第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-1 目录第一章：专家观点第二章：整体威胁第三章：海外威胁1. 7 月攻击最多、8 月攻击最大2. 100G 以上大流量攻击集中在 1 月3. 东南亚主要攻击热点区域4. “短平快”攻击依然是主要攻击战法5. 攻击者重点关注远程登录与 WEB 应用服务1. 6 个月攻击峰值超过 1Tb2. 5 月、9 月、10 月成全年攻击最多3. 大流量攻击 8 月份最多4. 网络游戏品类继续蝉联攻击最多应用5. DDoS 攻击不受现实时间影响6. DDoS 攻击目标趋于明确，攻击持久性逐年加强7. 新型攻击手段：Cloud9 恶意插件远程控制1. 22 年 DDoS 威胁大流量攻击增长高于整体威胁增长2. Tb 级攻击以 UDP 流量为主，次数超过 40 次3.游戏行业是 DDoS 攻击重灾区，东南亚是海外攻击热点4. 僵尸网络规模扩张迅猛，高危漏洞依旧是最大杀器5. 以关键基础设施为目标的 DDoS 攻击愈演愈烈Contents 目录第四章：黑产视角第五章：攻防对抗案例第六章：全球 DDoS 大事记案例一：腾讯云客户遭受 Tb 级别攻击案例二：基于 CVE-2022-26143 的反射放大攻击案例三：大规模 UDP 泛洪 DDoS 攻击1. UDP 攻击手法最受黑客青睐2. 大型攻击中 UDP 非反射攻击占据三分之一3. 僵尸网络攻击活动分布4. 僵尸网络肉鸡分布5. 僵尸网络控制端分析6. 僵尸网络攻击指令分析7. 美国成为僵尸网络 DDoS 攻击首要目标Contents6. UDP Fragment Flood“异军突起”7. 北美洲为应用层 DDoS 攻击流量主要来源地8. 秘鲁国内形势紧张，沦陷为应用层 DDoS 攻击重灾区 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-4第一章专家观点 EYQert 0QJnJons 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-5第一章专家观点 EYQert 0QJnJons122 年 DDoS 威胁大流量攻击增长高于整体威胁增长ੱᓕ 4243 ଙࢩԅڊሿय़ࣳಚྦྷධڋጱࢩܻ҅ධڋེහ૪ᕪ॒ԭṛ֖҅֕ฎ 4244 ଙقଙ FFRU ධڋེහݶྲ4243 ଙᬮฎीᳩ ҅FFRU শᙢᖌ೮ԧ 6 ଙ೮ᖅीᳩጱா۠҅4244 ଙԞ౮ԅ FFRU ධڋ๋客ጱӞଙ̶FFRU ධڋེහᩳ۠ጯ * զӤय़ၞᰁධڋশᙢ᩽๋۠ᬪپଙ҅ࣁԯᦇᓒ1य़හ射1C,1ᥤ᷇ፗඎᒵᤈ程ṛ᭛ीᳩḝۖӥ҅,FEᗑᕶ޾ਹꁿ਼ଃᗑᕶଃ਼೮ᖅṛ᭛ीᳩ̶֕ฎፘ୮හᰁጱ๐޾࢏ۓ持Ո 3E1,RV ᦡ॓ኧԭਂࣁᯈᗝᗌᵅ౲ᘏਂࣁਞقᄋ၏҅တفἓਮԏಋ̶FFRU ධڋἓԾ឴஑ԧय़ᰁጱධڋᩒრ޾ධڋଃ਼҅੕ᛘጯ * զӤጱय़ၞᰁධڋ᩼๶᩼ฦ᭭҅ᘒӬޝሿกดጱय़ၞᰁධڋीᳩଏଶṛԭෆ֛শᙢीᳩଏଶጱா̶۠ᚸᦔਞ قVUgeFFRU ࢫᴚᕹᦇ҅4244 ଙጯ * զӤय़ၞᰁධݶڋྲीଏ᩻ᬦ 7 ౮҅ଘ࣐ӥ๶य़ᕅྯᵍ 3 ੜ෸੪տڊሿ 3 ེጯ * զӤጱय़ၞᰁධڋ̶ 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-6腾讯安全T-Sec DDoS团队监测数据显示：2022 年全年攻击峰值流量超过 1Tb 的攻击次数接近 40 次，不仅是历年之最，而且比 22 年之前所有的 Tb 级攻击的次数还要多。从数据看出，7 月至 8 月以及 11 月至 12 月是Tb 级攻击的高发月份，这四个月平均 4 天就会出现 1 次 Tb 级攻击。近年来 DDoS 攻击黑产获得了大量的攻击资源，攻击程序也有大幅进化，这导致攻击者的攻击手法不再拘泥于之前较为典型的 UDP 反射和 SYN 大包攻击，攻击手法五花八门，呈现越来越明显的多样性。但是在 Tb 级别的大流量攻击中，黑客们不约而同都选择了 UDP 类攻击。具体来看大约三分之一的 Tb 级攻击基于 UDP 反射，而另外的三分之二的攻击的主要流量是 UDP 非反射型攻击。Tb 级攻击的手法分布腾讯云 DDoS 攻击峰值（Tbps）2Tb 级攻击以 UDP 流量为主，次数超过 40 次ᴻԧධڋེහय़ଏीᳩक़҅4244 ଙጱධڋશ꧊Ԟٚڠෛṛ̶4244 ଙጱ๋य़ධڋશ꧊ݶྲ݄ଙीᳩ 37҅ᬡ3067 کVdru҅4244 ଙԞ౮ԅධڋશ꧊๋य़ጱӞଙ̶ 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-73游戏行业是 DDoS 攻击重灾区，东南亚是海外攻击热点ኧԭਂࣁ௶఺ሻਹ᭗ᬦݎ᩸ FFRU ධڋ̵ἓԾࢫվළᦪۦᔱ҅ݶᤈ程 FFRU ධڋ௶఺ᒋԩᒵ客持ධڋ࣋ว҅჋౭ᤈ程ܲ๶᮷ฎ FFRU ධڋጱ᯿ᅒ܄̶4244 ଙ჋౭ᤈ程ᖀᖅ౮ԅ FFRU ධڋ๋客ጱᤈ程҅ӧՐፘྲ 43 ଙय़ଏ܋ࢧ҅ᘒӬܛྲԞ᭸᭸ᶾضԭٌ՜ᤈ程҅ܛ射ಅํᤈ程 FFRU ධڋጱӞ܎զӤ̶Ӟᛱ๶᧔҅ᕪၧ᫾ԅݎᬡ҅԰ᘶᗑฦ݊࿜ଘṛጱ۹ᗦ޾ཾၖฎၹक़ FFRU ධڋྲ᫾ṛݎጱ܄俱҅֕ฎՔଙզ๶҅ᬯ持᩽۠ڊሿԧกดጱ۸ݒ̶4244 ଙӳܖԵ܄俱ጱᕪၧṛ᭛ݎ沦҅ݱ持Ԇᥝࢵਹጱ *F3 ᮷ڊሿय़ଏीᳩ̶ᘒࣁ FFRU ධڋොᶎ҅஑ፅԭӳܖԵ܄俱԰ᘶᗑݎ沦ᬥሕ҅FFRU ධܛڋྲԞ࿜႐᛼ṛ҅ࣁ 4244 ଙṛ੷ၹक़ݱ持܄俱ᒫӞ̶փᕹጱᕪၧݎ沦࿜ଘ᫾ṛ҅԰ᘶᗑݎᬡጱ۹ᗦ܄俱ጱ FFRU ධڋࣁၹक़ݱ持܄俱Ӿܛྲᒫԫ҅ྌक़෭ᶥ܄俱ጱ FFRU ධܛڋྲԞ᫾ṛ҅᩻ᬦԧཾၖ܄俱֖҅੷ᒫӣ̶჋౭ᤈ程ܛྲ૲ړڋ俱ධ܄持ݱၹक़ 第一章 : 专家观点Chapter one: Expert Opinions2022 年全球 DDoS 威胁报告-84僵尸网络规模扩张迅猛，高危漏洞依旧是最大杀器FFRU ධڋฎب੬ᗑᕶᒫӞ持ํกᏟතፅጱධڋොୗ҅ࣁࢵਹ޾ਞقՈާӧෙ੒ب੬ᗑᕶလቘ޾಑ڋጱ୵۠ӥ҅ἓԾࢫվՖ՗๚න୒ձ֜Ӟེಘୟഴګ᝜ࢱጱ๢տ̶ᬪଙ๶҅FFRUب੬ᗑᕶӧෙڥአᄋ၏ಘୟഴګ᝜ࢱ҅4244 ଙᤩب੬ᗑᕶڥአጱࣁᰀᄋ၏૪ᬡ357 ᐿ҅ෛᄋ၏ࣁڟ಺ᶂጱپ持ੜ෸ٖܨᤩள᭛ᵞ౮҅ᚈ୧Ԇ๢ᄋ၏ᬮ๚ץ॔ԏڹ੪૪ᤩഴګଚ༙ف๙Ḙ̶0LtDL֢ԅ๋ၚ᪋ጱب੬ᗑᕶԏӞ҅Քଙݎሿٌ๋ṛ手ଃԧ99持Ӿṛܧᄋ၏҅ইCrDeKg/RJ6lTEGᄋ၏ҁE9G42436644不̵)7D,*,3 ๚ ദ ๦ TEG ᄋ ၏ҁE9G424435不̵UrtLQJ6UKgnnTEG ᄋ ၏ҁE9G42444487不ᒵṛܧᄋ၏̶՗ڥአ୧ݗե᩸ਹݎ沦ڥکአᄋ၏ᬰᤈय़ᶎᑌಘୟ҅0LtDL ੔ತӞڔ๢տఽວٌ՜ᦡ॓҅ಘୟഴګ᝜ࢱ̶ኧྌݢᥠ҅ἓԾࢫվٍ॓ᵋ෸ਖ਼ṛܧᄋ၏አԭಘୟب੬ᗑᕶԆ๢ଚአԭ FFRU ධڋጱᚆێ҅ᬯᕳىᲫמ௳चᏐᦡෞଃ๶ຄय़শᙢ҅ࢩྌᴠகොᵱᥝ൉ڹ؉অᴠகاٴ̶॓5以关键信息基础设施为目标的 DDoS 攻击与日俱增໑射ᖖፑᑀದقቖশᙢᇾሐᔮᕹፊၥ҅4244 ଙᰒ੒ىᲫמ௳चᏐᦡෞጱ FFRU ධޝڋӤ܋᩽۠҅ࣁ 33 ์ධڋེහᬡک๋ṛ̶ዖఘ๗ᳵ҅قቖෆ֛ᕪၧ୵۠ӥჶ҅զۦᔱࣳ FFRU ධڋԅդᤒጱධڋᘏਖ਼ፓຽ᫨ݻ端ᬩ౮๜᫾ṛጱىᲫचᏐᦡෞ҅੦ٌฎول᭗מ޾מ௳๐ۓ̵ᰂᣟ̵ول๐ۓ̵ኪৼ඲ۓ̵᯿ᥝᗑᕶᦡෞמ޾௳ᔮᕹᒵ̶FFRU ධڋᘏᦶࢶᘙੱፓຽᗑᕶ̵ଫአᑕଧ౲๐ۓጱݢአᩒრ҅੒ṛଶׁᩢ程ۓᬳᖅ௔ጱىᲫמ௳चᏐᦡෞ᭜౮Ꮘࣕ҅ṛ෼ጱ端ᬩ౮๜఺ޱ፳ਙժଉଉๅํݢᚆඪ՞ᩜᰂ҅ᬯԶᤈ程Ӟ෮ᤩධڋӧՐտଃ๶ᕪၧ观ێ҅ᬮݢᚆଃ๶᷐क़ᐒտਞقᑞਧ௔୽ߥ̶ݑਸ਼ىᲫचᏐᦡෞ์ଶړ૲ 第二章：整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-9第二章整体威胁0Werall TIreats 第二章：整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-1016 个月攻击峰值超过 1Tb4244 ଙጱධڋશ꧊ԅܲଙԏ๋҅ݶྲ 43 ଙीᳩଏଶᬡ37 ک̶44 ଙ๋य़ጱධݎڋኞࣁ 34 ์ղ҅ධڋશ꧊ᬡ3067 کVdru̶ೲ์๶፡҅4244 ଙݱ持์ጱධڋશ꧊҅ࣁ 4 ์ᛗ 9 ์զ ݊ ์ᛗ 34 ์҅ޝሿกดጱ᭑์᭓ीጱா̶๋۠य़ධڋၞᰁ *druኧԭ 4244 ଙقଙጱ Vd ᕆڦጱධڋളᬪ 62 ེ҅ࢩྌํ 8 持์ጱධڋશ꧊᩻ᬦ 3Vd̶֕ฎ՗์ղ๶፡҅Vd ᕆڦጱධڋጱړ૲ٍํกดጱᘸᵞ௔҅8 ์ᛗ 9 ์҅33 ์ᛗ 34 ์ฎ Vd ᕆධڋ๋ᘸᵞጱ์ղ҅قଙ 6 ጱ Vdᕆධړڋ૲ࣁᬯ 6 持์̶2022 年整体 DDoS 威胁呈上升趋势。攻击峰值方面，全年有 6 个月的攻击峰值突破 1Tb，12 月份则成为攻击峰值最大的月份。攻击次数方面， 5 月份、8 月份、10 月份攻击次数最多，大流量攻击则在 8 月和 1月最为集中。攻击行业方面，游戏行业攻击最多，手游则成为攻击最多的细分品类。根据电信云堤监测，2022 年 11 月 1 日曾出现过一次最高攻击峰值超过 3Tb/s 的攻击，它发生在浙江电信，具体时间为 2022 年 11 月 1 日 8 点 08 分，共持续 1087 秒，这期间平均攻击峰值超过 167Gb/s，所属类型为 UDP 型攻击；对比历年监控，攻击峰值流量超过 3Tb/s 级别属于较为罕见的超大流量攻击。Tb 级攻击的月份分布 第二章：整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-11除了在时间分布上呈现聚集性外，在攻击手法方面，Tb 级攻击也都聚集在 UDP 类攻击手法。具体来说，有三分之一的 Tb 级攻击，是基于 UDP 反射发起。而剩余的三分之二的 Tb 级攻击，则是直接基于非反射的 UDP大包攻击，这说明 DDoS 攻击者控制的攻击资源异常充裕，已经不需要借助 UDP 反射放大流量，就能直接发起 Tb 级别的攻击。25 月、9 月、10 月成全年攻击最多4244 ଙጱ FFRU ධڋེහ4243 ޾ ݶ๗ፘྲ҅Ӟ持உด៪ጱᇙᅩ੪ฎӤ܎ଙጱྯ持์ጱධڋེහ᮷客ԭ 43 ଙݶ๗҅ᘒӥ܎ଙྯ持์ጱධڋེහ࣐੝ԭ 43 ଙݶ๗̶ྌक़҅ෆ֛๶፡ፘྲ 43 ଙ҅44 ଙጱ FFRU ධڋེහړ૲᫾ԅ࣐۰҅7์ฎධڋེහ๋客ጱ์ղ҅ࣁقଙܛྲԅ34̶8์ԅධڋེහ๋੝ጱ์ղࣁقଙධܛڋྲԅ8̶7 ์ධڋེහᕅԅ 8 ์ධڋེහጱ 4 ׭҅ᘒ 43 ଙེහ๋客ጱ์ղฎེහ๋੝์ղጱ 7 ׭զӤ̶໑射ኪמԯनහ射ғ౼ྊ 4244 ଙ 33 ์ 52 ෭҅FFRU ධڋ௛ེහԅ 64937 ٌེ҅Ӿ  ์ධڋེහ๋客҅ԅ8767 ེҔ32 ์ጱධڋེහٌེ҅ԅ 8268 ེҔ ์ጱධڋེහፘྲ  ์൉57735 ܋ེ҅Ԟฎධڋེහ൉܋๋กดጱ์ղҔ33 ์ፘྲ 32 ์ӥᴳԧ 4957 ེ҅ԅධڋེහӥᴳ๋กดጱ์ղҔ౼ྊ 4244 ଙ 33 ์ 52 ෭҅FFRU ධڋེහࣁࢵٖ௛ᦇ 9982 ེ҅ݱ์᩽۠ူۖ᫾ੜ҅33 ์ጱධڋེහ๋客҅ԅ 437 ེҔVd ᕆධڋጱಋဩړ૲FFRU ධڋེහᩳ۠ 第二章：整体威胁Chapter two: Overall Threats2022 年全球 DDoS 威胁报告-123大流量攻击 8 月份最多4244 ଙقଙ 322* զӤጱᔴᦇ᩻ᬦ 3 ӡེ҅හᰁԅܲଙԏ̶๋՗෸ᳵړ૲๶፡҅՗ 4 ์ղ୏ত҅य़ၞᰁධڋ೮ᖅीᳩ҅ ์ղڞฎጯ * զӤय़ၞᰁධڋጱṛશ҅හᰁฎጯ * զӤय़ၞᰁධڋ๋੝ጱ 4 ์ղጱ 5 ׭ૢݦ̶4网络游戏品类继续蝉联攻击最多应用ᗑᕶ჋౭ܲ๶᮷ฎ FFRU ධڋ᫾客҅4244 ଙԞӧֺक़҅ᗑᕶ჋౭ᣈᘶ FFRU ධڋ๋客ጱᗑᕶଫ