快快网络2024年DDoS攻击趋势白皮书 摘要 就分布式拒绝服务(DDoS)攻击趋势而言,2023年是具有里程碑意义的一年。网络犯罪集团、出于地缘政治动机的黑客活动分子和恶意行为者利用物联网(IoT)设备构建的大规模僵尸网络以及协议级零日漏洞,对企业、政府机构以及关键但脆弱的公共基础设施 (包括医院)发起了破纪录的DDoS攻击。 在整个2023年,DDoS攻击变得更加频繁、持续时间更长、复杂程度更高。其中,银行和金融服务行业是最具针对性的垂直行业。针对这些行业的攻击通常旨在造成声誉损害,或分散安全专业人员的注意力,以发动DDoS+勒索软件混合攻击。DDoS攻击事件愈演愈烈,成为互联网最大的网络安全威胁之一,让企业面临的网络安全风险与日俱增。 通过快快网络DDoS团队检测数据显示:2023年中国遭受DDoS攻击次数达146万,占全球11.74%,游戏行业仍然是受影响最严重的行业,遭受了46%的攻击。金融行业位居第二,占22%。电信 (18%)、基础设施服务行业(7%)和计算机软件公司(3%)也成为重点目标。 快快网络带来了2024年DDoS全球攻击趋势专项报告,与您分享DDoS攻防态势的最新趋势。 1/29 快快网络2024年DDoS攻击趋势白皮书 2/29 1.2023年全球DDoS攻击情况 1.1全球攻击情况 2023年DDoS攻击总次数1246.61万次,同比增长18.1%。 快快网络监测数据显示,2023年中国遭受DDoS攻击次数达146万,占全球11.74%,排名第三,第一为美国占比41.22%,第二为荷兰。在欧洲、中东、非洲(EMEA)和亚太(APAC)地区,DDoS攻击的数量和规模已经与北美不相上下。 图12023年全球DDoS攻击情况 数据显示,攻击者越来越多地瞄准关键基础设施和服务,包括物流服务、支付处理中心和银行系统,试图影响更多的用户。平均攻击强度达到1.4Tbps的峰值,最长的攻击持续了7天。 越来越多的DDoS攻击开始使用僵尸网络,超过38%的DDoS攻击利用了感染僵尸网络的设备。此外,与上一年相比,作为多向量攻击的烟幕弹/诱饵的DDoS攻击增加了28%。 更具破坏性的HTTP攻击正变得越来越容易实施。82.3%的DDoS攻击针对OSI模型的应用层(L7),11.7%针对OSI模型的传输(L4)和网络(L3)层。2.3%的攻击针对DNS,其余3.7%针对其他目标。 4/29 1.2攻击规模 DDoS攻击的规模和复杂程度都在不断增长,但2023年以不可预见的速度加速了这一趋势。甚至连安全供应商及其各自的网站也受到了攻击。2023年7月,出现高达1990Gbps(1.99Tbps)和710Mpps的超大规模DDoS攻击。9月份,快快网络发现并阻止了一场大规模DDoS攻击。在这起攻击中,网络犯罪分子使用了ACK、PUSH、RESET和SYN洪水攻击向量的组合,峰值为1.6Tbps。事实证明,这些攻击与2022年开始的“震慑式”DDoS攻击趋势非常一致。 图22023年全球DDoS攻击峰值 图32023年全球DDoS攻击速度 2023年,快快网络就曾检测到一起创纪录的DDoS攻击,其最 5/29 高攻击速度为704.8Mpps。快快网络缓解的10次最大DDoS攻击中有8次都发生在过去18个月内。 1.3攻击类型 在主要攻击类型中,UDPflood继续占据主导地位,占DDoS攻击的62%。TCPflood和ICMP攻击也仍然很流行,分别占总数的16%和12%。所有其他DDoS攻击类型,包括SYN、SYN+ACKFlood和RSTFlood,合计仅占10%。虽然一些攻击者可能会使用这些更复杂的方法,但大多数攻击者仍然专注于提供大量数据包来摧毁服务器。 图4DDoS攻击类型 1.4攻击源分布 攻击源的全球传播表明了网络威胁的无国界性质,攻击者可以跨越国界进行操作。其中美国位居第一,占53.4%。德国(26%)、英国(25.8%)、荷兰(24.8%)、法国(23.9%)位列前5。 6/29 图5攻击源地理位置占比 DDoS攻击源的地理分布为制定有针对性的防御策略,以及制定旨在打击网络犯罪的国际政策提供了重要信息。然而,由于使用IP欺骗等技术以及分布式僵尸网络的参与,确定攻击者的真实位置具有一定难度。 1.5目标行业 与2022年游戏行业占据第一不同的是,2023年,金融机构经历了近30%的攻击活动,排在第一。但互联网依然是DDoS攻击的重灾区,占所有DDoS攻击的22.2%。其他成为DDoS攻击目标的行业包括医疗保健(14.2%)、政府(11.5%)、运输和物流(8.64%)以及游戏(3.09%)。 7/29 图6受影响行业占比分布 8/29 快快网络2024年DDoS攻击趋势白皮书 9/29 2.2023年国内DDoS攻击情况 2.1国内攻击情况 2023年,攻击频次逐年增长,大流量攻击频次保持高位,2023年全年DDoS攻击次数同比2021年增长80%,以关键信息基础设施为目标的高烈度DDoS攻击已跃升成为国家级网络安全威胁之首。 图7国内攻击情况 2.2攻击目标地域分布 密集型扫段攻击导致攻击目标地域发生聚集。2023年中国遭受DDoS攻击最多的地域为浙江,占全国33.17%,其次为广东、湖南、江苏、福建、山东、湖北、河南、陕西、四川。 10/29 图8攻击目标中国大陆地域分布 11/29 2.3瞬时攻击速度攀升 图9超百G瞬时泛洪攻击流量爬升 图10T级瞬时泛洪攻击流量爬升趋势 12/29 2023年,从攻击时长来看,短时攻击依然常见。86%的攻击持续时间不到1小时,1-2分钟的攻击占全年攻击的23.44%。攻击者倾向于在短时间内,以极大的流量导致目标服务用户掉线、延时和抖动。从瞬时泛洪攻击速度来看,近几年瞬时泛洪攻击爬升速度持续攀升。瞬时泛洪攻击2秒流量即可爬升至近500G,10秒即可爬升至T级,大流量攻击爬升速度再创新高,挑战防御系统响应速度。 2.4扫段攻击 图11扫段攻击频次快速增长 2023年H2扫段攻击频次激增,攻击手法持续演进,成为网络基础设施最大威胁。 从扫段速率来看,低速扫段占比73.91%,低速扫段单IP流量低,挑战传统检测算法有效性;单个C段攻击持续时间占比中,扫段攻击多采用“短平快”战术<5分钟的攻击占比43.26%,挑战防御 13/29 系统响应速度;扫段攻击手法中,86.96%的扫段攻击采用混合攻击手法,防御困难;从扫段攻击类型分布来看,反射攻击提升带宽拥塞威胁,虚假源泛洪攻击加大防御难度。 扫段攻击因威胁范围广,扫段攻击的频次、复杂度持续攀升,攻击者惯用“短平快”战术,导致检测难、引流难、防御难、防御成本高,已成为攻击网络基础设施的惯用手段。 14/29 快快网络2024年DDoS攻击趋势白皮书 15/29 3.快快网络DDoS态势观察 通过分析快快网络所保护的各个行业和地区的客户所经历的多个威胁检测,整体DDoS威胁呈上升趋势,且增长惊人。 3.1攻击情况 2023年,快快网络共计成功防护58.4万起DDoS网络攻击,同比增长151.7%。1月-3月DDoS网络攻击次数较低,6月份、8月份攻击次数最多,占全年22.7%。 2023年,攻击流量峰值Q1-Q2季度增至800Gbps,2023年Q3-Q4季度增至1600Gbps(1.6Tbps),越来越多的DDoS攻击开始使用僵尸网络,超过38%的DDoS攻击利用了感染僵尸网络的设备。此外,与上一年相比,作为多向量攻击的烟幕弹/诱饵的DDoS攻击增加了28%。 图12快快网络2023年攻击流量峰值 3.2攻击类型 UDP是迄今为止在大流量DDoS攻击中利用最多的协议。由于其无状态特性,UDP允许合法服务被滥用,通过反射和放大攻击向受害者发送大量未经请求的流量。TCPSYN和状态外数据包也被用于 16/29 大容量攻击,但TCP协议通常作用是旨在耗尽设备和服务器上资源的攻击。 在流量攻击中,使用最多的攻击向量是UDPfragmentflood(43%),其次是UDPflood(19.2%)和TCPflood(14.4%)。 图13DDoS攻击类型 3.3攻击来源 攻击源的全球传播表明了网络威胁的无国界性质,攻击者可以跨越国界进行操作。其中美国位居第一,占24%。印度尼西亚 (17%)、荷兰(12%)、泰国(10%)、哥伦比亚(8%)、俄罗斯 (8%)、乌克兰(5%)、墨西哥(3%)、德国(2%)和巴西(2%)位列前十,这说明全球面临着广泛的威胁。 17/29 图14攻击来源 DDoS攻击源的地理分布为制定有针对性的防御策略,以及制定旨在打击网络犯罪的国际政策提供了重要信息。然而,由于使用IP欺骗等技术以及分布式僵尸网络的参与,确定攻击者的真实位置具有一定难度。 18/29 3.4攻击行业 图15受影响行业占比分布 游戏行业仍然是受影响最严重的行业,遭受了46%的攻击。金融行业位居第二,占22%。电信(18%)、基础设施服务行业(7%)和计算机软件公司(3%)也成为重点目标。 攻击者对游戏和金融领域特别感兴趣,这些行业一般具有较好的经济收益和用户基础,同时凸显了在受打击最严重的行业中需要有针对性网络安全策略的必要性。 19/29 快快网络2024年DDoS攻击趋势白皮书 20/29 4.典型攻防对抗案例 4.1接口攻防案例 快快网络安全团队接到某数藏平台应急响应请求,平台存在流量访问异常,用户无法登录或无法在平台进行购买下单操作现象,导致客户资产流失和声誉受损。 防护难度: 该平台遭受有组织、有预谋的DDoS攻击,攻击目标主要是平台的API接❑,支付接❑等,攻击者通过SYNFlood、ACKFlood、CC等多种类型攻击技术手段不断变换攻击形式。 针对以上情况,快快网络提供以下解决方案: 图16DDoS安全防护架构部署图 1、建立完善的监测预警机制,部署使用快快网络DDoS安全防护产品。结合快快网络自研ADS系统,加持机器学习及特征处置联动能力,扩大攻击可能性的捕捉范围,实时检测阻断各类DDoS攻击, 21/29 并启动应急预案及时对攻击行为进行防护,为客户成功抵御125G的DDoS攻击及百万级CC攻击。 2、快快网络安全专家与该公司深度沟通配合和优化。定制CC防护策略与智能防刷策略,实时检测并拦截攻击,终端用户无感知。 4.2大流量攻防案例 某知名游戏公司在其运营期间遭受了大型DDoS流量攻击,导致游戏玩家在游玩过程中频繁遇到掉线、延迟、卡顿等问题,网络波动严重,严重影响了玩家的游戏体验。不仅如此,长时间的网络不稳定还可能导致玩家数据丢失、账号被盗等更严重的后果。 防护难度: DDoS流量攻击规模高达1.6T,攻击者使用了ACK、PUSH、RESET和SYN洪水攻击向量的组合。面对如此大规模复杂攻击时,快快网络安全团队快速响应,为其定制相应的DDoS防护解决方案,提供全方位保护。 针对以上情况,快快网络提供以下解决方案: 22/29 图17游戏盾架构部署图 1、提供游戏盾SDK产品。通过SDK接入到客户的游戏APP中,采用分布式高防御节点作为防御网关,抵御大流量DDoS攻击,可牵引至云堤清洗防御更大攻击。SDK端与安全网关建立加密通信隧道,仅放行经过SDK和游戏安全网关鉴权的流量,彻底解决TCP协议层的CC攻击。在CC攻击期间,CC流量直接被防御网关拦截,未透到客户的源服务器,查看防御网关节点CPU使用率为25-30%,并未达到警戒线60%。CC新建连接并发量达到30w时,无玩家反馈异常。 2、基于SDK的网络链路诊断功能,智能选取优质网络传输路线,保证游戏时延最低,并创建断线重连机制,哪怕玩家本地4G/wifi网络异常,也不会导致游戏掉线。 23/29 快快网络2024年DDoS攻击趋势白皮书 24/29 5.