2023年全球DDoS攻击现状与趋势分析 天翼安全科技有限公司、联通数科安全、百度安全、Nexusguard、中国移动云能力中心、中国移动卓望公司、清华大学、华为联合发布 华为网络安全官网 目录 目录 关键信息摘要02 1.1专家观点02 1.2DDoS攻击态势02 1.3DDoS僵尸网络态势03 1.4DDoS攻击源态势03 1.5典型攻击分析04 现状与趋势05 2.1DDoS攻击态势05 2.1.1攻击强度05 2.1.2攻击频次10 2.1.3攻击速度11 2.1.4攻击复杂度12 2.1.5攻击发生时段25 2.1.6攻击持续时间26 2.1.7攻击持久性27 2.1.8攻击目标行业分布27 2.1.9攻击目标地域分布30 2.2DDoS僵尸网络态势31 2.2.1僵尸家族分布31 2.2.2C2地域分布31 2.3DDoS攻击源态势33 2.3.1肉鸡地域分布33 2.3.2肉鸡运营商/服务提供商分布34 典型DDoS攻击分析35 3.1扫段攻击35 3.1.1扫段攻击频次快速增长35 3.1.2低速扫段攻击难检测36 3.1.3惯用“短平快”战术,挑战防御系统响应速度36 3.1.4攻击手法复杂,难防御38 3.2DNS攻击40 3.2.1DNS攻击频次快速增长40 3.2.2DNS攻击强度迅猛攀升至亿次QPS级别40 3.2.3DNS攻击复杂度再创新高41 专家观点43 数据来源45 01 关键信息摘要 1.1专家观点 观点1:瞬时泛洪攻击秒级加速,挑战防御系统的响应速度。需探索更为高效的检测和清洗技术。例如设备厂商研制高效随路检测路由器,运营商研发端网协同防御技术,以有效缩短TTM(TimetoMitigation)。 观点2:高速加密攻击挑战解密防御性能,低速CC攻击绕过WAF,挑战防御系统有效性。利用行为分析算法拦截高速CC,机器学习算法精准识别低速CC,分而治之,有效应对复杂攻击。 观点3:扫段攻击成为网络基础设施面临的最大威胁,需采取多种措施增强防御。增加网段检测能力提升攻击识别精准度,端网协同防御提高多网段攻击的发现及处置效率,有效应对大规模扫段攻击。 1.2DDoS攻击态势 超大规模攻击异常活跃。 2023年T级攻击异常活跃。超800Gbps攻击共计248次,和2022年基本持平。1月份中国电信安全团队监测到年度最大包速率攻击,峰值包速率高达972Mpps;10月份中国电信安全团队监测到年度最大带宽攻击,峰值带宽高达2.505Tbps。2023年8月,发生互联网史上最大应用层攻击,攻击峰值高达398Mrps1。2023年10月华为监测到最大规模的扫段攻击,230个C段先后遭受混合攻击。 攻击频次继续呈增长趋势。 2023年攻击频次是2022年的1.6倍,是2021年的1.8倍。从全球看,针对APAC的攻击最活跃,占比88.83%。 大流量攻击持续呈秒级加速态势,爬升速度再创新高,挑战防御系统响应速度。 大流量攻击持续加速,爬升至400Gbps-500Gbps区间只需2秒;爬升至800Gbps-1Tbps区间,仅需10秒。 攻击复杂度持续提升,攻击威胁加剧。 HTTP/HTTPS应用层攻击两级分化,高速攻击挑战WAF解密防御性能,低速攻击bypassWAF,高速、低速攻击混合,挑战防御系统有效性。一方面,HTTP2.0RapidReset漏洞被利用,导致应用层攻击速率从2022年的千万级RPS跃迁至2023年的亿级RPS,挑战解密防御性能;另一方面,由数十万个僵尸发起的低速应用层攻击日渐常态化,绕过WAF检测,威胁加剧。 关键信息摘要 TOA漏洞被利用,引发TCP四层代理场景的互联网业务信任风险。 为减少自身网络攻击威胁,某些无良互联网企业通过修改DNS记录,将攻击流量“零成本”转移至百度。 传媒和互联网、政府和公共事业、教育、金融依然是TOP4攻击目标行业。 传媒和互联网、政府和公共事业、教育、金融攻击频次占比依次为59.88%、11.75%、2.98%、2.85%。能源行业和工业互联网受攻击频次占比连续三年增长。近三年,中国金融行业攻击频次呈持续增长趋势。 全球攻击目标地域分布排序依次为APAC、LATAM、EMEA、AMER,中国TOP3攻击目标地域分布为吉林、山东和广东。 攻击目标按大洲分布为APAC、LATAM、EMEA、AMER,占比依次为83.81%、12.51%、2.02%、1.66%;中国 TOP3攻击目标地域分布为吉林、山东和广东,占比依次为32.80%、9.41%、8.68%。 1.3DDoS僵尸网络态势 僵尸家族分布:DDoS僵尸家族以IoT和Linux为主,按活跃C2数量排名的TOP5僵尸家族分别是Mirai、Gafgyt、Mozi、XorDDoS和Dofloo,占比依次为61.73%、34.24%、2.15%、1.29%、0.58%。 僵尸网络C2地域分布:C2海外按大洲地域分布分别是EMEA、AMER、APAC、LATAM,占比依次为38.88%、 34.38%、25.16%、1.59%;C2中国TOP3地域分布为广东、河南和香港,占比依次为25.81%、21.46%、 15.83%。 1.4DDoS攻击源态势 肉鸡地域分布:肉鸡海外地域分布,按AMER、EMEA、APAC、LATAM统计,占比依次为33.34%、32.17%、 30.42%、4.07%;肉鸡中国TOP3地域分布为河南、浙江和广东,占比依次为14.03%、12.67%、9.88%。 肉鸡运营商/服务提供商分布:中国TOP3肉鸡运营商/服务提供商分布依次是电信、联通和阿里云,占比依次是53.18%、33.19%、6.24%;海外TOP3DDoS肉鸡运营商/服务提供商分布依次是Amazon、KE和Google,占比依次是59.56%、10.88%、5.34%。 1.5典型攻击分析 2023年扫段攻击频次快速增长,为躲避防御,低速扫段攻击成为主流,惯用“短平快”战术,多采用混合攻击手法。 2023下半年,扫段攻击频次激增。 73.19%的扫段攻击采用低速扫段,挑战防御系统检测算法灵敏度。 扫段攻击惯用“短平快”战术,挑战防御系统的响应速度。43.26%的C段攻击持续时间小于5分钟;当单个C段攻击持续时间小于5分钟时,93.90%的单个目标IP的攻击持续时间不超过10秒。当采用长周期的高速扫段时,攻击者会采用典型的“脉冲”攻击手法。 攻击者通过大规模扫段,挑战并发主机防御规格。86.96%的扫段攻击采用混合攻击手法,提升防御难度。 2023年针对DNS服务器的攻击无论是攻击复杂度还是攻击强度均创新高。 DNS攻击峰值QPS从百万次级别快速提升至亿次级别。11月份,百度监测到DNS攻击流量峰值速率高达572.84Mqps。 DNS攻击手法多样化。透过递归服务器攻击授权服务器,传统防御算法失效;某次针对递归服务器的NXDomain 攻击,攻击报文的源IP和目的IP位于同一网段,消耗递归服务器性能的同时,产生大量ARP广播报文。 02 现状与趋势 2.1DDoS攻击态势 2.1.1攻击强度 2023年T级攻击主要聚集在Q1和Q4。2023年10月30日21:15:45,电信安全团队监测到年度最大带宽攻击。攻击者采用以SSDP反射为主、叠加UDPFlood和ICMPFlood的混合攻击,攻击共持续2小时31分钟,峰值带宽2.505Tbps,攻击目标IP位于江苏电信网络。 2021-2023年攻击峰值带宽月度分布(Gbps) 2,505 2,210 1,880 1,593 1,520 1,518 1,301 1,342 1,090 999 1,033 1,041 1,100 1,120 1,086 894 1,200 1,0831,220 1,2581,240 1,300 1,209 1,078 934 985 978 1,200 1,014998 736 814 882 830 715 3,189 1月2月3月4月5月 6月7月 8月9月10月11月12月 2021年 2022年 2023年 数据来源于电信安全&联通数科&中移云能&中移卓望&Nexusguard&华为 攻击成本持续降低,导致攻击规模持续增长。从近年全球记录的年度最大攻击来看,单次攻击的峰值流量带宽稳定在2.5Tbps-3.5Tbps区间2,3,峰值包速率则稳定在900Mpps-1000Mpps区间。单次扫段攻击峰值规模维持在200-600个C段。应用层攻击的峰值RPS则依然呈现迅速增长趋势。 全球最大DDoS攻击趋势 3,470 3,189 2,795 2,505 2,300 1,020 972 887 861 600 398 100 230 16 46 17.4 17.2 2019 2020 202120222023 峰值请求速率Mrps峰值包速率Mpps扫段攻击C段数量峰值带宽Gbps 2023年8月份以前,高速应用层攻击主要利用HTTP2.0Multiplexing特性发起,攻击峰值请求速率维持在千万级RPS4,5。2023年8月,HTTP2.0RapidReset漏洞被发掘,应用层攻击峰值RPS直接飙升至亿次级RPS2(同月,Google云遭受的加密攻击峰值请求速率高达398Mrps,成为互联网史上最大应用层攻击)。超大规模加密攻击对防御成本构成严峻挑战。 2023年攻击峰值带宽地域分布(Gbps)2023年攻击峰值包速率地域分布(Mpps) 592 582 116 48 11 54 2,505972 AMER APAC EMEA LATAM AMER APAC EMEA LATAM 数据来源于电信安全&Nexusguard&华为数据来源于电信安全&Nexusguard&华为 从2023年年度攻击峰值带宽和包速率地域分布来看,APAC攻击强度远超其他大洲。 2023年超500Gbps攻击共发生3291次,Q1超500Gbps攻击最活跃,共发生1467次,占全年45%。 2021-2023年超500Gbps攻击频次月度分布 3,663 1,284 1,567 1,420 891 999 654 605 372 324 181 255 252 161 243 170 145 33 166 117 62 28 80 285 88 375 353 196 756 719 518 276 224 416 392 123 1月2月 3月4月 5月6月7月8月9月10月11月12月 2021年 2022年 2023年 数据来源于电信安全&联通数科&中移云能&中移卓望&Nexusguard&华为 超800Gbps攻击全年共计发生248次,略高于2022年的232次。同样,Q1超800Gbps攻击最活跃,共计136次,占全年54%。 2021-2023年超800Gbps攻击频次月度分布 110 75 61 52 42 35 33 28 27 27 4 7 7 1 3 1 9 2 10 5 1 6 15 12 6 3 2 12 5 7 5 6 1月2月 3月4月 5月6月7月8月9月10月11月12月 2021年 2022年 2023年 数据来源于电信安全&联通数科&Nexusguard&华为 2023年1月27日02:41:45,中国电信安全团队监测到年度最大包速率攻击,采用小报文UDPFlood,攻击共持续2小时44分钟,峰值包速率972Mpps,攻击目标IP位于四川电信网络。 2021-2023年攻击峰值包速率月度分布(Mpps) 861 669 668 681 687 722 652 580 578 525448 443438 475 384 515 473 470 525 513 502 446 481 488 506 384 326