:ExpertOpinions全球DDoS威胁报告 -1 第一章：专家观点 1.游戏/视频直播是热点攻击行业 2.东南亚成海外攻击热点区域 3.新型UDP反射攻击放大倍数达数十亿倍 4.Tb级攻击连续3个月出现 5.端云一体防护成抗D新思路 6.政府部门和重要基础设施更需重视DDoS防护 第二章：整体威胁 1.22年上半年DDoS攻击威胁创历年新高 2.100G以上大流量攻击每天超40次 3.7成攻击持续时间不超过30分钟 4.5月和6月成威胁最大月份 5.游戏行业仍是遭受DDoS攻击最多行业 6.TCP反射和PUSHACK攻击持续肆虐 7.扫描型扫段攻击每月攻击数以十万计的IP 第三章：海外威胁 1.海外攻击逐年增长 2.海外最大攻击超过600G 3.东南亚是海外攻击热点区域 4.海外攻击1月最多 5.海外攻击的热点行业与国内2年前情形趋同 第四章：黑产视角 1.中高端攻击团伙占四分之一 2.敲诈勒索是主要攻击动机 3.大部分攻击基于UDP协议发起 4.Mirai僵尸网络上半年威胁最大 5.高危漏洞的利用率与僵尸网络活动正相关 6.僵尸网络控制端多数分布在海外 7.僵尸网络资源来源分析 第五章：攻防对抗案例 案例一：腾讯云客户遭受Tb级别攻击案例二：中间盒TCP反射攻击 案例三：扫段攻击防护案例 第六章：全球DDoS大事记 第一章:专家观点2022年 Chapterone:ExpertOpinions全球DDoS威胁报告 -4 第一章专家观点 ExpertOpinions 1 游戏/视频直播是热点攻击行业 游戏和视频直播继续位居被攻击最多行业： 一直以来，游戏行业都是遭受DDoS攻击最多的行业，今年的游戏行业的攻击占比仍然高居第一，而且相比去年占比还略有提升。视频直播行业遭受的DDoS攻击占比则大幅提升并达到历史新高，在所有行业中高居第二。另一方面，教培和互联网金融等受到严格监管的行业不仅DDoS攻击比例出现下降，攻击次数也出现非常明显的收缩，和游戏/视频直播行业的攻击频发，攻击占比居高不下形成非常鲜明的对比。 DDoS攻击的行业分布 2 东南亚成海外攻击热点区域 东南亚区域人口密集，网民数量众多，近年来经济发展也较为迅猛，成为这两年DDoS攻击的热点区域。另外，日韩区域的DDoS攻击占比也较高，超越了北美和欧洲，成为海外的攻击热点区域。 海外攻击的区域分布 -5 3 新型UDP反射攻击放大倍数达数十亿倍 新型UDP反射攻击放大倍数达数十亿倍： UDP反射可以用较小的初始流量经过反射源放大数十倍乃至上万倍，获得海量的攻击流量，因此一直以来深受DDoS攻击团伙的青睐。除了大家熟知的NTP反射/DNS反射/LDAP反射等，3月份业界发现一部分配置存在缺陷的Mitel设备，被DDoS攻击团伙用于发起DDoS攻击，尽管此类设备的数量仅有数千台，但是由于其具有数十亿倍的放大倍数，超越几年前流行的Memcached反射手法，成为迄今为止放大倍数最大的UDP反射放大手法。 3月份业界发现数千台开放到互联网的配置存在缺陷的Mitel设备可被DDoS攻击团伙用于发起DDoS攻击。尽管该手法理论上可以达到远超Memcached反射的高达数十亿倍的放大倍数，由于受限于缺陷设备的带宽，以及缺陷设备的快速修复，并没有引起大规模的爆发。根据腾讯安全T-SecDDoS防护团队的监测数据，在3月6日首次监测到此类攻击，最大的一次攻击峰值为6Gbps。在3月上旬共监测到约20次攻击之后，此类攻击再未在现网出现。 4 Tb级攻击连续3个月出现 自从2017年首次出现攻击峰值超过1Tb的攻击以来，Tb级攻击开始不断见诸报道，但是整体来说2021年之前Tb级攻击还是较为罕见，每年超过1Tb的攻击在全球也基本屈指可数。但是近两年Tb级攻击开始变得更加频繁，今年上半年自4月份开始，连续3个月每个月都有Tb级攻击出现。在Tb级攻击最多的6月，腾讯云某客户甚至在1天之内遭受了2次攻击峰值均超过1Tb的超大型DDoS攻击。Tb级攻击从一年数遇变成一月数遇，企业将面临愈加严峻的Tb级大流量DDoS攻击威胁。 DDoS攻击峰值走势 -6 5 端云一体防护成抗D新思路 端云一体防护成抗D新思路： 尽管当前的各国经济遭遇了不同的困难，但是工业互联网/大数据/云计算/AI/5G等数字经济产业丝毫没有放慢脚步，如火如荼高速发展。这些新兴产业本身会产生大量的设备接入以及带宽需求，而一旦这部分资源配置不当，就会沦为黑客的攻击资源。另一方面，这些数字经济产业的发展，也让互联网深入到更广阔的空间，也给黑客暴露了更多的获利机会。因此从这两个方面来说，未来的DDoS攻击威胁不仅会持续增长，而且会变得无处不在。 但是在很多场景下，业务因为合规/数据隐私/系统架构等方面的原因，只能部署在私有云或者自有机房上，同时由于成本预算或者技术能力的原因，本地很难建立与当前DDoS威胁相匹配的抗D能力。这部分部署在私有云或者自有机房的业务，一旦遭遇大型DDoS攻击，就会产生巨大的风险。 因此，在成本预算有限或者技术存在短板的客观环境下，如何从外部寻找“远水”来解部署在私有云或者自有机房的业务遭受大型DDoS攻击这个“近渴”，就成为一个紧迫的课题。而依托端云一体DDoS防护服务平台的解决方案就是在这种场景下应运而生。 作为脱胎于云计算的云原生安全产品，在海量业务驱动下完成了高性能高效率检验，各行各业各种规模用户下催生了丰富的场景支持，以及多用户共享形态下的成本优势海量带宽储备，在当前DDoS攻击威胁增长非常迅猛而企业愈发关注成本的形势下，具有天然的优势。 -7 6 政府部门和重要基础设施更需重视DDoS防护 尽管游戏、视频直播等行业一直居于DDoS攻击的主要攻击行业之列，但是其他行业遭受大型DDoS攻击的新闻也让人应接不暇。 根据外部公开报道统计，2022年上半年国外除了有大量的政务站点遭受大型DDoS攻击外，一些银行和金融机构、运营商以及通信、机场与港口等基础设施部门也多次遭受DDoS攻击，造成的宕机时间从数小时至数天不等。 上半年国外部分大型DDoS攻击的行业分析 银行和金融机构，运营商以及通信，机场与港口等基础设施部门，一方面服务的人群较为广泛，和人们必要的生活和工作息息相关，一旦遭受DDoS攻击，就会轻易影响数万乃至数十万人的工作和生活。但是另一方面，这些行业的攻击频率又远没有游戏、视频直播等行业的企业频繁，因此很可能针对DDoS攻击威胁缺乏必要的技术储备和应对预案，国外多个基础设施站点被攻击后宕机数天，可见一斑。 因此，政府部门和重要基础设施更需重视DDoS防护，必要时可借助于云原生的DDoS防护产品，可快速补齐DDoS防护的短板，轻松应对高级攻击团伙和Tb级攻击，取得事半功倍的效果。 -8 第二章：整体威胁2022年 Chaptertwo:OverallThreats全球DDoS威胁报告 -9 第二章整体威胁 OverallThreats 1 22年上半年DDoS攻击威胁创历年新高 根据电信安全的数据，2022年上半年的攻击次数达到近4年新高，是去年同期的3倍，同比21年上半年增幅达到205%。 DDoS攻击次数 2 100G以上大流量攻击每天超40次 尽管攻击次数为历年新高，但是100G以上的攻击次数并未突破2019年的高峰值。根据电信安全近3年的数据来看，上半年100G以上的大流量攻击次数均在8000次上下，也就是说平均每天约有44次大流量攻击发生。 100G以上攻击次数 和前两年100G以上大流量攻击集中在UDP反射和SYN大包这两种常见的拥塞带宽型攻击不同，今年的大流量攻击手法多样化趋势愈发明显。由下图可以看出，UDP反射和SYN大包这两种常见的拥塞带宽型攻击合计仅占半数，而PSHACK大包攻击和UDP大包攻击的比例显著增加。此外由于攻击者手里的攻击资源越来越富足，导致一些协议缺陷型攻击（如SYN小包和TCP反射）的攻击流量能够轻易超过100G，成为兼具协议缺陷型攻击和拥塞带宽型攻击的双重威胁。 -10 此外，前些年的规模最大的DDoS攻击记录，主要的攻击流量基本都是通过UDP反射发起，攻击者的初始攻击流量其实不足百G。但是上半年腾讯云上最大的Tb级别的攻击，攻击手法都是非反射型的UDPFLOOD，这充分说明攻击者的攻击资源极为充足，已经不需要UDP放大即可发起Tb级别的攻击。 百G以上攻击的类型分布 3 7成攻击持续时间不超过30分钟 尽管DDoS攻击每天都有时时都在，但是大约7成的攻击持续时间在半小时以内。据绿盟全球威胁狩猎系统监测，小于5分钟的攻击在整体中占比大约三分之一，而持续时间小于5分钟的攻击和介于5分钟和10分钟的攻击的比例相加就接近一半，另外有四分之一的攻击的持续时间在10分钟至30分钟之间。但是长时间的攻击也有相当大的比例，有超过一成的攻击持续时间超过1小时，其中超过6小时的长时间攻击的比例也达到2%。 DDoS攻击持续时长分布 -11 4 5月和6月成威胁最大月份 今年上半年的DDoS攻击的月度分布也极具特点。从攻击次数的角度来看，5月和6月成为攻击次数最多的月份。而从攻击峰值的角度来看，前3个月的峰值均在800G以下，从4月开始，攻击峰值则连续3个月超过1TB。综合来看5月和6月成为存在DDoS威胁最大的月份。 5月和6月DDoS攻击威胁大增，背后的原因则是攻击者的攻击资源变得更为充裕。通过分析发现，5月份之后的Tb级别的攻击，攻击手法都是通过肉鸡发起大量非反射类型的UDP大包攻击，说明基于当前的攻击者手中的资源就已经可以做到不依赖UDP反射放大即可产生Tb级的攻击流量。 上半年DDoS攻击次数走势 1 000G 500G 5 游戏行业仍是遭受DDoS攻击最多行业 一直以来，游戏行业都是DDoS攻击的重灾区。相比去年，游戏行业继续成为了遭受DDoS攻击最多的行业，不仅遭受了所有行业DDoS的4成以上的攻击，而且占比相比去年还略有增长。 游戏行业攻击占比走势 -12 6 TCP反射和PSHACK攻击持续肆虐 随着对抗的持续进行，攻击者的攻击手法也在不断进化。传统的UDP反射和SYN大包等攻击手法，只要防守方储备足够的防护带宽，防护效果已经相当可靠。为了进一步绕过防护方的防护策略，提升攻击效果，DDoS攻击者将更多注意力投向了和业务流量更为接近，区分攻击流量更为艰难的TCP反射/PSHACK等攻击手法中。 大量新的TCP反射端口被利用导致TCP反射攻击更加猖獗： TCP反射在2018年广泛出现后，因为其攻击资源来源丰富，易于隐藏真实攻击者的行踪以及难以防护等特点，成为攻击者目前使用较多的攻击手法。今年上半年，据监测发现攻击者对存在主动外连行为的目标发起攻击时，会特意选取TCP反射来发起攻击。此时外部的攻击流量和用户正常的主动外连的流量将难以区分，再加上TCP反射的攻击流量来源是真实的站点，会对防护方的挑战算法做出正确的回应，防护的难度将大幅提升。另外，攻击者也在不断将新的反射端口利用到攻击中，以提升攻击的威力和防护难度外，一些大于1024的非常见的服务端口，如TCP7547端口，TCP32768端口，TCP30010端口等，也被攻击者大量应用到实际攻击中。 攻击源数量 PSHACK攻击既大又快： 据腾讯安全T-SecDDoS防护团队监测的结果，PSHACK攻击是近两年较为突出的威胁。一方面，发起此类攻击的黑产拥有丰富的攻击资源，因此此类攻击基本都是大流量攻击，最大的攻击流量接近900G，同时此类攻击的流量飙升极快，可以在数秒之内流量蹿升到500G以上。另一方面，PSHACK包也是业务流量中较为常见的数据报文，而且是TCP连接建立后的报文，不仅较难区分业务正常流量报文和攻击报文，很容易出现误杀，而且过于厚重的算法也会带来明显的业务延迟。 上述因