《2022年上半年-全球DDoS威胁报告》-腾讯安全-33页.pdf

第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-1目录第一章：专家观点第二章：整体威胁第三章：海外威胁1. 海外攻击逐年增长2. 海外最大攻击超过 600G3. 东南亚是海外攻击热点区域4. 海外攻击 1 月最多1. 22 年上半年 DDoS 攻击威胁创历年新高2. 100G 以上大流量攻击每天超 40 次3. 7 成攻击持续时间不超过 30 分钟4. 5 月和 6 月成威胁最大月份5. 游戏行业仍是遭受 DDoS 攻击最多行业6. TCP 反射和 PUSHACK 攻击持续肆虐7. 扫描型扫段攻击每月攻击数以十万计的 IP1. 游戏 / 视频直播是热点攻击行业2. 东南亚成海外攻击热点区域3. 新型 UDP 反射攻击放大倍数达数十亿倍4. Tb 级攻击连续 3 个月出现5. 端云一体防护成抗 D 新思路6. 政府部门和重要基础设施更需重视 DDoS 防护Contents目录第四章：黑产视角第五章：攻防对抗案例第六章：全球 DDoS 大事记案例一：腾讯云客户遭受 Tb 级别攻击案例二：中间盒 TCP 反射攻击案例三：扫段攻击防护案例1. 中高端攻击团伙占四分之一2. 敲诈勒索是主要攻击动机3. 大部分攻击基于 UDP 协议发起4. Mirai 僵尸网络上半年威胁最大5. 高危漏洞的利用率与僵尸网络活动正相关6. 僵尸网络控制端多数分布在海外7. 僵尸网络资源来源分析Contents5. 海外攻击的热点行业与国内 2 年前情形趋同第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-4第一章专家观点 Expert Opinions第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-512游戏 / 视频直播是热点攻击行业东南亚成海外攻击热点区域游戏和视频直播继续位居被攻击最多行业：一直以来，游戏行业都是遭受 DDoS 攻击最多的行业，今年的游戏行业的攻击占比仍然高居第一，而且相比去年占比还略有提升。视频直播行业遭受的 DDoS 攻击占比则大幅提升并达到历史新高，在所有行业中高居第二。另一方面，教培和互联网金融等受到严格监管的行业不仅 DDoS 攻击比例出现下降，攻击次数也出现非常明显的收缩，和游戏 / 视频直播行业的攻击频发，攻击占比居高不下形成非常鲜明的对比。东南亚区域人口密集，网民数量众多，近年来经济发展也较为迅猛，成为这两年 DDoS 攻击的热点区域。另外，日韩区域的 DDoS 攻击占比也较高，超越了北美和欧洲，成为海外的攻击热点区域。DDoS 攻击的行业分布海外攻击的区域分布第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-63 新型 UDP 反射攻击放大倍数达数十亿倍新型 UDP 反射攻击放大倍数达数十亿倍：UDP 反射可以用较小的初始流量经过反射源放大数十倍乃至上万倍，获得海量的攻击流量，因此一直以来深受DDoS 攻击团伙的青睐。除了大家熟知的 NTP 反射 /DNS 反射 /LDAP 反射等，3 月份业界发现一部分配置存在缺陷的 Mitel 设备，被 DDoS 攻击团伙用于发起 DDoS 攻击，尽管此类设备的数量仅有数千台，但是由于其具有数十亿倍的放大倍数，超越几年前流行的 Memcached 反射手法，成为迄今为止放大倍数最大的 UDP 反射放大手法。3 月份业界发现数千台开放到互联网的配置存在缺陷的 Mitel 设备可被 DDoS 攻击团伙用于发起 DDoS 攻击。尽管该手法理论上可以达到远超 Memcached 反射的高达数十亿倍的放大倍数，由于受限于缺陷设备的带宽，以及缺陷设备的快速修复，并没有引起大规模的爆发。根据腾讯安全 T-Sec DDoS 防护团队的监测数据，在3 月 6 日首次监测到此类攻击，最大的一次攻击峰值为 6Gbps。在 3 月上旬共监测到约 20 次攻击之后，此类攻击再未在现网出现。4 Tb 级攻击连续 3 个月出现自从 2017 年首次出现攻击峰值超过 1Tb 的攻击以来，Tb 级攻击开始不断见诸报道，但是整体来说 2021 年之前 Tb 级攻击还是较为罕见，每年超过 1Tb 的攻击在全球也基本屈指可数。但是近两年 Tb 级攻击开始变得更加频繁，今年上半年自 4 月份开始，连续 3 个月每个月都有 Tb 级攻击出现。在 Tb 级攻击最多的 6 月，腾讯云某客户甚至在 1 天之内遭受了 2 次攻击峰值均超过 1Tb 的超大型 DDoS 攻击。Tb 级攻击从一年数遇变成一月数遇，企业将面临愈加严峻的 Tb 级大流量 DDoS 攻击威胁。DDoS 攻击峰值走势第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-75 端云一体防护成抗 D 新思路端云一体防护成抗 D 新思路：尽管当前的各国经济遭遇了不同的困难，但是工业互联网 / 大数据 / 云计算 /AI/5G 等数字经济产业丝毫没有放慢脚步，如火如荼高速发展。这些新兴产业本身会产生大量的设备接入以及带宽需求，而一旦这部分资源配置不当，就会沦为黑客的攻击资源。另一方面，这些数字经济产业的发展，也让互联网深入到更广阔的空间，也给黑客暴露了更多的获利机会。因此从这两个方面来说，未来的 DDoS 攻击威胁不仅会持续增长，而且会变得无处不在。但是在很多场景下，业务因为合规 / 数据隐私 / 系统架构等方面的原因，只能部署在私有云或者自有机房上，同时由于成本预算或者技术能力的原因，本地很难建立与当前 DDoS 威胁相匹配的抗 D 能力。这部分部署在私有云或者自有机房的业务，一旦遭遇大型 DDoS 攻击，就会产生巨大的风险 。因此，在成本预算有限或者技术存在短板的客观环境下，如何从外部寻找“远水”来解部署在私有云或者自有机房的业务遭受大型 DDoS 攻击这个“近渴”，就成为一个紧迫的课题。而依托端云一体 DDoS 防护服务平台的解决方案就是在这种场景下应运而生。作为脱胎于云计算的云原生安全产品，在海量业务驱动下完成了高性能高效率检验，各行各业各种规模用户下催生了丰富的场景支持，以及多用户共享形态下的成本优势海量带宽储备，在当前 DDoS 攻击威胁增长非常迅猛而企业愈发关注成本的形势下，具有天然的优势。第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-8银行和金融机构，运营商以及通信，机场与港口等基础设施部门，一方面服务的人群较为广泛，和人们必要的生活和工作息息相关，一旦遭受 DDoS 攻击，就会轻易影响数万乃至数十万人的工作和生活。但是另一方面，这些行业的攻击频率又远没有游戏、视频直播等行业的企业频繁，因此很可能针对 DDoS 攻击威胁缺乏必要的技术储备和应对预案，国外多个基础设施站点被攻击后宕机数天，可见一斑。因此，政府部门和重要基础设施更需重视 DDoS 防护，必要时可借助于云原生的 DDoS 防护产品，可快速补齐DDoS 防护的短板，轻松应对