2024年全球DDoS攻击态势分析

2024年全球DDoS攻击态势分析 天翼安全科技有限公司、联通数科安全、中国移动卓望公司、 百度安全、Nexusguard、清华大学、电子科技大学、华为联合发布 中国电信安全公众号 2024年全球DDoS攻击态势分析 目录 目录 关键信息摘要 02 1.1专家观点02 1.2DDoS攻击态势02 1.3DDoS僵尸网络态势03 1.4典型攻击案例04 攻击态势 05 2.1DDoS攻击态势05 2.1.1攻击频次05 2.1.2攻击强度06 2.1.3攻击速度11 2.1.4攻击复杂度12 2.1.5攻击发生时段22 2.1.6攻击持续时间23 2.1.7攻击持久性24 2.1.8攻击目标行业分布24 2.1.9攻击目标地域分布27 2.2DDoS僵尸网络态势28 2.2.1僵尸家族分布28 2.2.2C2地域分布29 2.2.3DDoS肉鸡地域分布30 典型攻击案例 31 3.1持续性高速T级扫段31 3.2针对某云手机业务的强对抗型攻击33 专家观点 35 数据来源 37 2024年全球DDoS攻击态势分析 关键信息摘要 01 关键信息摘要 1.1专家观点 观点1：瞬时泛洪攻击与复杂向量攻击对检测系统提出双重挑战。一方面，攻击秒级加速，要求检测系统具备秒级响应，实现快速识别与攻击处置；另一方面，瞬时泛洪攻击与复杂向量攻击结合，涉及多种攻击手法叠加，要求检测系统具备多维度检测能力，降低误报率，提升检测准确率。 观点2：攻防对抗进入自动化、智能化新阶段。当前攻击工具已高度集成，演变为自动化攻击平台，防御系统亦需具备自动化、智能化能力，通过实时分析与策略调整，有效应对动态变化的复杂攻击，避免被动防御失效。 观点3：扫段攻击呈现两极化态势，进一步威胁网络基础设施。低速扫段通过攻击大量C段躲避传统检测，而高速扫段则利用传统检测时延缺陷使防御系统难以快速响应。这一趋势促使防御体系升级：中小企业倾向于将业务迁移至具备原生安全防护能力的公有云，而专线接入企业则通过运营商安全专线或On-premise防御+近源防御的分层协同架构，提升整体安全防护能力。 1.2DDoS攻击态势 攻击频次继续呈增长态势。 2024年攻击频次是2023年的1.3倍，是2022年的1.8倍。攻击频次地域分布看，APAC攻击最活跃，全年占比 67.12%。 超大规模攻击激增。 2024年，T级攻击激增。超800Gbps攻击共计771次，是2023年的3.1倍，2022年的3.3倍，挑战防御成本。互联网史上最大带宽和最大包速率攻击均被刷新，攻击峰值带宽高达5.6Tbps1，攻击峰值包速率高达2,100Mpps2。中国境内，年度最大攻击峰值带宽为1.9Tbps，共发生2次；最大攻击包速率为943Mpps。此外，扫段攻击强度提升至1.7Tbps。 瞬时泛洪攻击持续呈秒级加速态势，挑战防御系统响应速度。 瞬时泛洪攻击爬升至300Gbps-400Gbps区间只需2秒；爬升至800Gbps-1Tbps区间，仅需10秒。 02 2024年全球DDoS攻击态势分析 关键信息摘要 攻击复杂度持续提升，威胁加剧。 2024年，针对语音业务和游戏的攻击活跃，且扫段攻击频发，对网络层攻击频次占比产生较大影响。UDP反射、UDP分片、UDPFlood、ACKFlood（包括网络层CC）、SYNFlood均维持TOP5网络层攻击类型，依次占比24.77%、16.44%、13.14%、12.88%、10.64%。 2024年，DNS反射更加活跃，占比提升至62.07%。为增加防御难度，DNS反射和NTP反射经常采用小报文，攻击报文长度和业务报文长度区间重叠。 随着应用加密常态化，HTTPSFlood攻击占比持续处于高位，2024年占比62.11%。 2024年，扫段攻击持续呈现多样化态势。46.83%的扫段攻击呈现低速态势，挑战传统检测算法有效性； 28.29%的单个C段攻击持续时间小于30分钟，挑战防御系统自动化处置能力；95.68%的扫段攻击采用混合攻击手法，挑战防御成功率。 2024年，应用层攻击复杂度持续演进，攻击者利用HTTP/2ContinuationFrame漏洞3，仅使用少量资源即可导致攻击目标资源耗尽；为寻求更高效的防御，业界经常采用JA3指纹防御加密攻击，而攻击者借助加密套件或扩展项顺序随机化，致使JA3指纹失效，轻易躲避安全设备识别。 传媒和互联网、政府和公共事业、金融、教育依然是TOP4攻击目标行业。 中国大陆，传媒和互联网、政府和公共事业、金融、教育依然是TOP4攻击目标行业，攻击频次占比依次为71.23%、7.29%、7.13%、4.81%；传媒和互联网、文化旅游、工业互联网、能源受攻击频次占比连续两年增长；金融行业攻击频次连续三年呈现增长态势。 扫段攻击影响攻击目标地域分布。全球攻击目标地域分布依次为APAC、LATAM、NA、EMEA，中国TOP3攻击目标地域分布依次为吉林、广东和山东。 全球攻击目标地域分布依次为APAC、LATAM、NA、EMEA，占比分别为58.81%、19.20%、12.12%、9.87%。APAC和LATAM攻击目标占比较高，主要源于这两个地域的扫段攻击活跃；中国TOP3攻击目标地域分布为吉林、广东和山东，占比依次为25.97%、22.54%、11.02%。 1.3DDoS僵尸网络态势 僵尸家族分布：DDoS僵尸家族以IoT和Linux平台为主，按C2数量排名的TOP5僵尸家族分别是Mozi、Mirai、Dofloo、Gafgyt和BazarLoader，占比依次为65.66%、17.59%、9.78%、5.03%、1.93%；按DDoS攻击次数排名的TOP5僵尸网络家族依次为Mirai、HailBot、Xorddos、KamruBot和InfectedSlurs，占比依次为47.20%、26.34%、10.42%、6.82%、3.89%。 僵尸网络C2地域分布：C2全球地域分布依次为EMEA、NA、APAC、LATAM，占比依次为57.91%、22.98%、 16.68%、2.43%；C2中国TOP3地域分布为河南、山东、广东，占比依次为43.28%、15.98%、7.21%。 肉鸡地域分布：肉鸡全球地域分布依次为APAC、NA、EMEA、LATAM，占比依次为65.33%、20.46%、10.81%、3.40%；肉鸡中国TOP3地域分布为广东、江苏、浙江，占比依次为11.60%、9.23%、6.77%。 03 2024年全球DDoS攻击态势分析 关键信息摘要 1.4典型攻击案例 案例1：攻防对抗愈演愈烈 2024年9月30日至10月18日期间，亚太地区某云手机业务遭遇了持续性的高强度对抗型DDoS攻击。攻击期间，攻击者共采用了17种不同的攻击手法，给防御系统的自动化应对能力带来了严峻的挑战。 案例2：扫段攻击强度再创新高 2024年10月17日至30日，中国江苏省某数据中心发生持续性的高强度T级扫段攻击。共4个C段被殃及，单IP攻击流量峰值5Gbps-20Gbps。采用由ACKFlood、NTP反射、DNS反射、UDPFIood、UDP分片、ICMPFlood组成的混合攻击，攻击流量峰值在930Gbps-1.7Tbps区间，导致数据中心链路长时间拥塞，引发持续性丢包。 04 2024年全球DDoS攻击态势分析 攻击态势 02 攻击态势 2.1DDoS攻击态势 2.1.1攻击频次 DDoS攻击频次呈持续增长态势。2024年攻击频次是2023年的1.3倍，2022年的1.8倍。 2022-2024年攻击频次月度分布 1月2月3月 4月5月 6月7月 8月9月10月11月12月 2022年2023年2024年 数据来源于电信安全&联通数科&中移卓望&Nexusguard&华为 从攻击频次地域分布来看，APAC攻击活跃，2024年占比67.12%。 05 2024年全球DDoS攻击态势分析 攻击态势 2024年攻击频次地域分布（不包括中国大陆） 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 1月2月3月 4月5月 6月7月8月9月10月11月12月 APAC EMEA LATAMNA 数据来源于Nexusguard 2.1.2攻击强度 近五年全球最大DDoS攻击态势 5,600 2,100 3,470 3,189 1,020 2,505 2,300 861 972 525 398 6 17.2 46 20202021202220232024 HTTP峰值请求速率Mrps峰值包速率Mpps峰值带宽Gbps 06 2024年全球DDoS攻击态势分析 攻击态势 攻击成本的不断降低，促使攻击规模持续增长，挑战防御成本。从全球范围来看超大规模攻击激增，2024年，互联网史上最大带宽和最大包速率攻击记录均被刷新，攻击峰值带宽高达5.6Tbps1，是2021年创记录的3.47Tbps1的1.61倍；攻击峰值包速率高达2,100Mpps2，是2023年创纪录的972Mpps的2.16倍。扫段攻击强度亦创历史记录，2024年10月，华为监测到峰值带宽为1.7Tbps的扫段攻击。 2024年攻击峰值带宽分布（不包括中国大陆）（Gbps） 588 576 481 296272 249 303 259 193 277 311 213 241 262 224 137 297327 222 168 178 236220 190 128 64 89 117 36 41 66 2426 82 2830 49 63 80 19 50 89 46 60 79 29 23 963 1月2月3月 4月5月6月 7月8月9月10月11月12月 APAC EMEANA LATAM 数据来源于Nexusguard 2024年攻击峰值包速率分布（不包括中国大陆）（Mpps） 313 316 183 107 109 89 80 68 64 53 59 3840 45 24 8 26 14 3436 41 29 15 51 27 5 11 2 31 116 2724 3127 1715 4438 28 1222 2 127 9 2 1月2月3月 4月5月6月 7月8月9月10月11月12月 APAC EMEANA LATAM 数据来源于Nexusguard 07 2024年全球DDoS攻击态势分析 攻击态势 从攻击强度地域分布看，APAC攻击强度远超其他地域。 2022-2024年攻击峰值带宽月度分布（Gbps） 2,505 2,210 1,930 1,930 1,593 1,520 1,2911,301 1,090 999 1,100 1,3301,360 1,1201,083 1,078 1,342 1,190 934 1,258 1,3601,3001,220 1,518 1,213 1,209 1,0701,086 985 1,076 939 1,014 715 814 830 3,189 1月2月 3月4月5月 6月7月 8月9月10月11月12月 2022年 2023年 2024年 数据来源于电信安全&联通数科&中移卓望&Nexusguard&华为 2024年，中国境内每个月均有T级攻击发生，全年最大攻击峰值带宽为1.9Tbps，共发生2次。第一次攻击发生在2月2日00:34:45，电信安全团队监测到攻击者采用SYNFlood、UDPFlood、DNS反射、SSDP反射的混合攻击，攻击持续12分钟，攻击目标IP位于江苏电信网络；第二次攻击发生在11月22日01:41:00，联通数科团队监测到攻击者采用SSDP反射、UDPFlood、UDPMalformed、SYNFlood和ACKFlood的混合攻击，攻击持续10小