2022年上半年-全球DDoS威胁报告

第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-1 目录第一章：专家观点第二章：整体威胁第三章：海外威胁1. 海外攻击逐年增长2. 海外最大攻击超过 600G3. 东南亚是海外攻击热点区域4. 海外攻击 1 月最多1. 22 年上半年 DDoS 攻击威胁创历年新高2. 100G 以上大流量攻击每天超 40 次3. 7 成攻击持续时间不超过 30 分钟4. 5 月和 6 月成威胁最大月份5. 游戏行业仍是遭受 DDoS 攻击最多行业6. TCP 反射和 PUSHACK 攻击持续肆虐7. 扫描型扫段攻击每月攻击数以十万计的 IP1. 游戏 / 视频直播是热点攻击行业2. 东南亚成海外攻击热点区域3.新型 UDP 反射攻击放大倍数达数十亿倍4. Tb 级攻击连续 3 个月出现5. 端云一体防护成抗 D 新思路6. 政府部门和重要基础设施更需重视 DDoS 防护Contents 目录第四章：黑产视角第五章：攻防对抗案例第六章：全球 DDoS 大事记案例一：腾讯云客户遭受 Tb 级别攻击案例二：中间盒 TCP 反射攻击案例三：扫段攻击防护案例1. 中高端攻击团伙占四分之一2. 敲诈勒索是主要攻击动机3. 大部分攻击基于 UDP 协议发起4. Mirai 僵尸网络上半年威胁最大5. 高危漏洞的利用率与僵尸网络活动正相关6. 僵尸网络控制端多数分布在海外7. 僵尸网络资源来源分析Contents5. 海外攻击的热点行业与国内 2 年前情形趋同 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-4第一章专家观点 &YQert 0Qinions 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-5第一章专家观点 &YQert 0Qinions12游戏 / 视频直播是热点攻击行业东南亚成海外攻击热点区域჋౭޾ᥤ᷇ፗඎᖀᖅ֖੷ᤩධڋ๋客ᤈӱғ一直以来，游戏行业都是遭受 DDoS 攻击最多的行业，今年的游戏行业的攻击占比仍然高居第一，而且相比去年占比还略有提升。视频直播行业遭受的DDoS攻击占比则大幅提升并达到历史新高，在所有行业中高居第二。另一方面，教培和互联网金融等受到严格监管的行业不仅 DDoS 攻击比例出现下降，攻击次数也出现非常明显的收缩，和游戏 / 视频直播行业的攻击频发，攻击占比居高不下形成非常鲜明的对比。ӳܖԵ܄ऒՈݗ六ᵞ҅ᗑ࿆හᰁռ客҅ᬪଙ团ᕪၧݎ઀Ԟ᫾ԅᬥሕ҅౮ԅᬯӷଙ ''RU ධڋጱᅾᅩ܄ऒ̶海क़҅෭ᶥ܄ऒጱ ''RU ධܛڋྲԞ᫾ṛ҅᩻᩼ԧ۹ᗦ޾ཾၖ҅౮ԅၹक़ጱධڋᅾᅩ܄ऒ̶''RU ධڋጱᤈӱړ૲૲ړऒ܄ጱڋၹक़ධ 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-63新型 UDP 反射攻击放大倍数达数十亿倍ෛࣳ 8'3 ݍ੘ධڋ思य़׭හᬡහ܈Պ׭ғUDP 反射可以用较小的初始流量经过反射源放大数十倍乃至上万倍，获得海量的攻击流量，因此一直以来深受DDoS 攻击团伙的青睐。除了大家熟知的 NTP 反射 /DNS 反射 /LDAP 反射等，3 月份业界发现一部分配置存在缺陷的 Mitel 设备，被 DDoS 攻击团伙用于发起 DDoS 攻击，尽管此类设备的数量仅有数千台，但是由于其具有数十亿倍的放大倍数，超越几年前流行的 Memcached 反射手法，成为迄今为止放大倍数最大的 UDP 反射放大手法。3 月份业界发现数千台开放到互联网的配置存在缺陷的 Mitel 设备可被 DDoS 攻击团伙用于发起 DDoS 攻击。尽管该手法理论上可以达到远超 Memcached 反射的高达数十亿倍的放大倍数，由于受限于缺陷设备的带宽，以及缺陷设备的快速修复，并没有引起大规模的爆发。根据腾讯安全 T-Sec DDoS 防护团队的监测数据，在3 月 6 日首次监测到此类攻击，最大的一次攻击峰值为 6Gbps。在 3 月上旬共监测到约 20 次攻击之后，此类攻击再未在现网出现。4Tb 级攻击连续 3 个月出现ᛔ՗ 423 ଙḒེڊሿධڋશ꧊᩻ᬦ 37E ጱධڋզ团҅7E ᕆධڋ୏তӧෙᥠ᧘ಸ᭲҅֕ฎෆ֛团᧔ 4243 ଙԏڹ 7E ᕆධڋᬮฎ᫾ԅᗓᥠ҅ྯଙ᩻ᬦ 37E ጱධڋࣁقቖԞच๜੸೰ݢහ̶֕ฎᬪӷଙ 7E ᕆධڋ୏তݒ஑ๅے᷇ᔺ҅ՔଙӤ܎ଙᛔ 6 ์达୏ত҅ᬳᖅ 5 持์ྯ持์᮷ํ 7E ᕆධڊڋሿ̶ࣁ 7E ᕆධڋ๋客ጱ  ์҅ᚸᦔԯ຤ਮಁኜᛗࣁ 3 ॠԏٖ᭺ݑԧ 4 ེධڋશ꧊࣐᩻ᬦ 37E ጱ᩻य़ࣳ ''RU ධڋ̶7E ᕆධڋ՗Ӟଙහ᭬ݒ౮Ӟ์හ᭬҅մӱਖ਼ᶎԁశےӸષጱ 7E ᕆय़ၞᰁ ''RU ධڋশᙢ̶''RU ධڋશ꧊ᩳ۠ 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-75端云一体防护成抗 D 新思路ᒒԯӞ֛ᴠಷ౮仍 ' ෛ௏᪠ғ尽管当前的各国经济遭遇了不同的困难，但是工业互联网 / 大数据 / 云计算 /AI/5G 等数字经济产业丝毫没有放慢脚步，如火如荼高速发展。这些新兴产业本身会产生大量的设备接入以及带宽需求，而一旦这部分资源配置不当，就会沦为黑客的攻击资源。另一方面，这些数字经济产业的发展，也让互联网深入到更广阔的空间，也给黑客暴露了更多的获利机会。因此从这两个方面来说，未来的 DDoS 攻击威胁不仅会持续增长，而且会变得无处不在。֕ฎࣁஉ客࣋วӥ҅ӱࢩۓԅݳᥢ 1 හ射ᵌᐺ 1 ᔮᕹຝ຅ᒵොᶎጱࢩܻ҅ݝᚆ᮱ᗟࣁᐺํԯ౲ᘏᛔํ๢಄Ӥ҅ݶ෸ኧԭ౮๜ᶼᓒ౲ᘏದ๞ᚆێጱࢩܻ҅๜ࣈஉᵙୌᒈӨ୮ڹ ''RU শᙢፘ܃ᯈጱ仍 ' ᚆێ̶ᬯ᮱ړ᮱ᗟࣁᐺํԯ౲ᘏᛔํ๢಄ጱӱۓ҅Ӟ෮᭺᭬य़ࣳ ''RU ධڋ҅੪տԾኞ૤य़ጱᷚᴾ̶ࢩྌ҅ࣁ౮๜ᶼᓒํᴴ౲ᘏದ๞ਂࣁᎨ຃ጱਮᥡሾहӥ҅ই֜՗क़᮱੔ತʼnᬱ࿜Ŋ团ᥴ᮱ᗟࣁᐺํԯ౲ᘏᛔํ๢಄ጱӱۓ᭺ݑय़ࣳ ''RU ධڋᬯ持ʼnᬪ჊Ŋ҅੪౮ԅӞ持ᔲᬼጱ᧞̶᷌ᘒׁಓᒒԯӞ֛ ''RU ᴠಷ๐ۓଘݣጱᥴ٬ොຫນ੪ฎࣁᬯᐿ࣋วӥଫᬩᘒኞ̶֢ԅᚙᙩԭԯᦇᓒጱԯܻኞਞقԾߝ҅ࣁၹᰁӱۓḝۖӥਠ౮ԧṛ频ᚆṛපሲ༄ḵ҅ݱᤈݱӱݱᐿᥢཛྷአಁӥ؛ኞԧӿ੄ጱ࣋วඪ೮҅զ݊客አಁوՁ୵ாӥጱ౮๜ս۠ၹᰁଃ਼ؙ॓҅ࣁ୮ڹ ''RU ධڋশᙢीᳩᶋଉᬥሕᘒմӱశىݎဳ౮๜ጱ୵۠ӥٍ҅ํॠᆐጱս̶۠ 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-8银行和金融机构，运营商以及通信，机场与港口等基础设施部门，一方面服务的人群较为广泛，和人们必要的生活和工作息息相关，一旦遭受 DDoS 攻击，就会轻易影响数万乃至数十万人的工作和生活。但是另一方面，这些行业的攻击频率又远没有游戏、视频直播等行业的企业频繁，因此很可能针对 DDoS 攻击威胁缺乏必要的技术储备和应对预案，国外多个基础设施站点被攻击后宕机数天，可见一斑。因此，政府部门和重要基础设施更需重视 DDoS 防护，必要时可借助于云原生的 DDoS 防护产品，可快速补齐DDoS 防护的短板，轻松应对高级攻击团伙和 Tb 级攻击，取得事半功倍的效果。上半年国外部分大型 DDoS 攻击的行业分析6政府部门和重要基础设施更需重视 DDoS 防护率ᓕ჋౭̵ᥤ᷇ፗඎᒵᤈӱӞፗ੷ԭ ''RU ධڋጱԆᥝධڋᤈӱԏڜ҅֕ฎٌ՜ᤈӱ᭺ݑय़ࣳ ''RU ධڋጱෛ᳼ԞᦏՈଫളӧะ̶໑射क़᮱ل୏ಸ᭲ᕹᦇ҅4244 ଙӤ܎ଙࢵक़ᴻԧํय़ᰁጱ඲ۓᒊᅩ᭺ݑय़ࣳ ''RU ධڋक़҅ӞԶᱷᤈ޾ᰂᣟ๢຅̵ᬩ០ࠟզ݊᭗מ̵๢࣋Ө჈ݗᒵचᏐᦡෞ᮱ᳪԞ客ེ᭺ݑ ''RU ධڋ҅᭜౮ጱਣ๢෸ᳵ՗හੜ෸ᛗහॠӧᒵ̶ 第二章：整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-9第二章整体威胁0WeraMM TIreats 第二章：整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-10122 年上半年 DDoS 攻击威胁创历年新高໑射ኪמਞقጱහ射҅4244 ଙӤ܎ଙጱධڋེහᬡ府ᬪ 6 ଙෛṛ҅ฎ݄ଙݶ๗ጱ 5 ׭҅ݶྲ 43 ଙӤ܎ଙीଏᬡ府 427̶''RU ධڋེහ2100G 以上大流量攻击每天超 40 次率ᓕධڋེහԅܲଙෛṛ҅֕ฎ 322I զӤጱධڋེහଚ๚ᑱᏈ 423 ଙጱṛશ꧊̶໑射ኪמਞقᬪ 5 ଙጱහ射团፡҅Ӥ܎ଙ 322I զӤጱय़ၞᰁධڋེහ࣐ࣁ 222 ེӤӥ҅Ԟ੪ฎ᧔ଘ࣐ྯॠᕅํ 66 ེय़ၞᰁධݎڋኞ̶322I զӤධڋེහڹ޾ӷଙ 322I զӤय़ၞᰁධڋᵞӾࣁ 8'3 ݍ੘ ޾UP य़个ᬯӷᐿଉᥠጱ೜लଃ਼ࣳධڋӧݶ҅Քଙጱय़ၞᰁධڋಋဩ客໏۸᩽۠శݎกด̶ኧӥࢶݢզ፡ڊ҅8'3 ݍ੘ ޾UP य़个ᬯӷᐿଉᥠጱ೜लଃ਼ࣳධݳڋᦇՐ܎ܛහ҅ᘒ 3U+C&M य़个ධ3'8 ޾ڋ य़个ධڋጱྲֺด៪ीے̶ྌक़ኧԭධڋᘏಋ᯾ጱධڋᩒრ᩼团᩼੄᪃҅੕ᛘӞԶܐᦓᗌᵅࣳධڋҁই UP ੜ个3&7 ޾ ݍ੘不ጱධڋၞᰁᚆड़᫷ฃ᩻ᬦ 322I҅౮ԅ反ٍܐᦓᗌᵅࣳධ޾ڋ೜लଃ਼ࣳධڋጱ݌᯿শᙢ̶ 第二章：整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-11此外，前些年的规模最大的 DDoS 攻击记录，主要的攻击流量基本都是通过 UDP 反射发起，攻击者的初始攻击流量其实不足百 G。但是上半年腾讯云上最大的Tb级别的攻击，攻击手法都是非反射型的 UDPFLOOD，这充分说明攻击者的攻击资源极为充足，已经不需要 UDP 放大即可发起Tb级别的攻击。百 G 以上攻击的类型分布37 成攻击持续时间不超过 30 分钟率ᓕ ''RU ධڋྯॠ᮷ํ෸෸᮷ࣁ҅֕ฎय़ᕅ  ౮ጱධڋ೮ᖅ෸ᳵࣁ܎ੜ෸զ̶ٖ射ᖖፑقቖশᙢᇾሐᔮᕹፊၥ҅ੜԭ 7 ړᰦጱධڋࣁෆ֛Ӿܛྲय़ᕅӣړԏӞ҅ᘒ೮ᖅ෸ᳵੜԭ 7 ړᰦጱධ޾ڋՕԭ 7 ړᰦ32 ޾ ړᰦጱධڋጱྲֺፘے੪ളᬪӞ܎҅海क़ํړࢥԏӞጱධڋጱ೮ᖅ෸ᳵࣁ 32 ړᰦᛗ 52 ړᰦԏᳵ̶֕ฎᳩ෸ᳵጱධڋԞํፘ୮य़ጱྲֺ҅ํ᩻ᬦӞ౮ጱධڋ೮ᖅ෸ᳵ᩻ᬦ 3 ੜ෸ٌ҅Ӿ᩻ᬦ  ੜ෸ጱᳩ෸ᳵධڋጱྲֺԞᬡ府 4̶''RU ධڋ೮ᖅ෸ᳩړ૲ 第二章：整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-1245 月和 6 月成威胁最大月份ՔଙӤ܎ଙጱ''RUධڋጱ์ଶړ૲Ԟຄٍᇙᅩ̶՗ධڋེහጱ᥯ଶ团፡҅7์޾์౮ԅධڋེහ๋客ጱ์达̶ᘒ՗ධڋશ꧊ጱ᥯ଶ团፡҅5 ڹ 持์ጱશ꧊࣐ࣁ 22I զӥ҅՗ 6 ์୏ত҅ධڋશ꧊ڞᬳᖅ 5 持์᩻ᬦ 37D̶ᖓݳ团፡ 7 ์ ޾ ์౮ԅਂࣁ ''RU শᙢ๋य़ጱ์达̶7 ์ ޾ ์ ''RU ධڋশᙢय़ी҅ᙧݸጱڞࢩܻฎධڋᘏጱධڋᩒრݒ஑ๅԅ꧌ᤶ̶᭗ᬦړຉݎሿ҅7 ์达ԏݸጱ 7E ᕆڦጱධڋ҅ධڋಋဩ᮷ฎ᭗ᬦᙂểݎ᩸य़ᰁᶋݍ੘ᔄࣳጱ 8'3 य़个ධڋ҅᧔กचԭ୮ڹጱධڋᘏಋӾጱᩒრ੪૪ᕪݢզ؉府ӧׁᩢ 8'3 ݍ੘思य़ݢܨԾኞ7Eᕆጱධڋၞᰁ̶Ӥ܎ଙ ''RU ධڋེහᩳ۠5游戏行业仍是遭受 DDoS 攻击最多行业Ӟፗզ团҅჋౭ᤈӱ᮷ฎ ''RU ධڋጱ᯿ᅒ܄̶ፘྲ݄ଙ҅჋౭ᤈӱᖀᖅ౮ԅԧ᭺ݑ ''RU ධڋ๋客ጱᤈӱ҅ӧՐ᭺ݑԧಅํᤈӱ ''RU ጱ 6 ౮զӤጱධڋ҅ᘒӬܛྲፘྲ݄ଙᬮኼํीᳩ̶჋౭ᤈӱධܛڋྲᩳ۠722I3222I 第二章：整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-136TCP 反射和 PSHACK 攻击持续肆虐ᵋ፳੒仍ጱ೮ᖅᬰᤈ҅ධڋᘏጱධڋಋဩԞࣁӧෙᬰ۸̶փᕹጱ 8'3 ݍ੘ ޾UP य़个ᒵධڋಋဩ҅ݝᥝᴠਝොؙ॓᪃ड़ጱᴠಷଃ਼҅ᴠಷ