2021年全球DDoS威胁报告

第一章 : 专家观点Chapter one: Expert Opinions2021 年全球 DDoS 威胁报告-1 目录第一章：专家观点第二章：整体威胁第三章：海外威胁1. 海外与国内攻击热点行业重合2. 扫段攻击使 8 月成攻击最多月份3. 东南亚成海外攻击热点区域4. 海外多次攻击超过 1Tb5. 高频瞬时攻击成对抗博弈的重要手段1. DDoS 攻击连增 2 年，Tb 级攻击时代已逾 5 年2. 下半年攻击又多又猛，8 月成攻击高峰3. 大流量攻击呈现多元化趋势4. 海外攻击数据占比 20%，东南亚成主要攻击战场5. 攻击行业分布多元化，游戏行业占比仍居第一6. 扫段攻击成网络公害，脉冲攻击防不胜防1. 游戏仍然是攻击热点，出海游戏更易遭受 DDoS 攻击2. 虚拟货币监管加码，大量肉鸡流入 DDoS 攻击黑产3. 僵尸网络成扫段攻击重要推手4. 漏洞修复不及时，僵尸网络利用时差攻击5. DDoS 威胁或成为犯罪团伙首选勒索手段Contents 目录第四章：黑产视角第五章：攻防对抗案例第六章：全球 DDoS 大事记第七章：关于腾讯云 T-Sec DDoS 防护案例一：热门游戏遭多轮攻击，防护团队见招拆招案例二：脉冲攻击并非无解，智能对抗升级策略案例三：僵尸网络扫段攻击，监测防护实时联动1. 中国是主要攻击源来源国之一2. DDoS 反射源分布与 IoT 发展速度及其基数相关3. UDP 反射攻击类型利用喜好与反射放大倍数成正比4. UDP 反射仍是最主要攻击手法5. TCP 反射手法呈“U 型”走势6. 僵尸网络控制端（C&C）绝大多数位于国外7. 肉鸡主要来自中国、东南亚、北美8. DDoS 僵尸网络四大家族各有特色，“一统江湖”局面不再9. XOR DDoS 逐渐没落，BillGates 最为活跃10. 扩大僵尸网络规模是黑产团伙提升 DDoS 打击能力的重要手段Contents 第一章 : 专家观点Chapter one: Expert Opinions2021 年全球 DDoS 威胁报告-4第一章专家观点 Expert Opinions 第一章 : 专家观点Chapter one: Expert Opinions2021 年全球 DDoS 威胁报告-5第一章专家观点 Expert Opinions12游戏仍然是攻击热点，出海游戏更易遭受 DDoS 攻击虚拟货币监管加码，大量肉鸡流入 DDoS 攻击黑产根据腾讯云 T-Sec DDoS 防护团队数据显示，互联网多元化发展迅速，云计算、视频直播等新兴行业倍受用户青睐，DDoS 黑产攻击目标也紧随热点业务产生变化，整体来看，今年游戏仍是受 DDoS 攻击最多的行业，但攻击占比为历年新低。相比于国内发行的游戏，出海游戏更易遭受 DDoS 攻击：一方面，出海企业大多复制国内已验证的成功商业模式，推出的游戏往往颇具竞争力，容易成为海外 DDoS 攻击的目标；另一方面，国外环境比较复杂，以 ACCN为代表的黑产团伙肆无忌惮，出于敲诈勒索目的的 DDoS 攻击层出不穷。对黑产来说，考虑到动辄数十倍甚至数百倍的放大比，UDP 放大攻击是发起 UDP 类大流量攻击最经济有效的方式。但是腾讯云 T-Sec DDoS 防护团队通过分析数据发现，今年 5 月份以来，未使用 UDP 反射的大流量UDP flood 攻击比去年明显增多。出现这一现象的原因可能是国家针对虚拟货币挖矿行业进行了持续整治，大量肉鸡从挖矿领域回流进入 DDoS 攻击黑产。根据历史数据分析，比特币等虚拟货币的价格与肉鸡发起 DDoS 攻击呈现明显负相关。因为挖矿僵尸网络会引起操作系统 CPU 负载消耗过高，往往被安全人员发现并清理。所以挖矿僵尸网络数量需要不断“补量”才能持续达到同等收益，当虚拟货币价格下跌时，黑产团伙选择投放僵尸网络 DDoS 攻击模块，虚拟货币价格上涨时，则选择投放挖矿模块，以实现团伙利益最大化的核心诉求。2021年下半年以来，国家持续加强整治虚拟货币“挖矿”活动，以改善能源利用效率，维护社会稳定和国家安全。大量基于矿机挖矿的企业迁移海外，利用肉鸡进行挖矿的黑产也受到较大冲击。大量肉鸡从虚拟货币挖矿行业流出，进入 DDoS 攻击领域。黑客手里的肉鸡资源较为富余，在 5 月份之后的几个月，不通过反射放大而是利用肉鸡直接发起的 UDP flood攻击大幅高于去年同期水平，甚至2021年7月一个月的攻击数量都高于2020年上半年或下半年的总和。同时，今年此类攻击的最大攻击流量相比去年增长了 2 倍多，高达 787G。防护建议：出海游戏企业在业务拓展到海外的同时，务必需要将安全能力，尤其是 DDoS 防护能力的短板补齐，避免长期的研发成果在黑客攻击面前化为灰烬。防护建议：预计在未来几年里，DDoS 攻击的峰值及大流量攻击发生的次数都会持续增长，企业须评估在遭遇 Tb 级超大流量攻击的极端场景下，现有防护方案和防护资源是否还能保障业务不受 DDoS 攻击影响。 第一章 : 专家观点Chapter one: Expert Opinions2021 年全球 DDoS 威胁报告-63僵尸网络成扫段攻击重要推手扫段攻击是近年兴起的一种攻击方式，会对一大段IP同时或顺序发起DDoS攻击，针对同一IP的攻击流量较小、时间持续较短，一般控制在 3-30 秒内，并且组合多种 DDoS 攻击类型发起攻击。腾讯云 T-Sec DDoS 防护团队也多次防御发生在现网的扫段攻击。在最密集的攻击期间，单天被攻击的 IP 数以万计，从单个 IP 的攻击流量来看，单次扫段攻击的最大攻击流量超过 700G。无论从攻击涉及的 IP 数还是单个 IP 的最大攻击流量来看，扫段攻击对企业都是极其严峻的挑战，攻击表象背后的逻辑是黑产团伙和攻击防御者之间的心理、智力、技术、体力的对抗与博弈。看似是零星攻击，但黑产团伙会对受害者的 IP 地址、攻击间隔、攻击时长，攻击频度进行不断变化。这类攻击是对现有 DDoS 监测和防御中的单 IP 流量人工阈值、单 IP 流量牵引、牵引消耗等防御策略的针对性对抗。据腾讯云 T-Sec DDoS 防护团队监测数据，扫段攻击大体分为两种：带宽型扫段攻击和扫描型攻击。这两种扫段攻击方式在单个 IP 的攻击时长、攻击流量及攻击手法方面存在差异。通过持续监测和研究发现，部分扫段攻击的幕后黑手竟是一些业界知名的 DDoS 僵尸网络。DDoS僵尸网络控制的资源众多，攻击目标变换迅速，溯源非常困难。目前监测到的扫段攻击都是一些常见手法，但由于大量 IP 被同时攻击，很容易出现少量透传导致机房网络异常、大量攻击流量与业务流量叠加，导致防护设备性能紧张等问题，应对方案和普通的 DDoS 攻击有较大区别。腾讯云、绿盟科技 2021 年全球 DDoS 威胁报告防护建议：企业在日常安全防护中应制定必要的预案，进行适当的演练，提升扫段类攻击的监测和响应的灵敏度 。国外 DDoS 攻击区域分布 第一章 : 专家观点Chapter one: Expert Opinions2021 年全球 DDoS 威胁报告-745漏洞修复不及时，僵尸网络利用时差攻击DDoS 威胁或成为犯罪团伙首选勒索手段绿盟科技观察，DDoS 攻击是僵尸网络第一个有明确收益的攻击方式，在国家和安全人员不断治理打击僵尸网络的形式下，黑产团伙往往打时间差，抢在漏洞修复前利用漏洞投放僵尸网络程序，并持续寻找新型反射漏洞。以 CVE-2021-22205 漏洞为例，虽早在 2021 年 4 月，GitLab 就已对该漏洞发发布补丁，但 11 月，负责谷歌 DDoS 防御的云安全可靠性工程师 Damian Menscher 披露，DDoS 攻击团伙利用该漏洞批量攻陷了数以万计的服务器，将这些服务器加入僵尸网络，发动大规模 DDoS 攻击。据腾讯云 T-Sec DDoS 防护团队监测数据，10 月 31 日起，Mirai 僵尸网络团伙控制的肉鸡数量开始快速增长。该僵尸网络以大量入侵 IoT 设备著称，但新增的肉鸡中，超过 60% 是存在漏洞且运行着 GitLab 服务的服务器。说明在 GitLab 漏洞的影响下，Mirai 僵尸网络不再局限在 IoT 设备领域，而是将触手伸向了存在漏洞的 IDC 服务器。不仅 Mirai 僵尸网络从 GitLab 漏洞乘虚而入，其他僵尸网络（如 BillGates 僵尸网络）也有运行着 GitLab 服务的服务器加入，数量不等。尽管在最初几天里，随着 GitLab 服务器上的漏洞修复，僵尸网络控制的肉鸡数量也在不断减少，但从监控数据看，仍有不少机器因漏洞未修复，成为僵尸网络持续活跃的肉鸡。勒索软件攻击事件在 2021 年闹得沸沸扬扬，绿盟科技观察，2021 年勒索软件和 DDoS 攻击曾多次同时勒索受害者。犯罪团伙利用勒索软件实施勒索，若受害者不支付赎金，便威胁将数据公之于众。此时，如果受害者报案，犯罪团伙就发起 DDoS 攻击，试图报复。勒索 DDoS（Ransomware DDoS） 事件前几年已经出现，2020 年和 2021 年勒索团伙赚得“盆满钵满”，进一步刺激了 DDoS 攻击团伙的贪欲。而 DDoS 攻击溯源难度较大，勒索实施成本低、收益丰厚，预计未来一段时间内，DDoS 勒索依然对企业安全构成较大威胁。防护建议：企业发现服务器存在高危安全漏洞时，务必及时修复。否则，不仅导致存在漏洞的机器被黑客攻陷，还会波及内部其他服务器，导致大量服务器被部署僵尸网络的攻击程序，持续对外发起 DDoS 攻击。防护建议：企业在遭受 DDoS 勒索时，建议不要支付赎金。支付赎金虽能获得短暂的喘息，但带来的将是永无休止的勒索攻击。改头换面，专打弱点是 DDoS 攻击团伙的惯用手段。寻求专业正规 DDoS 防护厂商，一起协同对抗 DDoS 攻击团伙才是抵御 DDoS 勒索的长久之道。 第二章：整体威胁Chapter two: Overall Threats2021 年全球 DDoS 威胁报告-8第二章整体威胁Overall Threats 第二章：整体威胁Chapter two: Overall Threats2021 年全球 DDoS 威胁报告-9第二章整体威胁Overall Threats1DDoS 攻击连增 2 年，Tb 级攻击时代已逾 5 年疫情之下，传统的旅游、社交、差旅、文体娱乐、线下零售等活动受到较大冲击，线上直播、社交、游戏、视频、办公等活动越来越多地融入人们生活，互联网行业成为近两年难得的持续高速增长的行业。线上业务繁荣，DDoS 攻击黑产也早已适应了网上交易的模式，攻击活动更为频繁。从整体看，近两年的攻击次数均高于疫情爆发前。继去年攻击次数大幅增加后，今年攻击次数依旧呈增长态势，实现了 2 连增。除了攻击次数持续增长，2021 年业界最大的 DDoS 攻击流量达到 2.4Tb，腾讯云 T-Sec DDoS 防护团队也多次成功防护 Tb 级别的 DDoS 攻击，最大攻击流量达 1.26Tb。这意味着 DDoS 攻击峰值在 2016 年迈入 Tb 级攻击时代后，连续 5 年超过 1Tb，Tb 级别攻击已成为企业的现实威胁。腾讯云、绿盟科技 2021 年全球 DDoS 威胁报告腾讯云、绿盟科技 2021 年全球 DDoS 威胁报告DDoS 攻击次数业界 DDoS 攻击峰值 第二章：整体威胁Chapter two: Overall Threats2021 年全球 DDoS 威胁报告-1023下半年攻击又多又猛，8 月成攻击高峰大流量攻击呈现多元化趋势通常来说，人们下半年的消费活动较为旺盛，企业往往迎来业务高峰，这也会导致互联网企业在下半年遭受更多的 DDoS 攻击。今年下半年的 DDoS 攻击威胁远远大于上半年，不仅 8 月份的攻击次数遥遥领先，接近上半年的攻击总次数，而且下半年每个月的攻击次数均大于上半年单月次数。一方面，虚拟货币挖矿行业受到强大的监管，大量肉鸡从挖矿流入 DDoS 攻击黑产；另一方面，部分广泛使用的基础软件存在漏洞，大