2022年DDoS攻击威胁报告

尽管2021年因为出现大型扫段攻击的原因，攻击次数已经处于高位，但是2022年全年DDoS攻击次数同比 2021年还是增长8%，DDoS威胁维持了4年持续增长的态势，2022年也成为DDoS攻击最多的一年。 最近几年，在云计算/大数据/AI/视频直播等行业高速增长驱动下，IDC网络和家庭宽带网络带宽持续高速增长。但是相当数量的服务器和个人PC/IoT设备由于存在配置缺陷或者存在安全漏洞，沦入黑客之手。DDoS攻击黑产获得了大量的攻击资源和攻击带宽，导致百G以上的大流量攻击越来越普遍，而且呈现明显的大流量攻击增长幅度高于整体威胁增长幅度的态势。腾讯安全T-SecDDoS团队统计，2022年百G以上大流量攻击同比增幅超过5成，平均下来大约每隔1小时就会出现1次百G以上的大流量攻击。 除到了1.攻45击Tb次ps数，大20幅2增2年长也外成，为20攻22击年峰的值攻最击大峰的值一也年再。创新高。2022年的最大攻击峰值同比去年增长15%，达 腾讯安全T-SecDDoS团队监测数据显示：2022年全年攻击峰值流量超过1Tb的攻击次数接近40次，不仅是历年之最，而且比22年之前所有的Tb级攻击的次数还要多。从数据看出，7月至8月以及11月至12月是Tb级攻击的高发月份，这四个月平均4天就会出现1次Tb级攻击。 近年来DDoS攻击黑产获得了大量的攻击资源，攻击程序也有大幅进化，这导致攻击者的攻击手法不再拘泥于之前较为典型的UDP反射和SYN大包攻击，攻击手法五花八门，呈现越来越明显的多样性。但是在Tb级别的大流量攻击中，黑客们不约而同都选择了UDP类攻击。具体来看大约三分之一的Tb级攻击基于UDP反射，而另外的三分之二的攻击的主要流量是UDP非反射型攻击。 ●UDP反射 ●UDP非反射 由于存在恶意玩家通过发起DDoS攻击、黑产团伙敲诈勒索，同行业DDoS攻击恶意竞争等多个攻击场景，游戏行业历来都是DDoS攻击的重灾区。2022年游戏行业继续成为DDoS攻击最多的行业，不仅相比21年大幅回升，而且占比也遥遥领先于其他行业，占据所有行业DDoS攻击的一半以上。 一般来说，经济较为发达，互联网普及水平高的北美和欧洲是海外DDoS攻击比较高发的区域，但是今年以来，这个趋势出现了明显的变化。2022年东南亚区域的经济高速发展，各个主要国家的GDP都出现大幅增长。而在DDoS攻击方面，得益于东南亚区域互联网发展迅猛，DDoS攻击占比也水涨船高，在2022年高居海外各个区域第一。传统的经济发展水平较高，互联网发达的北美区域的DDoS攻击在海外各个区域中占比第二，此外日韩区域的DDoS攻击占比也较高，超过了欧洲区域，位居第三。 ●欧洲 ●北美 ●日韩 ●东南亚 ●其他 DDoS攻击是僵尸网络第一个有明确收益的攻击方式，在国家和安全人员不断对僵尸网络治理和打击的形势下，黑产团伙仍从未放弃任何一次扩张控制范围的机会。 近年来，DDoS僵尸网络不断利用漏洞扩张控制范围，2022年被僵尸网络利用的在野漏洞已达135种，新漏洞在刚披露的几个小时内即被快速集成，脆弱主机漏洞还未修复之前就已被控制并植入木马。 Mirai作为最活跃的僵尸网络之一，今年发现其最高携带了77个中高危漏洞，如ApacheLog4jRCE 漏洞（CVE-2021-44228）、F5BIG-IP未授权RCE漏洞（CVE-2022-1388）、Spring4ShellRCE漏洞 （CVE-2022-22965）等高危漏洞。从利用弱口令起家发展到利用漏洞进行大面积扩张，Mirai寻找一切机会感染其他设备，扩张控制范围。 由此可见，黑产团伙具备随时将高危漏洞用于扩张僵尸网络主机并用于DDoS攻击的能力，这给关键信息基础设施带来极大威胁，因此防御方需要提前做好防御准备。 根据绿盟科技全球威胁狩猎系统监测，2022年针对关键基础设施的DDoS攻击呈上升趋势，在11月攻击次数达到最高。 疫情期间，全球整体经济形势下滑，以勒索型DDoS攻击为代表的攻击者将目标转向停运成本较高的关键基础设施，尤其是公共通信和信息服务、金融、公共服务、电子政务、重要网络设施和信息系统等。 DDoS攻击者试图耗尽目标网络、应用程序或服务的可用资源，对高度依赖业务连续性的关键基础设施造成破坏，高昂的停运成本意味着它们常常更有可能支付赎金，这些行业一旦被攻击不仅会带来经济压力，还可能带来额外社会安全稳定性影响。 2022年整体DDoS威胁呈上升趋势。攻击峰值方面，全年有6个月的攻击峰值突破1Tb，12月份则成为 攻击峰值最大的月份。攻击次数方面，5月份、8月份、10月份攻击次数最多，大流量攻击则在8月和1 月最为集中。攻击行业方面，游戏行业攻击最多，手游则成为攻击最多的细分品类。 根据电信云堤监测，2022年11月1日曾出现过一次最高攻击峰值超过3Tb/s的攻击，它发生在浙江电信， 具体时间为2022年11月1日8点08分，共持续1087秒，这期间平均攻击峰值超过167Gb/s，所属类 型为UDP型攻击；对比历年监控，攻击峰值流量超过3Tb/s级别属于较为罕见的超大流量攻击。 2022年的攻击峰值为历年之最，同比21年增长幅度达到15%。22年最大的攻击发生在12月份，攻击峰值达到1.45Tbps。按月来看，2022年各个月的攻击峰值，在2月至7月以及8月至12月，呈现明显的逐月递增的态势。 由于2022年全年的Tb级别的攻击接近40次，因此有6个月的攻击峰值超过1Tb。但是从月份来看，Tb级别的攻击的分布具有明显的聚集性，6月至7月，11月至12月是Tb级攻击最聚集的月份，全年94%的Tb级攻击分布在这4个月。 ●6月 ●7月 ●9月 ●10月 ●11月 ●12月 除了在时间分布上呈现聚集性外，在攻击手法方面，Tb级攻击也都聚集在UDP类攻击手法。具体来说，有三分之一的Tb级攻击，是基于UDP反射发起。而剩余的三分之二的Tb级攻击，则是直接基于非反射的UDP大包攻击，这说明DDoS攻击者控制的攻击资源异常充裕，已经不需要借助UDP反射放大流量，就能直接发起Tb级别的攻击。 ●UDP反射 ●UDP非反射 2022年的DDoS攻击次数和2021同期相比，一个很显著的特点就是上半年的每个月的攻击次数都多于21年同期，而下半年每个月的攻击次数均少于21年同期。此外，整体来看相比21年，22年的DDoS攻击次数分布较为均匀，5月是攻击次数最多的月份，在全年占比为12%。6月为攻击次数最少的月份在全年攻击占比为6%。5月攻击次数约为6月攻击次数的2倍，而21年次数最多的月份是次数最少月份的5倍以上。 根据电信云堤数据：截止2022年11月30日，DDoS攻击总次数为427815次，其中9月攻击次数最多，为65458次；10月的攻击次数其次，为60468次；9月的攻击次数相比8月提升35513次，也是攻击次数提升最明显的月份；11月相比10月下降了27359次，为攻击次数下降最明显的月份； 截止2022年11月30日，DDoS攻击次数在国内总计79760次，各月趋势波动较小，11月的攻击次数最多，为9215次； 2022年全年100G以上的累计超过1万次，数量为历年之最。从时间分布来看，从2月份开始，大流量攻击持续增长，8月份则是百G以上大流量攻击的高峰，数量是百G以上大流量攻击最少的2月份的3倍左右。 网络游戏历来都是DDoS攻击较多，2022年也不例外，网络游戏蝉联DDoS攻击最多的网络应用，而且占比相比2021年也有大幅提升。企业官网和IT通信行业的DDoS攻击占比则位于网络游戏之后，分列第二位和第三位。 ●游戏 ●企业官网 ●IT通信 ●移动APP ●其他 尽管网络游戏的攻击占比高居第一，但是不同品类下的攻击占比，差距也是非常明显。手机游戏的攻击最多，而且占据了游戏行业近三分之二的DDoS攻击，而端游占比则是仅次于手游。此外如游戏加速/游戏聊天等第三方游戏服务行业的DDoS攻击占比也较高，甚至远远超过页游这个游戏品类。 ●手游 ●端游 ●页游 67% 13% ●第三方游戏服务13% 3% ●其他 4% 从攻击次数的周天分布来看，DDoS攻击除在周中稍微密集一些外，在一周内的攻击次数比较均匀。据此可以看出，DDoS攻击是持续不断发生的，与是否为休息日无关，攻击者每一天都可能对受害方发起攻击，DDoS防护人员应随时保持警惕。 从受害目标被攻击频次来看，2022年被重复攻击的IP比2021年有明显上升。针对单个目标的DDoS攻击周期越来越持久，不同于2021年56.91%的受害者只遭受过一次DDoS攻击，今年受害者一旦被认定为攻击目标，则更容易遭受多次DDoS攻击，这种DDoS攻击持久性逐年加强的攻击趋势无疑给DDoS防护带来更大的挑战。 安全社区研究人员发现了一个新的名为“Cloud9”的浏览器僵尸网络，使用恶意扩展来窃取在线账户、记录击键、注入广告和恶意JS代码，并让受害者的浏览器参与DDoS攻击。Cloud9实际上是浏览器的远程访问木马(RAT)，其作用是允许攻击者远程执行命令。Cloud9在官方网上商店中不可用，而是通过其他渠道传播，例如推送虚假播放器更新网站。 Cloud9由三个JavaScript文件组成，用于收集系统信息、使用主机资源挖掘加密货币、执行DDoS攻击以及注入运行浏览器漏洞的脚本。该恶意软件可以利用主机通过对目标域的HTTPPOST请求执行应用层DDoS攻击。 海外DDoS攻击威胁呈现前三个季度波动较大，而Q4则较为平稳的态势。全年攻击峰值接近700G，正在快速逼近1Tb这个门槛。东南亚区域是海外攻击最多的区域，网络游戏也是海外黑客的最爱攻击目标。 海外的DDoS攻击在前3个季度相邻月份间变化较大，4季度则相对非常平稳。其中2022年7月份，海外的欧洲，北美，东南亚区域的DDoS威胁均达到2022年的高点，这也导致7月成为海外DDoS攻击最多的月份。 攻击峰值方面，海外的DDoS攻击在上半年呈逐月增长趋势，到了下半年则呈现Q3攻击峰值波动较大，而Q4则较为平稳的态势。全年最大的攻击发生在8月份，峰值接近700G，攻击手法为UDP大包攻击，海外的攻击者也控制着非常庞大的攻击资源，海外的DDoS攻击峰值也在快速逼近1Tb这个门槛。 尽管22年海外整体的DDoS攻击次数走势较为平稳，但是在100G以上大流量攻击方面，各个月份之间波动较大。根据腾讯安全T-SecDDoS团队的数据，海外区域1月份的100G以上大流量攻击占全年比例接近三分之一，呈现大流量攻击集中在1月份的趋势，同时年尾的12月份100G以上大流量攻击次数则排名第二。 得益于区域经济高速发展，以及拥有庞大的年轻用户的互联网产业快速增长，2022年东南亚区域的DDoS攻击也水涨船高，在海外区域的占比大幅增加至四成以上，而且几乎在所有月份，东南亚区域的DDoS攻击在海外区域的占比都高居第一，成为海外DDoS攻击的热点区域。 而在峰值方面，2022年欧洲区域的攻击峰值在在海外名列第一，东南亚区域则仅次于欧洲，这两个区域的峰值都超过600G，北美区域的攻击峰值居于第三。其他区域的峰值相比21年也有不同程度增长，但是与上述区域的峰值差距则较大。 据绿盟全球威胁狩猎系统监测，全球近七成DDoS攻击不到10分钟，约两成的持续时间为10-30分钟，余下的攻击持续时间超过30分钟，高频瞬时攻击依旧是当前主要攻击手段。“短平快”这种攻击频率高，持续时间短，攻击收益高的DDoS攻击战法难以及时防护，这类攻击会在短时间内发送大量的攻击流量轰击目标，依赖于安全分析的DDoS防护人员无法快速组织防护，只能在攻击发生后进行复盘，部署过滤该攻击指纹的防护规则，使下次发生攻击时能产生告警并及时拦截。这类短时间的DDoS攻击一旦成功，应用可能要花费数小时甚至数天才能恢复服务，造成极大的精力损耗。 建议企业启用自动化DDoS防护服务，及时拦截