2023年DDoS攻击威胁报告

关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000年 4 月，总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市，证券代码：300369。绿盟科技在国内设有 40 多个分支机构，为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 天翼安全科技有限公司（中国电信安全公司，简称“电信安全”）是中国电信集约开展网络安全业务的科技型、平台型专业公司。作为中国电信建设安全型企业的主力军和骨干力量，电信安全承担中国电信网络安全关键核心技术创新的主体责任，是国家关基安全的重要科研力量。电信安全以研发运营一体化的方式，整合全集团云网、安全、数据等优势资源和能力，进行统一运营，为内外部客户提供云网安全、数据安全、信息安全等各类安全产品和服务。电信安全秉承“传承红色基因，守护安全中国”的使命，致力于成为数字时代最可靠的网络安全运营商。 关于伏影实验室 研究目标包括 Botnet、APT 高级威胁，DDoS 对抗，WEB 对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 01 专家观点1 1.1DDoS 攻击已成为网络战中不可或缺的致瘫武器21.2继使用真实主机、僵尸网络、反射节点之后，攻击者逐渐青睐利用专用云服务器（VPS）作为攻击源31.3DDoS 攻击模式从简单粗暴的资源耗尽走向智能策略式攻击31.4地毯式 DDoS 攻击浪潮席卷网络，背后或有国家级力量参入51.5利益驱动下的 DDoS 攻击联手，成为 APT 攻击前站5 02 整体威胁7 2.1整体攻击规模持续增长，大规模攻击频现82.2DDoS 攻击强度居高不下，峰值带宽和峰值包速率总量双增长92.3DDoS 攻击手段呈现多元化，应用层攻击占据主流102.4DDoS 攻击复杂度加剧，新兴攻击手段不断兴起112.5DDoS 攻击目标或与地缘冲突相关，互联网和关基成为重灾区11 03 DDoS 攻击态势14 CONTENTS3.1攻击手段153.2攻击强度183.3DDoS 攻击源20 04 黑灰产威胁视角224.1僵尸网络234.2黑客组织25 05 新型 DDoS攻击手段325.1SLP 反射放大攻击335.2HTTP/2RapidReset 攻击33 06 攻防案例356.12023 年 3 月某国际客户遭受 UDP 扫段攻击36 07 年度DDoS 大事件387.12023 年 2-4 月397.22023 年 5 月397.32023 年 6 月397.42023 年 8 月397.52023 年 10 月40 01 专家观点 1.1 DDoS攻击已成为网络战中不可或缺的致瘫武器 2023年，HTTP/2 Rapid Reset和SLP反射放大攻击等新兴DDoS攻击手段不断涌现，攻击者和防御者都在持续提升自身技术水平以发掘新型攻击方法和有效防御策略。 DDoS攻击已不再局限于传统的网络层攻击，而是更加倾向复杂的应用层攻击和新型反射攻击等手段。攻击者广泛利用物联网设备、虚拟专用服务器等媒介，提升了攻击的复杂性，使得检测和应对变得愈发困难。同时，随着攻击工具逐步走向商业化和服务化，攻击工具的获取变得更加容易，甚至无需攻击者具备高级技术能力，例如国外知名的DDoS攻击平台stress.ru，任何用户都可以通过付费服务发起自定义攻击。 近年来，随着地缘政治紧张局势的升级，攻击者越来越倾向于利用DDoS攻击作为地缘政治争端中的前哨行动，DDoS攻击成本低廉，可以迅速打击对手的关键基础设施和重要网络系统，制造恐慌和混乱，使政府声誉受损，甚至造成信息孤岛，最终导致巨大经济损失和极坏的社会影响。 2023年10月，巴以冲突爆发，多方势力的黑客行动主义（Hacktivism）组织开始在双方网络空间区域内进行持续的博弈，攻击方式主要以DDoS攻击为主。据绿盟科技监测，以方被攻击目标主要为政府、司法、军事、电力等关基网站，另外还有邮件服务与DNS服务，巴方被攻击目标主要为政府、电信等网站。 自2022年以来，俄乌冲突持续升级，双方在两国边境地区部署了大量军事人员和装备，彼此对峙的态势日益加剧。与此同时，在隐秘的网空战场中，也爆发着各种形式的攻防战。 1.2继使用真实主机、僵尸网络、反射节点之后，攻击者逐渐青睐利用专用云服务器（VPS）作为攻击源 长期以来，大型僵尸网络主要依赖路由器、打印机和摄像头等物联网设备来实施攻击，这些设备由于处理能力有限，通常需要汇聚大量设备产生的流量才能对目标造成实质性破坏。然而，如今攻击者的策略发生了显著变化，开始转向利用云服务厂商提供的虚拟专用服务器（VPS）进行攻击。VPS因其低成本、高带宽、匿名性和快速部署等特性，成为攻击者扩大攻击规模、遮掩身份和灵活应对网络安全防护措施的理想攻击源。 云计算服务商所提供的虚拟专用服务器，其初衷是为初创公司和企业提供一种成本效益高且性能卓越的应用程序创建方案。这些虚拟服务器具备出色的计算能力和网络带宽，一些攻击者利用这一优势，通过购买或非法入侵控制多台VPS，进而组建新型的僵尸网络，以达成其攻击目标。 2023年，绿盟科技共监测到了61491台独立VPS云主机作为DDoS攻击源，其中主要涉及谷歌、微软、亚马逊等主流云服务商。相较于2022年，该数据同比上升了35.8%。针对这部分攻击源，需要对现有的安全防护策略进行调整和完善。通常情况下，受到攻击的服务主要是面向用户交互的，而非与机器交互的。防护策略可基于云服务商IP地址情报，直接对其流量进行封禁或者限速，从而更有效地应对此类攻击。 1.3 DDoS攻击模式从简单粗暴的资源耗尽走向智能策略式攻击 近年来，DDoS攻击模式正经历着显著的转变，从简单粗暴的资源耗尽方式逐渐演变为更 为智能和策略性的攻击形式。自2018年以来，脉冲攻击的出现成为这一转变的有力证明。脉冲攻击的特点在于，它能够在短时间内迅速产生巨大的流量峰值，然后突然停止，并在一段时间后再次发起攻击。这种攻击方式旨在避免攻击流量被检测和拦截，从而增加了防御的难度和复杂性。2021年，扫段攻击开始出现，针对一段IP地址存在同时攻击和顺序攻击两种模式。同时攻击模式下，每个目标IP所受的攻击流量较小，但汇总在一起则形成巨大的攻击流量；顺序攻击模式下，逐个针对目标IP发起大流量攻击，但攻击时间较短。这种攻击巧妙地规避了DDoS防御系统的检测与清洗策略，进而对整个IP段的用户业务造成显著影响。 到了2023年，新型测试型DDoS攻击更是崭露头角。攻击者利用测试型DDoS攻击来确定目标防御范围、衡量防御强度，深入了解其网络架构和弱点，并评估后续所需施加的力量。在这种情况下，最初的DDoS攻击可能充当侦察攻击的角色，节省攻击资源，为后续更精确的攻击做好铺垫。绿盟科技监测到的测试型DDoS攻击如图所示，攻击者一开始对目标发起强度相对较小的试探性攻击，持续几天后突然发起猛烈的攻击，这种类型的攻击增加了防御的难度。测试型DDoS攻击 在防护手段上，传统基于FLOW的检测存在滞后性，当前某些局点已经采用alwaysonline的思路，流量一直经过清洗节点，同时采用双层清洗方案，第一层防护阈值配置较大，主要应对大攻击流量的清洗，第二层为本地清洗，主要负责清洗本地链路带宽内的攻击。由于流量一直经过清洗设备，对于单体设备与集群方案的稳定性要求较高，同时需要定制高精度算法以满足双层清洗的需要。 1.4地毯式DDoS攻击浪潮席卷网络，背后或有国家级力量参入 2023年，地毯式DDoS攻击崛起，与传统的小范围、针对单一目标或特定小区域的攻击形成鲜明对比。这些攻击往往由具备强大攻击实力和丰富攻击资源的组织或国家发起，其主要目的是通过大规模消耗目标网络的整体带宽和服务资源，干扰特定国家或地区的关键业务和通信能力，以达到对该区域造成最大程度的破坏和影响的目的。此类攻击不仅可能导致目标国家的网络拥堵，使民众无法正常访问关键系统和服务，从而影响对重要系统和设施的信心，而且可能对整个国家或地区的经济产生长期负面影响。 2023年11月和12月，绿盟科技监测到巴西遭受了大规模地毯式DDoS攻击。据统计，被攻击的目标数量约为880万个，占巴西IP地址总量的比例高达12%。此次攻击事件中涉及的被攻击行业广泛，涵盖了政府网站、通信运营商、教育部门、金融机构等重要基础设施。 1.5利益驱动下的DDoS攻击联手，成为APT攻击前站 近年来，DDoS攻击已不再仅仅是个体行为，而是牵涉到有利益关联的国家以及黑客组织的联合行动。以2023年巴以冲突中的网络空间对抗为例，这些发起DDoS攻击的黑客组织并非孤立行动，而是基于共同利益形成互动，迅速构建所谓的“战时”利益联盟。这些组织在和平时期可能各自为战，但一旦面临冲突，因共同利益而迅速集结，极大提升了其攻击能力。例如，巴以冲突中的社区网络运营联盟机构（C.O.A）团队、Killnet以及Anonymous Sudan等黑客团体就展现了这种趋势。此外，还有部分黑客组织因自身利益需求，会临时组建并参与攻击行动。 根据绿盟科技监测数据，巴以冲突期间共有55个团伙参与网络攻击活动。其中，亲巴勒斯坦的黑客组织占据绝大多数，达到43个，这些组织以Killnet为代表，主要对以色列的关键网络基础设施进行攻击，涉及政府、金融、通信等多个行业。相比之下，亲以色列的组织数量较少，共有12个，主要包括India Cyber Force、UCC等组织，他们的攻击目标主要是巴勒斯坦的关键网络基础设施。 有线索显示，DDoS攻击正逐渐演变成为APT和勒索攻击的前置行动，攻击者越来越频繁地利用DDoS攻击来分散事件响应团队的注意力，以便掩盖背后更为严重的安全事件。值得警惕的是，DDoS攻击本身可能仅是一个烟雾弹，其目的不再局限于简单的网络干扰，更可能借助这种方式混淆视听，误导防御人员的关注焦点，而在DDoS攻击的掩护下，实施更 为隐蔽的APT攻击、数据窃取、恶意软件注入等恶意行为。所以在DDoS攻击来临之前就在本地和云端做好DDoS防御协同显得尤为重要，使用本地防御设备及云端防御服务做好应对网络攻击的第一道防线，不防DDoS何以防其他。 整体威胁 2.1整体攻击规模持续增长，大规模攻击频现 2023年大规模DDoS攻击异常活跃，中国电信安全团队与绿盟科技共监测到超500Gbps攻击422次，超800Gbps攻击248次，超1Tb级别的攻击事件达到了52起，相较于2022年增长25%。9月和10月是Tb级别攻击最为集中的月份，占全年大流量攻击事件的70%。不同月份Tb级别攻击的次数 2023年，DDoS整体攻击事件数量呈现出显著的增长趋势，具体数量是2022年的1.4倍，2021年的2倍。这些攻击主要集中在上半年，特别是在3月份，DDoS攻击活动达到了顶峰，当月共监测到近500万次攻击事件，且攻击目标多数位于巴西，其攻击频率的增加可能与巴西大选后的国内冲突存在某种程度的关联。4月至6月，攻击次数呈逐渐下降趋势。相较于上半年，下半年的DDoS攻击数量明显减少，整体态势趋于稳定。 2.2 DDoS攻击强度居高不下，峰值带宽和峰值包速率总量双增长 2023年10月30日21:15:45，电信安全团队监测到年度最大带宽攻击。攻击者采用以SSDP反射为主、叠加UDP Flood和ICMP Flood的混合攻