2022年全球DDoS攻击现状与趋势分析

2022年全球DDoS攻击现状与趋势分析 中国电信安全、联通数科、百度安全、Nexusguard、华为联合发布 华为网络安全官网 目录 目录 关键信息摘要02 1.1专家观点02 1.2热点攻击事件02 1.3DDoS攻击态势02 1.4DDoS僵尸网络态势03 1.5DDoS攻击源态势04 1.6典型攻击分析04 热点攻击事件05 2.1热点攻击事件05 2.2攻击事件回放06 现状与趋势12 3.1DDoS攻击态势12 3.1.1攻击强度12 3.1.2攻击频次17 3.1.3攻击速度18 3.1.4攻击复杂度18 3.1.5攻击发生时段28 3.1.6攻击持续时间29 3.1.7攻击持久性30 3.1.8攻击目标行业分布30 3.1.9攻击目标地域分布32 3.2DDoS僵尸网络态势33 3.2.1僵尸家族分布33 3.2.2C2地域分布33 3.3DDoS攻击源态势34 3.3.1肉鸡地域分布34 3.3.2肉鸡按运营商分布35 典型DDoS攻击分析37 4.1APIDDoS攻击态势37 4.1.1攻击类型分布37 4.1.2典型攻击分析38 4.1.3典型攻击事件44 4.1.4DDoS防御建议47 4.2金融行业DDoS攻击态势49 4.2.1金融行业攻击态势49 4.2.22018年金融行业攻击分析52 4.2.32020年金融行业攻击分析55 4.2.42021年金融行业攻击分析60 4.2.52022年金融行业攻击分析63 4.2.6金融行业防御建议70 专家观点72 数据来源74 01 关键信息摘要 1.1专家观点 观点1：金融行业DDoS攻击强度和频次持续攀升，挑战WAF性能，金融企业需构筑运营商上游云清洗+企业私有云边界抗D+WAF的三层防御架构缓解应用层攻击威胁。 观点2：API成为DDoS攻击新目标，亟需完善API的DDoS防御体系架构。 1.2热点攻击事件 2022世界杯期间，中国境内某支付平台遭受大规模DDoS攻击，高强度攻击共持续5天。攻击期间，攻击强度和复杂度持续加码，堪称攻防对抗史上之最。攻击流量峰值7次超800Gbps，4次超1Tbps，最高达1.159Tbps；整个攻击过程可分为7个阶段，攻击者持续借助高强度网络层CC挑战防御成功率，并先后使用UDPFlood、UDP分片、UDP反射、TCP反射、LargeSYN、Other协议泛洪等网络层攻击加大链路带宽压力，提升防御成本；攻击末轮，加入真实源SYN和应用层CC，做最后一搏。但手法用尽，攻击最终未能突破防线。 1.3DDoS攻击态势 超大规模攻击异常活跃。 2022年T级攻击异常活跃。超800Gbps攻击共计232次，是2021年的1.67倍。4月份中国电信安全团队监测到年度最大包速率攻击，峰值包速率高达861Mpps；11月份中国电信安全团队监测到年度最大带宽攻击，峰值带宽高达3.189Tbps。2022年6月，发生互联网史上最大规模应用层攻击，攻击峰值高达46Mrps1。扫段攻击规模从2021年的100+个C段提升至600+个C段。 攻击频次呈持续增长趋势。 2022年攻击频次是2021年的1.1倍，2020年的1.4倍。 大流量攻击持续呈秒级加速态势，爬升速度再创新高，挑战防御系统响应速度。 T级攻击将大流量攻击的“FastFlooding”【1】特点演绎到极致。攻击流量峰值爬升至800Gbps-1Tbps区间，2021年需20秒，2022年仅需要10秒。 关键信息摘要 攻击复杂度持续演进，网络层CC出现新变种，攻击威胁加剧，挑战防御成功率；HTTP/2多路复用被滥用发起千万级RPS应用层攻击，挑战防御成本；扫段攻击再度进化，借助信安设备诱发出HTTP反射和RST扫段，安全产品需关注自身安全。 网络层CC和假冒QUIC（针对443端口发起的UDPFlood）攻击活跃，近三年，ACKFlood和UDPFlood在网络层攻击频次占比呈逐年递增趋势。2022年ACKFlood占比23.16%，是2021年的2.1倍，2020年的10.9倍。2022年UDPFlood占比21.26%，是2021年的1.3倍，2020年的1.6倍。 对HTTP和HTTPS业务端口的网络层CC活跃，导致HTTP异常会话和TLS异常会话攻击频次同比2021年增加，占比依次为20.81%、23.98%。 网络层CC出现新变种。Mirai僵尸网络广泛使用的网络层CC攻击，将虚假源泛洪攻击技术和会话攻击技术巧妙结合，僵尸和服务器通过Socket建立TCP连接后，在同一个连接上通过Raw-socket发送ACK报文消耗服务器性能，加大网络Inbound带宽压力。为提升攻击躲避能力，先是演进出裹挟完整HTTPS会话的ACKFlood，并通过快速回放确认ACK报文诱发服务器重传，挤占Outbound带宽；后又演进出借助TCPKeep-Alive报文长时间保持TCP会话、耗尽服务器会话资源的新型攻击方式。 HTTP/2引入基于二进制流的多路复用传输机制，允许同一域名下的所有请求和响应可以基于单个TCP连接进行高效传输。2022年8月，百度安全团队监测到多起利用HTTP/2多路复用特性发起的千万级RPS的应用层CC攻击。 公有云既是扫段攻击受害者，又被动成为攻击源头。攻击者通过报文Payload携带违规信息发起SYN扫段攻击，诱发公有云边界信安设备产生Outbound方向的HTTP反射放大攻击和Inbound方向的RST扫段攻击。 网络层攻击和应用层攻击持续演绎“短平快”战术，挑战防御系统自动化程度。 57.40%的网络层攻击持续时长不超过5分钟；40.49%的应用层攻击持续时长不超过5分钟。 传媒和互联网行业、政府和公共事业、教育、金融、医疗卫生是TOP5攻击目标行业。 联通数科持续跟踪行业攻击态势发现，2022年TOP5攻击目标行业是传媒和互联网行业、政府和公共事业、教育、金融、医疗卫生，攻击占比依次为51.57%、18.90%、9.62%、3.87%和2.83%。2022年相比2021年，教育行业攻击频次占比增长56.6倍，医疗卫生行业占比增长8.6倍，政府和公共事业占比增长3.6倍。工业互联网作为新兴发展领域，逐渐进入黑产攻击视线，2022年遭受攻击频次是2021年的18倍。 全球攻击目标地域分布依次为APAC、AMER、LATAM、EMEA，攻击目标TOP3中国地域分布为浙江、山东和江苏。 攻击目标按地域分布依次为APAC（亚太）、AMER（美洲）、LATAM（拉丁美洲）、EMEA（欧洲、中东及非洲），占比依次为45.51%、23.42%、16.44%、14.63%；攻击目标TOP3中国地域分布为浙江、山东和江苏，占比依次为16.92%、12.41%、11.30%。 1.4DDoS僵尸网络态势 僵尸家族分布：IoT僵尸网络和Linux僵尸网络最活跃。按活跃C2数量排名的TOP3僵尸家族分别是Mirai、 Dofloo和Gafgyt，占比依次为51.75%、15.36%、13.90%。 僵尸网络C2地域分布：C2按大洲地域分布，AMER、APAC、EMEA、LATAM占比依次为33.80%、33.76%、 28.79%、3.65%；C2中国TOP3地域分布为香港、台湾和广东，占比依次为32.58%、10.29%、9.73%。 1.5DDoS攻击源态势 肉鸡地域分布：肉鸡按大洲分布，APAC、AMER、EMEA、LATAM占比依次为65.46%、15.63%、12.36%、 6.55%；肉鸡按中国地域分布，TOP3地域是河南、香港和广东，占比依次为21.22%、11.34%、9.00%。 肉鸡运营商分布：肉鸡按运营商分布，中国TOP3运营商依次是电信、联通和移动；海外TOP3运营商依次为 Amazon、LLC和Google。 1.6典型攻击分析 API成为DDoS攻击新目标，攻击强度挑战新高；攻击手法复杂多样，更是演进出变化Method的新型攻击手法。 2022世界杯期间，中国境内某支付API遭受大规模DDoS攻击，攻击峰值高达723Gbps，主要由SYNFlood、网络层CC和假冒QUIC组成，攻击持续11小时50分钟。 除传统网络层攻击威胁外，API亦面临HTTP&HTTPS应用层及TLS层攻击威胁。2022年，针对API的TOP5攻击类型依次为网络层CC、SYNFlood、UDPFlood、HTTPFlood和UDP反射。为躲避防御，攻击者会选择多个API作为攻击目标。攻击者更是挖掘出变化Method和根目录相结合的新型攻击手法，用非法请求挑战API业务系统可用性。 中国金融企业遭受的攻击频次和攻击强度均呈现持续增长趋势，攻击意图明显；攻击复杂度不断攀升，从网络基础设施到应用全方位威胁，挑战防御成功率。 联通数科跟踪中国境内金融企业近三年DDoS攻击态势发现，遭受攻击的金融企业数量、攻击频次、攻击强度均呈现出明显增长趋势。2022年，共计102家银行、证券、保险企业遭受攻击，是2021年的4.3倍，2020年的9.3倍。2022年全年共发生4012次攻击，是2021年的3.9倍，2020年的12.9倍。2022年最大攻击峰值带宽196Gbps，是2021年的3.4倍，2020年的13.1倍。攻击多发于业务结算期，攻击意图明显，攻击目标主要是门户网站、金融业务系统和DNS服务器。 持续时间不超过5分钟的攻击是主流，2022年占比82.17%。 从全球范围看，针对金融企业的攻击复杂度不断攀升，以多矢量混合攻击为主，从网络基础设施到应用，全方位威胁，TLS层攻击和HTTPS加密攻击（HTTPSFlood）常态化，且单源攻击低速化趋势明显，更是演进出变种网络层CC。 02 热点攻击事件 2.1热点攻击事件 2022世界杯期间，DDoS攻击异常活跃，中国境内发生多起针对支付平台及支付API的攻击。 最典型的一次是针对某支付平台的攻击，攻击开始于12月2日12:55，峰值最高达到1.159Tbps/101.5Mpps，整个攻击过程持续5天。为了达到攻击效果，攻击者不断提升攻击流量峰值带宽，变化攻击手法，无论是攻击强度还是攻击复杂度都堪称攻防对抗史上之最。 攻击峰值流量7次超800Gbps，4次超1Tbps。 2022世界杯期间针对某支付平台的攻击流量峰值曲线图 1,200 攻击流量峰值带宽︵ 1,000 1159 800 600 Gbps 400 ︶ 200 12-0212:55 12-0214:20 12-0217:45 12-0218:50 12-0219:55 12-0221:00 12-0222:05 12-0223:10 12-0300:15 12-0301:20 12-0302:25 12-0303:30 12-0304:35 12-0305:40 12-0306:45 12-0307:50 12-0308:55 12-0310:00 12-0311:05 12-0312:10 12-0313:15 12-0314:20 12-0315:25 12-0316:55 12-0318:20 12-0409:05 12-0411:00 12-0416:50 12-0417:55 12-0419:00 12-0420:05 12-0421:10 12-0422:15 12-0423:20 12-0500:25 12-0501:30 12-0502:35 12-0503:40 12-0504:45 12-0505:50 12-0506:55 12-0508:00 12-0509:05 12-0510:10 12-0511:15 12-0512:20 12-0513:25 12-0514:30 12-0515:35 12-0516:40 12-0517:45 12-0518:50 12-0519:55 12-0