2022年DDoS攻击威胁报告
AI智能总结
第一章:专家观点2022年 Chapterone:ExpertOpinions全球DDoS威胁报告 -1 第一章:专家观点 1.22年DDoS威胁大流量攻击增长高于整体威胁增长 2.Tb级攻击以UDP流量为主,次数超过40次 3.游戏行业是DDoS攻击重灾区,东南亚是海外攻击热点 4.僵尸网络规模扩张迅猛,高危漏洞依旧是最大杀器 5.以关键基础设施为目标的DDoS攻击愈演愈烈 第二章:整体威胁 1.6个月攻击峰值超过1Tb 2.5月、9月、10月成全年攻击最多 3.大流量攻击8月份最多 4.网络游戏品类继续蝉联攻击最多应用 5.DDoS攻击不受现实时间影响 6.DDoS攻击目标趋于明确,攻击持久性逐年加强 7.新型攻击手段:Cloud9恶意插件远程控制 第三章:海外威胁 1.7月攻击最多、8月攻击最大 2.100G以上大流量攻击集中在1月 3.东南亚主要攻击热点区域 4.“短平快”攻击依然是主要攻击战法 5.攻击者重点关注远程登录与WEB应用服务 6.UDPFragmentFlood“异军突起” 7.北美洲为应用层DDoS攻击流量主要来源地 8.秘鲁国内形势紧张,沦陷为应用层DDoS攻击重灾区 第四章:黑产视角 1.UDP攻击手法最受黑客青睐 2.大型攻击中UDP非反射攻击占据三分之一 3.僵尸网络攻击活动分布 4.僵尸网络肉鸡分布 5.僵尸网络控制端分析 6.僵尸网络攻击指令分析 7.美国成为僵尸网络DDoS攻击首要目标 第五章:攻防对抗案例 案例一:腾讯云客户遭受Tb级别攻击 案例二:基于CVE-2022-26143的反射放大攻击案例三:大规模UDP泛洪DDoS攻击 第六章:全球DDoS大事记 第一章:专家观点2022年 Chapterone:ExpertOpinions全球DDoS威胁报告 -4 第一章专家观点 ExpertOpinions 1 22年DDoS威胁大流量攻击增长高于整体威胁增长 尽管2021年因为出现大型扫段攻击的原因,攻击次数已经处于高位,但是2022年全年DDoS攻击次数同比2021年还是增长8%,DDoS威胁维持了4年持续增长的态势,2022年也成为DDoS攻击最多的一年。 DDoS攻击次数走势 最近几年,在云计算/大数据/AI/视频直播等行业高速增长驱动下,IDC网络和家庭宽带网络带宽持续高速增长。但是相当数量的服务器和个人PC/IoT设备由于存在配置缺陷或者存在安全漏洞,沦入黑客之手。DDoS攻击黑产获得了大量的攻击资源和攻击带宽,导致百G以上的大流量攻击越来越普遍,而且呈现明显的大流量攻击增长幅度高于整体威胁增长幅度的态势。腾讯安全T-SecDDoS团队统计,2022年百G以上大流量攻击同比增幅超过5成,平均下来大约每隔1小时就会出现1次百G以上的大流量攻击。 百G以上大流量攻击威胁趋势 -5 2 Tb级攻击以UDP流量为主,次数超过40次 除了攻击次数大幅增长外,2022年的攻击峰值也再创新高。2022年的最大攻击峰值同比去年增长15%,达到1.45Tbps,2022年也成为攻击峰值最大的一年。 腾讯云DDoS攻击峰值(Tbps) 腾讯安全T-SecDDoS团队监测数据显示:2022年全年攻击峰值流量超过1Tb的攻击次数接近40次,不仅是历年之最,而且比22年之前所有的Tb级攻击的次数还要多。从数据看出,7月至8月以及11月至12月是Tb级攻击的高发月份,这四个月平均4天就会出现1次Tb级攻击。 近年来DDoS攻击黑产获得了大量的攻击资源,攻击程序也有大幅进化,这导致攻击者的攻击手法不再拘泥于之前较为典型的UDP反射和SYN大包攻击,攻击手法五花八门,呈现越来越明显的多样性。但是在Tb级别的大流量攻击中,黑客们不约而同都选择了UDP类攻击。具体来看大约三分之一的Tb级攻击基于UDP反射,而另外的三分之二的攻击的主要流量是UDP非反射型攻击。 Tb级攻击的手法分布 -6 3 游戏行业是DDoS攻击重灾区,东南亚是海外攻击热点 由于存在恶意玩家通过发起DDoS攻击、黑产团伙敲诈勒索,同行业DDoS攻击恶意竞争等多个攻击场景,游戏行业历来都是DDoS攻击的重灾区。2022年游戏行业继续成为DDoS攻击最多的行业,不仅相比21年大幅回升,而且占比也遥遥领先于其他行业,占据所有行业DDoS攻击的一半以上。 游戏行业占比 一般来说,经济较为发达,互联网普及水平高的北美和欧洲是海外DDoS攻击比较高发的区域,但是今年以来,这个趋势出现了明显的变化。2022年东南亚区域的经济高速发展,各个主要国家的GDP都出现大幅增长。而在DDoS攻击方面,得益于东南亚区域互联网发展迅猛,DDoS攻击占比也水涨船高,在2022年高居海外各个区域第一。传统的经济发展水平较高,互联网发达的北美区域的DDoS攻击在海外各个区域中占比第二,此外日韩区域的DDoS攻击占比也较高,超过了欧洲区域,位居第三。 海外各个区域攻击分布 -7 4 僵尸网络规模扩张迅猛,高危漏洞依旧是最大杀器 DDoS攻击是僵尸网络第一个有明确收益的攻击方式,在国家和安全人员不断对僵尸网络治理和打击的形势下,黑产团伙仍从未放弃任何一次扩张控制范围的机会。 近年来,DDoS僵尸网络不断利用漏洞扩张控制范围,2022年被僵尸网络利用的在野漏洞已达135种,新漏洞在刚披露的几个小时内即被快速集成,脆弱主机漏洞还未修复之前就已被控制并植入木马。 Mirai作为最活跃的僵尸网络之一,今年发现其最高携带了77个中高危漏洞,如ApacheLog4jRCE漏洞(CVE-2021-44228)、F5BIG-IP未授权RCE漏洞(CVE-2022-1388)、Spring4ShellRCE漏洞 (CVE-2022-22965)等高危漏洞。从利用弱口令起家发展到利用漏洞进行大面积扩张,Mirai寻找一切机会感染其他设备,扩张控制范围。 由此可见,黑产团伙具备随时将高危漏洞用于扩张僵尸网络主机并用于DDoS攻击的能力,这给关键信息基础设施带来极大威胁,因此防御方需要提前做好防御准备。 5 以关键信息基础设施为目标的DDoS攻击与日俱增 根据绿盟科技全球威胁狩猎系统监测,2022年针对关键信息基础设施的DDoS攻击呈上升趋势,在11月攻击次数达到最高。 疫情期间,全球整体经济形势下滑,以勒索型DDoS攻击为代表的攻击者将目标转向停运成本较高的关键基础设施,尤其是公共通信和信息服务、金融、公共服务、电子政务、重要网络设施和信息系统等。 DDoS攻击者试图耗尽目标网络、应用程序或服务的可用资源,对高度依赖业务连续性的关键信息基础设施造成破坏,高昂的停运成本意味着它们常常更有可能支付赎金,这些行业一旦被攻击不仅会带来经济压力,还可能带来额外社会安全稳定性影响。 受害关键基础设施月度分布 -8 第二章:整体威胁2022年 Chaptertwo:OverallThreats全球DDoS威胁报告 -9 第二章整体威胁 OverallThreats 2022年整体DDoS威胁呈上升趋势。攻击峰值方面,全年有6个月的攻击峰值突破1Tb,12月份则成为攻击峰值最大的月份。攻击次数方面,5月份、8月份、10月份攻击次数最多,大流量攻击则在8月和1月最为集中。攻击行业方面,游戏行业攻击最多,手游则成为攻击最多的细分品类。 根据电信云堤监测,2022年11月1日曾出现过一次最高攻击峰值超过3Tb/s的攻击,它发生在浙江电信,具体时间为2022年11月1日8点08分,共持续1087秒,这期间平均攻击峰值超过167Gb/s,所属类型为UDP型攻击;对比历年监控,攻击峰值流量超过3Tb/s级别属于较为罕见的超大流量攻击。 1 6个月攻击峰值超过1Tb 2022年的攻击峰值为历年之最,同比21年增长幅度达到15%。22年最大的攻击发生在12月份,攻击峰值达到1.45Tbps。按月来看,2022年各个月的攻击峰值,在2月至7月以及8月至12月,呈现明显的逐月递增的态势。 最大攻击流量Gbps 由于2022年全年的Tb级别的攻击接近40次,因此有6个月的攻击峰值超过1Tb。但是从月份来看,Tb级别的攻击的分布具有明显的聚集性,6月至7月,11月至12月是Tb级攻击最聚集的月份,全年94%的Tb级攻击分布在这4个月。 Tb级攻击的月份分布 -10 除了在时间分布上呈现聚集性外,在攻击手法方面,Tb级攻击也都聚集在UDP类攻击手法。具体来说,有三分之一的Tb级攻击,是基于UDP反射发起。而剩余的三分之二的Tb级攻击,则是直接基于非反射的UDP大包攻击,这说明DDoS攻击者控制的攻击资源异常充裕,已经不需要借助UDP反射放大流量,就能直接发起Tb级别的攻击。 Tb级攻击的手法分布 2 5月、9月、10月成全年攻击最多 2022年的DDoS攻击次数和2021同期相比,一个很显著的特点就是上半年的每个月的攻击次数都多于21年同期,而下半年每个月的攻击次数均少于21年同期。此外,整体来看相比21年,22年的DDoS攻击次数分布较为均匀,5月是攻击次数最多的月份,在全年占比为12%。6月为攻击次数最少的月份在全年攻击占比为6%。5月攻击次数约为6月攻击次数的2倍,而21年次数最多的月份是次数最少月份的5倍以上。 根据电信云堤数据:截止2022年11月30日,DDoS攻击总次数为427815次,其中9月攻击次数最多,为65458次;10月的攻击次数其次,为60468次;9月的攻击次数相比8月提升35513次,也是攻击次数提升最明显的月份;11月相比10月下降了27359次,为攻击次数下降最明显的月份; 截止2022年11月30日,DDoS攻击次数在国内总计79760次,各月趋势波动较小,11月的攻击次数最多,为9215次; DDoS攻击次数走势 -11 3 大流量攻击8月份最多 2022年全年100G以上的累计超过1万次,数量为历年之最。从时间分布来看,从2月份开始,大流量攻击持续增长,8月份则是百G以上大流量攻击的高峰,数量是百G以上大流量攻击最少的2月份的3倍左右。 百G以上大流量攻击趋势 4 网络游戏品类继续蝉联攻击最多应用 网络游戏历来都是DDoS攻击较多,2022年也不例外,网络游戏蝉联DDoS攻击最多的网络应用,而且占比相比2021年也有大幅提升。企业官网和IT通信行业的DDoS攻击占比则位于网络游戏之后,分列第二位和第三位。 DDoS攻击行业分布 -12 尽管网络游戏的攻击占比高居第一,但是不同品类下的攻击占比,差距也是非常明显。手机游戏的攻击最多,而且占据了游戏行业近三分之二的DDoS攻击,而端游占比则是仅次于手游。此外如游戏加速/游戏聊天等第三方游戏服务行业的DDoS攻击占比也较高,甚至远远超过页游这个游戏品类。 游戏品类二级行业DDoS攻击分布 5 DDoS攻击不受现实时间影响 从攻击次数的周天分布来看,DDoS攻击除在周中稍微密集一些外,在一周内的攻击次数比较均匀。据此可以看出,DDoS攻击是持续不断发生的,与是否为休息日无关,攻击者每一天都可能对受害方发起攻击,DDoS防护人员应随时保持警惕。 2022DDoS攻击次数周天分布 -13 6 DDoS攻击目标趋于明确,攻击持久性逐年加强 从受害目标被攻击频次来看,2022年被重复攻击的IP比2021年有明显上升。针对单个目标的DDoS攻击周期越来越持久,不同于2021年56.91%的受害者只遭受过一次DDoS攻击,今年受害者一旦被认定为攻击目标,则更容易遭受多次DDoS攻击,这种DDoS攻击持久性逐年加强的攻击趋势无疑给DDoS防护带来更大的挑战。 2021-2022年DDoS攻击持久性分布 7 新型攻击手段:Cloud9恶意插件远程控制 安全社区研究人员发现了一个新的名为“Cloud9”的浏览器僵尸网络,使用恶意扩展来窃取在线账户、记录击键、注入广告和恶意JS代码,并让受
