2023年全球DDoS攻击现状与趋势分析
AI智能总结
天翼安全科技有限公司、联通数科安全、百度安全、Nexusguard、中国移动云能力中心、中国移动卓望公司、清华大学、华为联合发布 目录 2.2 DDoS僵尸网络态势31 2.2.1僵尸家族分布312.2.2 C2地域分布31 2.3 DDoS攻击源态势33 2.3.1肉鸡地域分布332.3.2肉鸡运营商/服务提供商分布34 3.1.1扫段攻击频次快速增长353.1.2低速扫段攻击难检测363.1.3惯用“短平快”战术,挑战防御系统响应速度363.1.4攻击手法复杂,难防御38 3.2 DNS攻击40 3.2.1 DNS攻击频次快速增长403.2.2 DNS攻击强度迅猛攀升至亿次QPS级别403.2.3 DNS攻击复杂度再创新高41 专家观点43 数据来源45 01 关键信息摘要 1.1专家观点 观点1:瞬时泛洪攻击秒级加速,挑战防御系统的响应速度。需探索更为高效的检测和清洗技术。例如设备厂商研制高效随路检测路由器,运营商研发端网协同防御技术,以有效缩短TTM(Time toMitigation)。 观点2:高速加密攻击挑战解密防御性能,低速CC攻击绕过WAF,挑战防御系统有效性。利用行为分析算法拦截高速CC,机器学习算法精准识别低速CC,分而治之,有效应对复杂攻击。 观点3:扫段攻击成为网络基础设施面临的最大威胁,需采取多种措施增强防御。增加网段检测能力提升攻击识别精准度,端网协同防御提高多网段攻击的发现及处置效率,有效应对大规模扫段攻击。 1.2 DDoS攻击态势 超大规模攻击异常活跃。 2023年T级攻击异常活跃。超800Gbps攻击共计248次,和2022年基本持平。1月份中国电信安全团队监测到年度最大包速率攻击,峰值包速率高达972Mpps;10月份中国电信安全团队监测到年度最大带宽攻击,峰值带宽高达2.505Tbps。2023年8月,发生互联网史上最大应用层攻击,攻击峰值高达398Mrps1。2023年10月华为监测到最大规模的扫段攻击,230个C段先后遭受混合攻击。 攻击频次继续呈增长趋势。 2023年攻击频次是2022年的1.6倍,是2021年的1.8倍。从全球看,针对APAC的攻击最活跃,占比88.83%。 大流量攻击持续呈秒级加速态势,爬升速度再创新高,挑战防御系统响应速度。 大流量攻击持续加速,爬升至400Gbps-500Gbps区间只需2秒;爬升至800Gbps-1Tbps区间,仅需10秒。 攻击复杂度持续提升,攻击威胁加剧。 HTTP/HTTPS应用层攻击两级分化,高速攻击挑战WAF解密防御性能,低速攻击bypass WAF,高速、低速攻击混合,挑战防御系统有效性。一方面,HTTP2.0 Rapid Reset漏洞被利用,导致应用层攻击速率从2022年的千万级RPS跃迁至2023年的亿级RPS,挑战解密防御性能;另一方面,由数十万个僵尸发起的低速应用层攻击日渐常态化,绕过WAF检测,威胁加剧。 关键信息摘要 TOA漏洞被利用,引发TCP四层代理场景的互联网业务信任风险。 为减少自身网络攻击威胁,某些无良互联网企业通过修改DNS记录,将攻击流量“零成本”转移至百度。 传媒和互联网、政府和公共事业、教育、金融依然是TOP4攻击目标行业。 传媒和互联网、政府和公共事业、教育、金融攻击频次占比依次为59.88%、11.75%、2.98%、2.85%。能源行业和工业互联网受攻击频次占比连续三年增长。近三年,中国金融行业攻击频次呈持续增长趋势。 全球攻击目标地域分布排序依次为APAC、LATAM、EMEA、AMER,中国TOP3攻击目标地域分布为吉林、山东和广东。 攻击目标按大洲分布为APAC、LATAM、EMEA、AMER,占比依次为83.81%、12.51%、2.02%、1.66%;中国TOP3攻击目标地域分布为吉林、山东和广东,占比依次为32.80%、9.41%、8.68%。 1.3 DDoS僵尸网络态势 僵尸家族分布:DDoS僵尸家族以IoT和Linux为主,按活跃C2数量排名的TOP5僵尸家族分别是Mirai、Gafgyt、Mozi、XorDDoS和Dofloo,占比依次为61.73%、34.24%、2.15%、1.29%、0.58%。 僵尸网络C2地域分布:C2海外按大洲地域分布分别是EMEA、AMER、APAC、LATAM,占比依次为38.88%、34.38%、25.16%、1.59%;C2中国TOP3地域分布为广东、河南和香港,占比依次为25.81%、21.46%、15.83%。 1.4 DDoS攻击源态势 肉鸡地域分布:肉鸡海外地域分布,按AMER、EMEA、APAC、LATAM统计,占比依次为33.34%、32.17%、30.42%、4.07%;肉鸡中国TOP3地域分布为河南、浙江和广东,占比依次为14.03%、12.67%、9.88%。 肉鸡运营商/服务提供商分布:中国TOP3肉鸡运营商/服务提供商分布依次是电信、联通和阿里云,占比依次是53.18%、33.19%、6.24%;海外TOP3 DDoS肉鸡运营商/服务提供商分布依次是Amazon、KE和Google,占比依次是59.56%、10.88%、5.34%。 1.5典型攻击分析 2023年扫段攻击频次快速增长,为躲避防御,低速扫段攻击成为主流,惯用“短平快”战术,多采用混合攻击手法。 2023下半年,扫段攻击频次激增。 73.19%的扫段攻击采用低速扫段,挑战防御系统检测算法灵敏度。 扫段攻击惯用“短平快”战术,挑战防御系统的响应速度。43.26%的C段攻击持续时间小于5分钟;当单个C段攻击持续时间小于5分钟时,93.90%的单个目标IP的攻击持续时间不超过10秒。当采用长周期的高速扫段时,攻击者会采用典型的“脉冲”攻击手法。 攻击者通过大规模扫段,挑战并发主机防御规格。86.96%的扫段攻击采用混合攻击手法,提升防御难度。 2023年针对DNS服务器的攻击无论是攻击复杂度还是攻击强度均创新高。 DNS攻击峰值QPS从百万次级别快速提升至亿次级别。11月份,百度监测到DNS攻击流量峰值速率高达572.84Mqps。 DNS攻击手法多样化。透过递归服务器攻击授权服务器,传统防御算法失效;某次针对递归服务器的NXDomain攻击,攻击报文的源IP和目的IP位于同一网段,消耗递归服务器性能的同时,产生大量ARP广播报文。 现状与趋势 现状与趋势 2.1 DDoS攻击态势 2.1.1攻击强度 2023年T级攻击主要聚集在Q1和Q4。2023年10月30日21:15:45,电信安全团队监测到年度最大带宽攻击。攻击者采用以SSDP反射为主、叠加UDP Flood和ICMP Flood的混合攻击,攻击共持续2小时31分钟,峰值带宽2.505Tbps,攻击目标IP位于江苏电信网络。 攻击成本持续降低,导致攻击规模持续增长。从近年全球记录的年度最大攻击来看,单次攻击的峰值流量带宽稳定在2.5Tbps-3.5Tbps区间2,3,峰值包速率则稳定在900Mpps-1000Mpps区间。单次扫段攻击峰值规模维持在200-600个C段。应用层攻击的峰值RPS则依然呈现迅速增长趋势。 2023年8月份以前,高速应用层攻击主要利用HTTP2.0 Multiplexing特性发起,攻击峰值请求速率维持在千万级RPS4,5。2023年8月,HTTP2.0 Rapid Reset漏洞被发掘,应用层攻击峰值RPS直接飙升至亿次级RPS2(同月,Google云遭受的加密攻击峰值请求速率高达398Mrps,成为互联网史上最大应用层攻击)。超大规模加密攻击对防御成本构成严峻挑战。 从2023年年度攻击峰值带宽和包速率地域分布来看,APAC攻击强度远超其他大洲。 现状与趋势 2023年超500Gbps攻击共发生3291次,Q1超500Gbps攻击最活跃,共发生1467次,占全年45%。 超800Gbps攻击全年共计发生248次,略高于2022年的232次。同样,Q1超800Gbps攻击最活跃,共计136次,占全年54%。 2023年1月27日02:41:45,中国电信安全团队监测到年度最大包速率攻击,采用小报文UDP Flood,攻击共持续2小时44分钟,峰值包速率972Mpps,攻击目标IP位于四川电信网络。 2023年月度平均峰值带宽最大值为121Gbps,首次突破100Gbps。对比历年年度攻击平均峰值带宽,2023年为75Gbps,2022年为56Gbps,2021年为54Gbps,说明攻击流量强度逐年提升。 现状与趋势 2023年月度平均攻击包速率最大值为21Mpps,出现在2月份。对比历年年度攻击平均峰值包速率,2023年为16Mpps,高于2022年的13Mpps和2021年的15Mpps。 2023年的第二、第三和第四季度相比往年,攻击流量峰值区间分布发生较大变化。其中第二季度100-200Gbps攻击异常活跃,占比高达24.75%,主要原因是该季度针对UDP游戏的UDP Flood攻击活跃;第三季度,<1Gbps攻击活跃,占比34.47%,是因为该季度中国境内低速扫段攻击异常活跃;第四季度,1-5Gbps攻击占比提升至2021年水平,主要源于低速应用层攻击快速增长。 对超100Gbps攻击进行统计分析发现,UDP反射和UDP Flood是攻击者发起大流量攻击的主要手段。 2.1.2攻击频次 DDoS攻击频次呈持续增长趋势。2023年攻击频次是2022年的1.6倍,2021年的1.8倍。 现状与趋势 攻击频次按地域分布,APAC攻击活跃,占比88.83%。APAC扫段攻击异常活跃,拉升了APAC攻击频次占比。 2.1.3攻击速度 大流量攻击持续秒级加速态势,爬升速度2023年再创新高。瞬时泛洪攻击2秒流量即可爬升至近500Gbps,10秒即可爬升至900Gbps-1Tbps区间,挑战防御系统响应速度。 2.1.4攻击复杂度 1.网络攻击类型分布 近三年,UDP Flood、UDP反射、SYN Flood、ACK Flood、UDP分片均维持TOP5网络层攻击类型。 2023年UDP Flood频次明显快速增长,占比提升至40.80%。UDP Flood频次提升原因主要有两个,一方面针对TCP业务采用低成本的UDP Flood挤占带宽一直是攻击者优选;另外一方面,针对UDP游戏的UDP Flood难防御,因此备受攻击者青睐。 现状与趋势 近三年ACK Flood占比持续保持高位的原因是针对TCP游戏的网络层CC攻击效果明显,防御困难,网络层CC一直被作为攻击TCP游戏服务器的杀手锏。 TOP5 UDP反射中,2023年DNS反射呈快速增长态势,占比从2022年的5.62%提升至45.15%;SSDP反射占比连续三年恒定;NTP反射占比处于减少态势,从2022年的58.51%减少至18.24%。 2023年,TOP10 TCP反射端口新增58000和30010。其中58000是某品牌光猫的配置端口,30010是vsftp服务端口。利用58000和30010端口的反射攻击2022年就已经出现,但整体占比较小,2023年开始活跃。电信安全监测到的2023年11月份针对ChatGPT的DDoS攻击事件,以TCP反射为主,TOP4反射源端口就包括30010和58000。 2.应用层攻击类型分布 2023年,加密攻击占比快速提升至63.65%,防御难度大幅度增加。 3.攻击矢量分布 2023年混合攻击占比较2022年有所降低,占比53.75%,但仍然是主流。单一攻击占比提升的主要原因是2023年扫段攻击频发,导致大量IP无辜“躺枪”。 现状与趋势 4. HTTP/HTTPS应用层攻击两级分化 HTTP/HTTPS应用层攻击两级分化,高速攻击挑战WAF解密防御性能,低速攻击bypass WAF,高速
