您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[绿盟科技]:2022年DDoS攻击威胁报告 - 发现报告
当前位置:首页/行业研究/报告详情/

2022年DDoS攻击威胁报告

信息技术2023-01-20绿盟科技任***
AI智能总结
查看更多
2022年DDoS攻击威胁报告

尽管2021年因为出现大型扫段攻击的原因,攻击次数已经处于高位,但是2022年全年DDoS攻击次数同比 2021年还是增长8%,DDoS威胁维持了4年持续增长的态势,2022年也成为DDoS攻击最多的一年。 最近几年,在云计算/大数据/AI/视频直播等行业高速增长驱动下,IDC网络和家庭宽带网络带宽持续高速增长。但是相当数量的服务器和个人PC/IoT设备由于存在配置缺陷或者存在安全漏洞,沦入黑客之手。DDoS攻击黑产获得了大量的攻击资源和攻击带宽,导致百G以上的大流量攻击越来越普遍,而且呈现明显的大流量攻击增长幅度高于整体威胁增长幅度的态势。腾讯安全T-SecDDoS团队统计,2022年百G以上大流量攻击同比增幅超过5成,平均下来大约每隔1小时就会出现1次百G以上的大流量攻击。 除到了1.攻45击Tb次ps数,大20幅2增2年长也外成,为20攻22击年峰的值攻最击大峰的值一也年再。创新高。2022年的最大攻击峰值同比去年增长15%,达 腾讯安全T-SecDDoS团队监测数据显示:2022年全年攻击峰值流量超过1Tb的攻击次数接近40次,不仅是历年之最,而且比22年之前所有的Tb级攻击的次数还要多。从数据看出,7月至8月以及11月至12月是Tb级攻击的高发月份,这四个月平均4天就会出现1次Tb级攻击。 近年来DDoS攻击黑产获得了大量的攻击资源,攻击程序也有大幅进化,这导致攻击者的攻击手法不再拘泥于之前较为典型的UDP反射和SYN大包攻击,攻击手法五花八门,呈现越来越明显的多样性。但是在Tb级别的大流量攻击中,黑客们不约而同都选择了UDP类攻击。具体来看大约三分之一的Tb级攻击基于UDP反射,而另外的三分之二的攻击的主要流量是UDP非反射型攻击。 ●UDP反射 ●UDP非反射 由于存在恶意玩家通过发起DDoS攻击、黑产团伙敲诈勒索,同行业DDoS攻击恶意竞争等多个攻击场景,游戏行业历来都是DDoS攻击的重灾区。2022年游戏行业继续成为DDoS攻击最多的行业,不仅相比21年大幅回升,而且占比也遥遥领先于其他行业,占据所有行业DDoS攻击的一半以上。 一般来说,经济较为发达,互联网普及水平高的北美和欧洲是海外DDoS攻击比较高发的区域,但是今年以来,这个趋势出现了明显的变化。2022年东南亚区域的经济高速发展,各个主要国家的GDP都出现大幅增长。而在DDoS攻击方面,得益于东南亚区域互联网发展迅猛,DDoS攻击占比也水涨船高,在2022年高居海外各个区域第一。传统的经济发展水平较高,互联网发达的北美区域的DDoS攻击在海外各个区域中占比第二,此外日韩区域的DDoS攻击占比也较高,超过了欧洲区域,位居第三。 ●欧洲 ●北美 ●日韩 ●东南亚 ●其他 DDoS攻击是僵尸网络第一个有明确收益的攻击方式,在国家和安全人员不断对僵尸网络治理和打击的形势下,黑产团伙仍从未放弃任何一次扩张控制范围的机会。 近年来,DDoS僵尸网络不断利用漏洞扩张控制范围,2022年被僵尸网络利用的在野漏洞已达135种,新漏洞在刚披露的几个小时内即被快速集成,脆弱主机漏洞还未修复之前就已被控制并植入木马。 Mirai作为最活跃的僵尸网络之一,今年发现其最高携带了77个中高危漏洞,如ApacheLog4jRCE 漏洞(CVE-2021-44228)、F5BIG-IP未授权RCE漏洞(CVE-2022-1388)、Spring4ShellRCE漏洞 (CVE-2022-22965)等高危漏洞。从利用弱口令起家发展到利用漏洞进行大面积扩张,Mirai寻找一切机会感染其他设备,扩张控制范围。 由此可见,黑产团伙具备随时将高危漏洞用于扩张僵尸网络主机并用于DDoS攻击的能力,这给关键信息基础设施带来极大威胁,因此防御方需要提前做好防御准备。 根据绿盟科技全球威胁狩猎系统监测,2022年针对关键基础设施的DDoS攻击呈上升趋势,在11月攻击次数达到最高。 疫情期间,全球整体经济形势下滑,以勒索型DDoS攻击为代表的攻击者将目标转向停运成本较高的关键基础设施,尤其是公共通信和信息服务、金融、公共服务、电子政务、重要网络设施和信息系统等。 DDoS攻击者试图耗尽目标网络、应用程序或服务的可用资源,对高度依赖业务连续性的关键基础设施造成破坏,高昂的停运成本意味着它们常常更有可能支付赎金,这些行业一旦被攻击不仅会带来经济压力,还可能带来额外社会安全稳定性影响。 2022年整体DDoS威胁呈上升趋势。攻击峰值方面,全年有6个月的攻击峰值突破1Tb,12月份则成为 攻击峰值最大的月份。攻击次数方面,5月份、8月份、10月份攻击次数最多,大流量攻击则在8月和1 月最为集中。攻击行业方面,游戏行业攻击最多,手游则成为攻击最多的细分品类。 根据电信云堤监测,2022年11月1日曾出现过一次最高攻击峰值超过3Tb/s的攻击,它发生在浙江电信, 具体时间为2022年11月1日8点08分,共持续1087秒,这期间平均攻击峰值超过167Gb/s,所属类 型为UDP型攻击;对比历年监控,攻击峰值流量超过3Tb/s级别属于较为罕见的超大流量攻击。 2022年的攻击峰值为历年之最,同比21年增长幅度达到15%。22年最大的攻击发生在12月份,攻击峰值达到1.45Tbps。按月来看,2022年各个月的攻击峰值,在2月至7月以及8月至12月,呈现明显的逐月递增的态势。 由于2022年全年的Tb级别的攻击接近40次,因此有6个月的攻击峰值超过1Tb。但是从月份来看,Tb级别的攻击的分布具有明显的聚集性,6月至7月,11月至12月是Tb级攻击最聚集的月份,全年94%的Tb级攻击分布在这4个月。 ●6月 ●7月 ●9月 ●10月 ●11月 ●12月 除了在时间分布上呈现聚集性外,在攻击手法方面,Tb级攻击也都聚集在UDP类攻击手法。具体来说,有三分之一的Tb级攻击,是基于UDP反射发起。而剩余的三分之二的Tb级攻击,则是直接基于非反射的UDP大包攻击,这说明DDoS攻击者控制的攻击资源异常充裕,已经不需要借助UDP反射放大流量,就能直接发起Tb级别的攻击。 ●UDP反射 ●UDP非反射 2022年的DDoS攻击次数和2021同期相比,一个很显著的特点就是上半年的每个月的攻击次数都多于21年同期,而下半年每个月的攻击次数均少于21年同期。此外,整体来看相比21年,22年的DDoS攻击次数分布较为均匀,5月是攻击次数最多的月份,在全年占比为12%。6月为攻击次数最少的月份在全年攻击占比为6%。5月攻击次数约为6月攻击次数的2倍,而21年次数最多的月份是次数最少月份的5倍以上。 根据电信云堤数据:截止2022年11月30日,DDoS攻击总次数为427815次,其中9月攻击次数最多,为65458次;10月的攻击次数其次,为60468次;9月的攻击次数相比8月提升35513次,也是攻击次数提升最明显的月份;11月相比10月下降了27359次,为攻击次数下降最明显的月份; 截止2022年11月30日,DDoS攻击次数在国内总计79760次,各月趋势波动较小,11月的攻击次数最多,为9215次; 2022年全年100G以上的累计超过1万次,数量为历年之最。从时间分布来看,从2月份开始,大流量攻击持续增长,8月份则是百G以上大流量攻击的高峰,数量是百G以上大流量攻击最少的2月份的3倍左右。 网络游戏历来都是DDoS攻击较多,2022年也不例外,网络游戏蝉联DDoS攻击最多的网络应用,而且占比相比2021年也有大幅提升。企业官网和IT通信行业的DDoS攻击占比则位于网络游戏之后,分列第二位和第三位。 ●游戏 ●企业官网 ●IT通信 ●移动APP ●其他 尽管网络游戏的攻击占比高居第一,但是不同品类下的攻击占比,差距也是非常明显。手机游戏的攻击最多,而且占据了游戏行业近三分之二的DDoS攻击,而端游占比则是仅次于手游。此外如游戏加速/游戏聊天等第三方游戏服务行业的DDoS攻击占比也较高,甚至远远超过页游这个游戏品类。 ●手游 ●端游 ●页游 67% 13% ●第三方游戏服务13% 3% ●其他 4% 从攻击次数的周天分布来看,DDoS攻击除在周中稍微密集一些外,在一周内的攻击次数比较均匀。据此可以看出,DDoS攻击是持续不断发生的,与是否为休息日无关,攻击者每一天都可能对受害方发起攻击,DDoS防护人员应随时保持警惕。 从受害目标被攻击频次来看,2022年被重复攻击的IP比2021年有明显上升。针对单个目标的DDoS攻击周期越来越持久,不同于2021年56.91%的受害者只遭受过一次DDoS攻击,今年受害者一旦被认定为攻击目标,则更容易遭受多次DDoS攻击,这种DDoS攻击持久性逐年加强的攻击趋势无疑给DDoS防护带来更大的挑战。 安全社区研究人员发现了一个新的名为“Cloud9”的浏览器僵尸网络,使用恶意扩展来窃取在线账户、记录击键、注入广告和恶意JS代码,并让受害者的浏览器参与DDoS攻击。Cloud9实际上是浏览器的远程访问木马(RAT),其作用是允许攻击者远程执行命令。Cloud9在官方网上商店中不可用,而是通过其他渠道传播,例如推送虚假播放器更新网站。 Cloud9由三个JavaScript文件组成,用于收集系统信息、使用主机资源挖掘加密货币、执行DDoS攻击以及注入运行浏览器漏洞的脚本。该恶意软件可以利用主机通过对目标域的HTTPPOST请求执行应用层DDoS攻击。 海外DDoS攻击威胁呈现前三个季度波动较大,而Q4则较为平稳的态势。全年攻击峰值接近700G,正在快速逼近1Tb这个门槛。东南亚区域是海外攻击最多的区域,网络游戏也是海外黑客的最爱攻击目标。 海外的DDoS攻击在前3个季度相邻月份间变化较大,4季度则相对非常平稳。其中2022年7月份,海外的欧洲,北美,东南亚区域的DDoS威胁均达到2022年的高点,这也导致7月成为海外DDoS攻击最多的月份。 攻击峰值方面,海外的DDoS攻击在上半年呈逐月增长趋势,到了下半年则呈现Q3攻击峰值波动较大,而Q4则较为平稳的态势。全年最大的攻击发生在8月份,峰值接近700G,攻击手法为UDP大包攻击,海外的攻击者也控制着非常庞大的攻击资源,海外的DDoS攻击峰值也在快速逼近1Tb这个门槛。 尽管22年海外整体的DDoS攻击次数走势较为平稳,但是在100G以上大流量攻击方面,各个月份之间波动较大。根据腾讯安全T-SecDDoS团队的数据,海外区域1月份的100G以上大流量攻击占全年比例接近三分之一,呈现大流量攻击集中在1月份的趋势,同时年尾的12月份100G以上大流量攻击次数则排名第二。 得益于区域经济高速发展,以及拥有庞大的年轻用户的互联网产业快速增长,2022年东南亚区域的DDoS攻击也水涨船高,在海外区域的占比大幅增加至四成以上,而且几乎在所有月份,东南亚区域的DDoS攻击在海外区域的占比都高居第一,成为海外DDoS攻击的热点区域。 而在峰值方面,2022年欧洲区域的攻击峰值在在海外名列第一,东南亚区域则仅次于欧洲,这两个区域的峰值都超过600G,北美区域的攻击峰值居于第三。其他区域的峰值相比21年也有不同程度增长,但是与上述区域的峰值差距则较大。 据绿盟全球威胁狩猎系统监测,全球近七成DDoS攻击不到10分钟,约两成的持续时间为10-30分钟,余下的攻击持续时间超过30分钟,高频瞬时攻击依旧是当前主要攻击手段。“短平快”这种攻击频率高,持续时间短,攻击收益高的DDoS攻击战法难以及时防护,这类攻击会在短时间内发送大量的攻击流量轰击目标,依赖于安全分析的DDoS防护人员无法快速组织防护,只能在攻击发生后进行复盘,部署过滤该攻击指纹的防护规则,使下次发生攻击时能产生告警并及时拦截。这类短时间的DDoS攻击一旦成功,应用可能要花费数小时甚至数天才能恢复服务,造成极大的精力损耗。 建议企业启用自动化DDoS防护服务,及时拦截

你可能感兴趣

hot

2022年DDoS攻击威胁报告

信息技术
腾讯2023-02-12
hot

快速演变和增加的 DDoS 攻击威胁

信息技术
Akamai2022-04-14
hot

2023年DDoS攻击威胁报告

信息技术
绿盟科技2024-05-28
hot

2022年上半年-全球DDoS威胁报告

信息技术
腾讯2022-08-21