第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-1 目录第一章:专家观点第二章:整体威胁第三章:海外威胁1. 海外攻击逐年增长2. 海外最大攻击超过 600G3. 东南亚是海外攻击热点区域4. 海外攻击 1 月最多1. 22 年上半年 DDoS 攻击威胁创历年新高2. 100G 以上大流量攻击每天超 40 次3. 7 成攻击持续时间不超过 30 分钟4. 5 月和 6 月成威胁最大月份5. 游戏行业仍是遭受 DDoS 攻击最多行业6. TCP 反射和 PUSHACK 攻击持续肆虐7. 扫描型扫段攻击每月攻击数以十万计的 IP1. 游戏 / 视频直播是热点攻击行业2. 东南亚成海外攻击热点区域3.新型 UDP 反射攻击放大倍数达数十亿倍4. Tb 级攻击连续 3 个月出现5. 端云一体防护成抗 D 新思路6. 政府部门和重要基础设施更需重视 DDoS 防护Contents 目录第四章:黑产视角第五章:攻防对抗案例第六章:全球 DDoS 大事记案例一:腾讯云客户遭受 Tb 级别攻击案例二:中间盒 TCP 反射攻击案例三:扫段攻击防护案例1. 中高端攻击团伙占四分之一2. 敲诈勒索是主要攻击动机3. 大部分攻击基于 UDP 协议发起4. Mirai 僵尸网络上半年威胁最大5. 高危漏洞的利用率与僵尸网络活动正相关6. 僵尸网络控制端多数分布在海外7. 僵尸网络资源来源分析Contents5. 海外攻击的热点行业与国内 2 年前情形趋同 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-4第一章专家观点 &YQert 0Qinions 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-5第一章专家观点 &YQert 0Qinions12游戏 / 视频直播是热点攻击行业东南亚成海外攻击热点区域౭ᥤ᷇ፗඎᖀᖅ֖ᤩධڋ๋客ᤈӱғ一直以来,游戏行业都是遭受 DDoS 攻击最多的行业,今年的游戏行业的攻击占比仍然高居第一,而且相比去年占比还略有提升。视频直播行业遭受的DDoS攻击占比则大幅提升并达到历史新高,在所有行业中高居第二。另一方面,教培和互联网金融等受到严格监管的行业不仅 DDoS 攻击比例出现下降,攻击次数也出现非常明显的收缩,和游戏 / 视频直播行业的攻击频发,攻击占比居高不下形成非常鲜明的对比。ӳܖԵ܄ऒՈݗ六ᵞ҅ᗑ࿆හᰁռ客҅ᬪଙ团ᕪၧݎԞԅᬥሕ҅౮ԅᬯӷଙ ''RU ධڋጱᅾᅩ܄ऒ̶海क़҅෭ᶥ܄ऒጱ ''RU ධܛڋྲԞṛ҅᩻᩼ԧ۹ᗦཾၖ҅౮ԅၹक़ጱධڋᅾᅩ܄ऒ̶''RU ධڋጱᤈӱړړऒ܄ጱڋၹक़ධ 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-63新型 UDP 反射攻击放大倍数达数十亿倍ෛࣳ 8'3 ݍධڋ思य़හᬡහ܈ՊғUDP 反射可以用较小的初始流量经过反射源放大数十倍乃至上万倍,获得海量的攻击流量,因此一直以来深受DDoS 攻击团伙的青睐。除了大家熟知的 NTP 反射 /DNS 反射 /LDAP 反射等,3 月份业界发现一部分配置存在缺陷的 Mitel 设备,被 DDoS 攻击团伙用于发起 DDoS 攻击,尽管此类设备的数量仅有数千台,但是由于其具有数十亿倍的放大倍数,超越几年前流行的 Memcached 反射手法,成为迄今为止放大倍数最大的 UDP 反射放大手法。3 月份业界发现数千台开放到互联网的配置存在缺陷的 Mitel 设备可被 DDoS 攻击团伙用于发起 DDoS 攻击。尽管该手法理论上可以达到远超 Memcached 反射的高达数十亿倍的放大倍数,由于受限于缺陷设备的带宽,以及缺陷设备的快速修复,并没有引起大规模的爆发。根据腾讯安全 T-Sec DDoS 防护团队的监测数据,在3 月 6 日首次监测到此类攻击,最大的一次攻击峰值为 6Gbps。在 3 月上旬共监测到约 20 次攻击之后,此类攻击再未在现网出现。4Tb 级攻击连续 3 个月出现ᛔ 423 ଙḒེڊሿධڋશ꧊᩻ᬦ 37E ጱධڋզ团҅7E ᕆධڋতӧෙᥠ᧘ಸ᭲҅֕ฎෆ֛团᧔ 4243 ଙԏڹ 7E ᕆධڋᬮฎԅᗓᥠ҅ྯଙ᩻ᬦ 37E ጱධڋࣁقቖԞचݢහ̶֕ฎᬪӷଙ 7E ᕆධڋতݒๅے᷇ᔺ҅ՔଙӤଙᛔ 6 ์达ত҅ᬳᖅ 5 持์ྯ持์᮷ํ 7E ᕆධڊڋሿ̶ࣁ 7E ᕆධڋ๋客ጱ ์҅ᚸᦔԯਮಁኜᛗࣁ 3 ॠԏٖ᭺ݑԧ 4 ེධڋશ꧊࣐᩻ᬦ 37E ጱ᩻य़ࣳ ''RU ධڋ̶7E ᕆධڋӞଙහ᭬ݒ౮Ӟ์හ᭬҅մӱਖ਼ᶎԁశےӸષጱ 7E ᕆय़ၞᰁ ''RU ධڋশᙢ̶''RU ධڋશ꧊ᩳ۠ 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-75端云一体防护成抗 D 新思路ᒒԯӞ֛ᴠಷ౮仍 ' ෛ᪠ғ尽管当前的各国经济遭遇了不同的困难,但是工业互联网 / 大数据 / 云计算 /AI/5G 等数字经济产业丝毫没有放慢脚步,如火如荼高速发展。这些新兴产业本身会产生大量的设备接入以及带宽需求,而一旦这部分资源配置不当,就会沦为黑客的攻击资源。另一方面,这些数字经济产业的发展,也让互联网深入到更广阔的空间,也给黑客暴露了更多的获利机会。因此从这两个方面来说,未来的 DDoS 攻击威胁不仅会持续增长,而且会变得无处不在。֕ฎࣁஉ客࣋วӥ҅ӱࢩۓԅݳᥢ 1 හ射ᵌᐺ 1 ᔮᕹຝᒵොᶎጱࢩܻ҅ݝᚆ᮱ᗟࣁᐺํԯᘏᛔํ಄Ӥ҅ݶኧԭ౮ᶼᓒᘏದᚆێጱࢩܻ҅ࣈஉᵙୌᒈӨ୮ڹ ''RU শᙢፘ܃ᯈጱ仍 ' ᚆێ̶ᬯ᮱ړ᮱ᗟࣁᐺํԯᘏᛔํ಄ጱӱۓ҅Ӟ෮᭺᭬य़ࣳ ''RU ධڋ҅੪տԾኞय़ጱᷚᴾ̶ࢩྌ҅ࣁ౮ᶼᓒํᴴᘏದਂࣁᎨጱਮᥡሾहӥ҅ই֜क़᮱ತʼnᬱŊ团ᥴ᮱ᗟࣁᐺํԯᘏᛔํ಄ጱӱۓ᭺ݑय़ࣳ ''RU ධڋᬯ持ʼnᬪŊ҅੪౮ԅӞ持ᔲᬼጱ᧞̶᷌ᘒׁಓᒒԯӞ֛ ''RU ᴠಷ๐ۓଘݣጱᥴ٬ොຫນ੪ฎࣁᬯᐿ࣋วӥଫᬩᘒኞ̶֢ԅᚙᙩԭԯᦇᓒጱԯܻኞਞقԾߝ҅ࣁၹᰁӱۓḝۖӥਠ౮ԧṛ频ᚆṛපሲ༄ḵ҅ݱᤈݱӱݱᐿᥢཛྷአಁӥ؛ኞԧӿጱ࣋วඪ೮҅զ݊客አಁوՁ୵ாӥጱ౮ս۠ၹᰁଃ਼ؙ॓҅ࣁ୮ڹ ''RU ධڋশᙢीᳩᶋଉᬥሕᘒմӱశىݎဳ౮ጱ୵۠ӥٍ҅ํॠᆐጱս̶۠ 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-8银行和金融机构,运营商以及通信,机场与港口等基础设施部门,一方面服务的人群较为广泛,和人们必要的生活和工作息息相关,一旦遭受 DDoS 攻击,就会轻易影响数万乃至数十万人的工作和生活。但是另一方面,这些行业的攻击频率又远没有游戏、视频直播等行业的企业频繁,因此很可能针对 DDoS 攻击威胁缺乏必要的技术储备和应对预案,国外多个基础设施站点被攻击后宕机数天,可见一斑。因此,政府部门和重要基础设施更需重视 DDoS 防护,必要时可借助于云原生的 DDoS 防护产品,可快速补齐DDoS 防护的短板,轻松应对高级攻击团伙和 Tb 级攻击,取得事半功倍的效果。上半年国外部分大型 DDoS 攻击的行业分析6政府部门和重要基础设施更需重视 DDoS 防护率ᓕ౭̵ᥤ᷇ፗඎᒵᤈӱӞፗԭ ''RU ධڋጱԆᥝධڋᤈӱԏڜ҅֕ฎٌ՜ᤈӱ᭺ݑय़ࣳ ''RU ධڋጱෛԞᦏՈଫളӧะ̶໑射क़᮱لಸ᭲ᕹᦇ҅4244 ଙӤଙࢵक़ᴻԧํय़ᰁጱۓᒊᅩ᭺ݑय़ࣳ ''RU ධڋक़҅ӞԶᱷᤈᰂᣟ̵ᬩ០ࠟզ݊᭗מ̵࣋ӨݗᒵचᏐᦡෞ᮱ᳪԞ客ེ᭺ݑ ''RU ධڋ҅᭜౮ጱਣᳵහੜᛗහॠӧᒵ̶ 第二章:整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-9第二章整体威胁0WeraMM TIreats 第二章:整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-10122 年上半年 DDoS 攻击威胁创历年新高໑射ኪמਞقጱහ射҅4244 ଙӤଙጱධڋེහᬡ府ᬪ 6 ଙෛṛ҅ฎ݄ଙݶ๗ጱ 5 ҅ݶྲ 43 ଙӤଙीଏᬡ府 427̶''RU ධڋེහ2100G 以上大流量攻击每天超 40 次率ᓕධڋེහԅܲଙෛṛ҅֕ฎ 322I զӤጱධڋེහଚ๚ᑱᏈ 423 ଙጱṛશ꧊̶໑射ኪמਞقᬪ 5 ଙጱහ射团፡҅Ӥଙ 322I զӤጱय़ၞᰁධڋེහ࣐ࣁ 222 ེӤӥ҅Ԟ੪ฎ᧔ଘ࣐ྯॠᕅํ 66 ེय़ၞᰁධݎڋኞ̶322I զӤධڋེහڹӷଙ 322I զӤय़ၞᰁධڋᵞӾࣁ 8'3 ݍ UP य़个ᬯӷᐿଉᥠጱलଃ਼ࣳධڋӧݶ҅Քଙጱय़ၞᰁධڋಋဩ客۸۠శݎกด̶ኧӥࢶݢզ፡ڊ҅8'3 ݍ UP य़个ᬯӷᐿଉᥠጱलଃ਼ࣳධݳڋᦇՐܛහ҅ᘒ 3U+C&M य़个ධ3'8 ڋ य़个ධڋጱྲֺดीے̶ྌक़ኧԭධڋᘏಋ᯾ጱධڋᩒრ᩼团᩼᪃҅ᛘӞԶܐᦓᗌᵅࣳධڋҁই UP ੜ个3&7 ݍ不ጱධڋၞᰁᚆड़ฃ᩻ᬦ 322I҅౮ԅ反ٍܐᦓᗌᵅࣳධڋलଃ਼ࣳධڋጱ᯿শᙢ̶ 第二章:整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-11此外,前些年的规模最大的 DDoS 攻击记录,主要的攻击流量基本都是通过 UDP 反射发起,攻击者的初始攻击流量其实不足百 G。但是上半年腾讯云上最大的Tb级别的攻击,攻击手法都是非反射型的 UDPFLOOD,这充分说明攻击者的攻击资源极为充足,已经不需要 UDP 放大即可发起Tb级别的攻击。百 G 以上攻击的类型分布37 成攻击持续时间不超过 30 分钟率ᓕ ''RU ධڋྯॠ᮷ํ᮷ࣁ҅֕ฎय़ᕅ ౮ጱධڋ೮ᖅᳵࣁੜզ̶ٖ射ᖖፑقቖশᙢᇾሐᔮᕹፊၥ҅ੜԭ 7 ړᰦጱධڋࣁෆ֛Ӿܛྲय़ᕅӣړԏӞ҅ᘒ೮ᖅᳵੜԭ 7 ړᰦጱධڋՕԭ 7 ړᰦ32 ړᰦጱධڋጱྲֺፘے੪ളᬪӞ҅海क़ํړࢥԏӞጱධڋጱ೮ᖅᳵࣁ 32 ړᰦᛗ 52 ړᰦԏᳵ̶֕ฎᳩᳵጱධڋԞํፘ୮य़ጱྲֺ҅ํ᩻ᬦӞ౮ጱධڋ೮ᖅᳵ᩻ᬦ 3 ੜٌ҅Ӿ᩻ᬦ ੜጱᳩᳵධڋጱྲֺԞᬡ府 4̶''RU ධڋ೮ᖅᳩړ 第二章:整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-1245 月和 6 月成威胁最大月份ՔଙӤଙጱ''RUධڋጱ์ଶړԞຄٍᇙᅩ̶ධڋེහጱଶ团፡҅7์์౮ԅධڋེහ๋客ጱ์达̶ᘒධڋશ꧊ጱଶ团፡҅5 ڹ 持์ጱશ꧊࣐ࣁ 22I զӥ҅ 6 ์ত҅ධڋશ꧊ڞᬳᖅ 5 持์᩻ᬦ 37D̶ᖓݳ团፡ 7 ์ ์౮ԅਂࣁ ''RU শᙢ๋य़ጱ์达̶7 ์ ์ ''RU ධڋশᙢय़ी҅ᙧݸጱڞࢩܻฎධڋᘏጱධڋᩒრݒๅԅ꧌ᤶ̶᭗ᬦړຉݎሿ҅7 ์达ԏݸጱ 7E ᕆڦጱධڋ҅ධڋಋဩ᮷ฎ᭗ᬦᙂểݎ᩸य़ᰁᶋݍᔄࣳጱ 8'3 य़个ධڋ҅᧔กचԭ୮ڹጱධڋᘏಋӾጱᩒრ੪૪ᕪݢզ؉府ӧׁᩢ 8'3 ݍ思य़ݢܨԾኞ7Eᕆጱධڋၞᰁ̶Ӥଙ ''RU ධڋེහᩳ۠5游戏行业仍是遭受 DDoS 攻击最多行业Ӟፗզ团҅౭ᤈӱ᮷ฎ ''RU ධڋጱ᯿ᅒ܄̶ፘྲ݄ଙ҅౭ᤈӱᖀᖅ౮ԅԧ᭺ݑ ''RU ධڋ๋客ጱᤈӱ҅ӧՐ᭺ݑԧಅํᤈӱ ''RU ጱ 6 ౮զӤጱධڋ҅ᘒӬܛྲፘྲ݄ଙᬮኼํीᳩ̶౭ᤈӱධܛڋྲᩳ۠722I3222I 第二章:整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-136TCP 反射和 PSHACK 攻击持续肆虐ᵋ፳仍ጱ೮ᖅᬰᤈ҅ධڋᘏጱධڋಋဩԞࣁӧෙᬰ۸̶փᕹጱ 8'3 ݍ UP य़个ᒵධڋಋဩ҅ݝᥝᴠਝොؙ॓᪃ड़ጱᴠಷଃ਼҅ᴠಷ