中國電信&中國聯通：2023年全球DDoS攻擊態勢分析報告（48頁）.pdf

《中國電信&中國聯通：2023年全球DDoS攻擊態勢分析報告（48頁）.pdf》由會員分享，可在線閱讀，更多相關《中國電信&中國聯通：2023年全球DDoS攻擊態勢分析報告（48頁）.pdf（48頁珍藏版）》請在三個皮匠報告上搜索。

1、中國移動云能力中心、中國移動卓望公司、清華大學、華為聯合發布、Nexusguard2023年全球DDoS攻擊中國電信安全公眾號現狀與趨勢分析天翼安全科技有限公司、聯通數科安全、百度安全、2023年全球DDoS攻擊現狀與趨勢分析目錄目錄關鍵信息摘要 021.1 專家觀點 021.2 DDoS攻擊態勢 021.3 DDoS僵尸網絡態勢 031.4 DDoS攻擊源態勢 031.5 典型攻擊分析 04專家觀點 43現狀與趨勢 052.1 DDoS攻擊態勢 052.1.1 攻擊強度 052.1.2 攻擊頻次 102.1.3 攻擊速度 112.1.4 攻擊復雜度 122.1.5 攻擊發生時段 252.1.

2、6 攻擊持續時間 262.1.7 攻擊持久性 272.1.8 攻擊目標行業分布 272.1.9 攻擊目標地域分布 302.2 DDoS僵尸網絡態勢 312.2.1 僵尸家族分布 312.2.2 C2地域分布 312.3 DDoS攻擊源態勢 332.3.1 肉雞地域分布 332.3.2 肉雞運營商/服務提供商分布 34典型DDoS攻擊分析 353.1 掃段攻擊 353.1.1 掃段攻擊頻次快速增長 353.1.2 低速掃段攻擊難檢測 363.1.3 慣用“短平快”戰術，挑戰防御系統響應速度 363.1.4 攻擊手法復雜，難防御 383.2 DNS攻擊 403.2.1 DNS攻擊頻次快速增長 40

3、3.2.2 DNS攻擊強度迅猛攀升至億次QPS級別 403.2.3 DNS攻擊復雜度再創新高 41數據來源 4501關鍵信息摘要2023年全球DDoS攻擊現狀與趨勢分析觀點1：瞬時泛洪攻擊秒級加速，挑戰防御系統的響應速度。需探索更為高效的檢測和清洗技術。例如設備廠商研制高效隨路檢測路由器，運營商研發端網協同防御技術，以有效縮短TTM（Time to Mitigation）。觀點2：高速加密攻擊挑戰解密防御性能，低速CC攻擊繞過WAF，挑戰防御系統有效性。利用行為分析算法攔截高速CC，機器學習算法精準識別低速CC，分而治之，有效應對復雜攻擊。觀點3：掃段攻擊成為網絡基礎設施面臨的最大威脅，需采取

4、多種措施增強防御。增加網段檢測能力提升攻擊識別精準度，端網協同防御提高多網段攻擊的發現及處置效率，有效應對大規模掃段攻擊。1.1 專家觀點超大規模攻擊異?；钴S。2023年T級攻擊異?；钴S。超800Gbps攻擊共計248次，和2022年基本持平。1月份中國電信安全團隊監測到年度最大包速率攻擊，峰值包速率高達972Mpps；10月份中國電信安全團隊監測到年度最大帶寬攻擊，峰值帶寬高達2.505Tbps。2023年8月，發生互聯網史上最大應用層攻擊，攻擊峰值高達398Mrps1。2023年10月華為監測到最大規模的掃段攻擊，230個C段先后遭受混合攻擊。攻擊頻次繼續呈增長趨勢。2023年攻擊頻次是2

5、022年的1.6倍，是2021年的1.8倍。從全球看，針對APAC的攻擊最活躍，占比88.83%。大流量攻擊持續呈秒級加速態勢，爬升速度再創新高，挑戰防御系統響應速度。大流量攻擊持續加速，爬升至400Gbps-500Gbps區間只需2秒；爬升至800Gbps-1Tbps區間，僅需10秒。攻擊復雜度持續提升，攻擊威脅加劇。HTTP/HTTPS應用層攻擊兩級分化，高速攻擊挑戰WAF解密防御性能，低速攻擊bypass WAF，高速、低速攻擊混合，挑戰防御系統有效性。一方面，HTTP2.0 Rapid Reset漏洞被利用，導致應用層攻擊速率從2022年的千萬級RPS躍遷至2023年的億級RPS，挑戰

6、解密防御性能；另一方面，由數十萬個僵尸發起的低速應用層攻擊日漸常態化，繞過WAF檢測，威脅加劇。1.2 DDoS攻擊態勢01關鍵信息摘要02關鍵信息摘要2023年全球DDoS攻擊現狀與趨勢分析肉雞地域分布：肉雞海外地域分布，按AMER、EMEA、APAC、LATAM統計，占比依次為33.34%、32.17%、30.42%、4.07%；肉雞中國TOP3地域分布為河南、浙江和廣東，占比依次為14.03%、12.67%、9.88%。肉雞運營商/服務提供商分布：中國TOP3肉雞運營商/服務提供商分布依次是電信、聯通和阿里云，占比依次是53.18%、33.19%、6.24%；海外TOP3 DDoS肉雞運

7、營商/服務提供商分布依次是Amazon、KE和Google，占比依次是59.56%、10.88%、5.34%。1.4 DDoS攻擊源態勢僵尸家族分布：DDoS僵尸家族以IoT和Linux為主，按活躍C2數量排名的TOP5僵尸家族分別是Mirai、Gafgyt、Mozi、XorDDoS和Dofloo，占比依次為61.73%、34.24%、2.15%、1.29%、0.58%。僵尸網絡C2地域分布：C2海外按大洲地域分布分別是EMEA、AMER、APAC、LATAM，占比依次為38.88%、34.38%、25.16%、1.59%；C2中國TOP3地域分布為廣東、河南和香港，占比依次為25.81%、2

8、1.46%、15.83%。1.3 DDoS僵尸網絡態勢TOA漏洞被利用，引發TCP四層代理場景的互聯網業務信任風險。為減少自身網絡攻擊威脅，某些無良互聯網企業通過修改DNS記錄，將攻擊流量“零成本”轉移至百度。傳媒和互聯網、政府和公共事業、教育、金融依然是TOP4攻擊目標行業。傳媒和互聯網、政府和公共事業、教育、金融攻擊頻次占比依次為59.88%、11.75%、2.98%、2.85%。能源行業和工業互聯網受攻擊頻次占比連續三年增長。近三年，中國金融行業攻擊頻次呈持續增長趨勢。全球攻擊目標地域分布排序依次為APAC、LATAM、EMEA、AMER，中國TOP3攻擊目標地域分布為吉林、山東和廣東。

9、攻擊目標按大洲分布為APAC、LATAM、EMEA、AMER，占比依次為83.81%、12.51%、2.02%、1.66%；中國TOP3攻擊目標地域分布為吉林、山東和廣東，占比依次為32.80%、9.41%、8.68%。03關鍵信息摘要2023年全球DDoS攻擊現狀與趨勢分析2023年掃段攻擊頻次快速增長，為躲避防御，低速掃段攻擊成為主流，慣用“短平快”戰術，多采用混合攻擊手法。2023下半年，掃段攻擊頻次激增。73.19%的掃段攻擊采用低速掃段，挑戰防御系統檢測算法靈敏度。掃段攻擊慣用“短平快”戰術，挑戰防御系統的響應速度。43.26%的C段攻擊持續時間小于5分鐘；當單個C段攻擊持續時間小于

10、5分鐘時，93.90%的單個目標IP的攻擊持續時間不超過10秒。當采用長周期的高速掃段時，攻擊者會采用典型的“脈沖”攻擊手法。攻擊者通過大規模掃段，挑戰并發主機防御規格。86.96%的掃段攻擊采用混合攻擊手法，提升防御難度。2023年針對DNS服務器的攻擊無論是攻擊復雜度還是攻擊強度均創新高。DNS攻擊峰值QPS從百萬次級別快速提升至億次級別。11月份，百度監測到DNS攻擊流量峰值速率高達572.84Mqps。DNS攻擊手法多樣化。透過遞歸服務器攻擊授權服務器，傳統防御算法失效；某次針對遞歸服務器的NXDomain攻擊，攻擊報文的源IP和目的IP位于同一網段，消耗遞歸服務器性能的同時，產生大量

11、ARP廣播報文。1.5 典型攻擊分析04現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2.1.1 攻擊強度2023年T級攻擊主要聚集在Q1和Q4。2023年10月30日21:15:45，電信安全團隊監測到年度最大帶寬攻擊。攻擊者采用以SSDP反射為主、疊加UDP Flood和ICMP Flood的混合攻擊，攻擊共持續2小時31分鐘，峰值帶寬2.505Tbps，攻擊目標IP位于江蘇電信網絡。2.1 DDoS攻擊態勢2021-2023年攻擊峰值帶寬月度分布（Gbps）數據來源于電信安全&聯通數科&中移云能&中移卓望&Nexusguard&華為2022年2021年2023年6月8月9月10月11

12、月12月7月5月4月3月2月1月7361,0331,301 1,100 8941,2001,2201,8801,2581,2408828302,210 9781,2009981,5181,209 3,1891,014 1,3002,5051,5931,520 9851,3429341,0781,0831,0861,120 8147151,0419991,090 攻擊成本持續降低，導致攻擊規模持續增長。從近年全球記錄的年度最大攻擊來看，單次攻擊的峰值流量帶寬穩定在2.5Tbps-3.5Tbps區間2,3，峰值包速率則穩定在900Mpps-1000Mpps區間。單次掃段攻擊峰值規模維持在200-6

13、00個C段。應用層攻擊的峰值RPS則依然呈現迅速增長趨勢?，F狀與趨勢0205現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析從2023年年度攻擊峰值帶寬和包速率地域分布來看，APAC攻擊強度遠超其他大洲。2023年攻擊峰值帶寬地域分布（Gbps）AMERLATAMEMEAAPAC5922,505 116582數據來源于電信安全&Nexusguard&華為2023年攻擊峰值包速率地域分布（Mpps）AMERLATAMEMEAAPAC544897211數據來源于電信安全&Nexusguard&華為2023年8月份以前，高速應用層攻擊主要利用HTTP2.0 Multiplexing特性發起，攻擊峰

14、值請求速率維持在千萬級RPS4,5。2023年8月，HTTP2.0 Rapid Reset漏洞被發掘，應用層攻擊峰值RPS直接飆升至億次級RPS2（同月，Google云遭受的加密攻擊峰值請求速率高達398Mrps，成為互聯網史上最大應用層攻擊）。超大規模加密攻擊對防御成本構成嚴峻挑戰。全球最大DDoS攻擊趨勢峰值請求速率Mrps峰值包速率Mpps掃段攻擊C段數量峰值帶寬Gbps202020192021202220231610039860017.24623017.42,3003,4703,1892,7952,5058871,02086197206現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析

15、2021-2023年超500Gbps攻擊頻次月度分布數據來源于電信安全&聯通數科&中移云能&中移卓望&Nexusguard&華為2023年2022年2021年1月3月5月2月4月6月7月8月9月10月11月12月372324181161252255170243891654145332880117621666051,2841,5671,4203,663285881963753537567195189992762244163921232023年超500Gbps攻擊共發生3291次，Q1超500Gbps攻擊最活躍，共發生1467次，占全年45%。超800Gbps攻擊全年共計發生248次，略高于202

16、2年的232次。同樣，Q1超800Gbps攻擊最活躍，共計136次，占全年54%。2021-2023年超800Gbps攻擊頻次月度分布數據來源于電信安全&聯通數科&Nexusguard&華為2023年2022年2021年1月3月5月2月4月6月7月8月9月10月11月12月4793175106535751101512327272833614212161227525607現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析數據來源于電信安全&聯通數科&中移云能&中移卓望&Nexusguard&華為2021-2023年攻擊峰值包速率月度分布（Mpps）2021年2022年2023年6月8月9月10月

17、11月12月7月5月4月3月2月1月525448438580475669 473668 470481861446326316 488578 404681 383443687306506 722652349368 463525513502384515 3849734432023年1月27日02:41:45，中國電信安全團隊監測到年度最大包速率攻擊，采用小報文UDP Flood，攻擊共持續2小時44分鐘，峰值包速率972Mpps，攻擊目標IP位于四川電信網絡。2023年月度平均峰值帶寬最大值為121Gbps，首次突破100Gbps。對比歷年年度攻擊平均峰值帶寬，2023年為75Gbps，2022年

18、為56Gbps，2021年為54Gbps，說明攻擊流量強度逐年提升。2021-2023年平均攻擊峰值帶寬月度分布（Gbps）數據來源于電信安全&聯通數科&Nexusguard&中移云能&中移卓望&華為2021年2022年2023年6月8月9月10月11月12月7月5月4月3月2月1月53 121 71 69 6233315664 63 997975 5773 82 84 88 7031574452507762 6045584864436221576508現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2023年月度平均攻擊包速率最大值為21Mpps，出現在2月份。對比歷年年度攻擊平均峰值包速

19、率，2023年為16Mpps，高于2022年的13Mpps和2021年的15Mpps。2021-2023年平均攻擊峰值包速率月度分布（Mpps）數據來源于電信安全&聯通數科&Nexusguard&中移云能&中移卓望&華為1721 1910131719 15 121311121416 151018 1516 131613 818 15 22281514 101791013 1386月8月9月10月11月12月7月5月4月3月2月1月2021年2022年2023年2023年的第二、第三和第四季度相比往年，攻擊流量峰值區間分布發生較大變化。其中第二季度100-200Gbps攻擊異?；钴S，占比高達24

20、.75%，主要原因是該季度針對UDP游戲的UDP Flood攻擊活躍；第三季度，1Gbps攻擊活躍，占比34.47%，是因為該季度中國境內低速掃段攻擊異?；钴S；第四季度，1-5Gbps攻擊占比提升至2021年水平，主要源于低速應用層攻擊快速增長。2021-2023年攻擊流量峰值帶寬區間分布數據來源于華為=500G0.26%0.67%0.88%0.32%1.23%1.54%0.30%0.27%0.36%0.29%0.59%0.62%0.77%1.50%1.05%2.92%0.95%1.46%0.43%0.09%0.62%0.13%0.25%0.21%2021Q12021Q22021Q32021Q

21、42022Q12022Q22022Q32022Q42023Q12023Q22023Q32023Q419.18%33.57%4.51%4.80%10.22%10.43%12.81%2.47%1.08%5.50%29.24%9.59%5.12%15.90%9.46%16.05%5.20%2.75%9.82%30.17%4.91%6.52%14.66%12.11%10.47%4.83%3.73%17.55%20.67%9.15%5.58%17.01%10.75%9.38%6.99%2.35%4.95%11.75%8.13%12.47%23.14%17.24%17.21%3.25%1.22%6.10%

22、18.02%4.98%6.52%19.39%26.03%11.03%4.94%1.79%6.56%22.72%5.76%6.26%13.13%18.40%17.49%5.06%2.35%6.00%13.84%7.60%11.92%19.34%18.09%12.01%5.05%2.18%3.90%14.62%9.39%10.73%24.75%16.91%9.92%4.50%2.87%5.48%16.00%13.09%13.86%13.42%11.03%24.75%1.20%0.65%34.47%15.83%8.54%9.76%10.80%8.20%7.52%2.94%1.18%7.26%26.4

23、3%18.97%15.32%12.68%7.82%5.92%3.75%1.38%09現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析對超100Gbps攻擊進行統計分析發現，UDP反射和UDP Flood是攻擊者發起大流量攻擊的主要手段。2023年超100Gbps網絡層攻擊峰值區間分布Other FloodICMP FloodUDP反射UDP Fragment FloodUDP FloodACK FloodTCP反射SYN Flood700-800Gbps600-700Gbps500-600Gbps400-500Gbps300-400Gbps200-300Gbps100-200Gbps800G

24、bps3.64%1.38%1.05%2.05%3.34%1.62%1.36%0.83%38.44%34.63%6.05%6.05%3.49%7.82%2.13%42.71%35.37%4.47%4.24%2.76%7.19%2.20%44.57%26.86%6.10%6.25%5.05%5.10%4.00%30.09%17.15%9.45%11.63%8.43%10.47%9.45%42.53%17.86%11.04%8.44%8.77%6.17%3.57%55.45%24.09%3.18%2.73%3.64%6.82%2.73%52.89%18.60%21.49%1.24%0.83%4.13

25、%0.00%22.47%22.99%20.68%12.86%7.38%6.94%3.06%數據來源于華為2.1.2 攻擊頻次DDoS攻擊頻次呈持續增長趨勢。2023年攻擊頻次是2022年的1.6倍，2021年的1.8倍。2021-2023年攻擊頻次月度分布數據來源于華為2021年2022年2023年400,000200,000300,000100,000350,000150,000250,00050,00001月3月5月2月4月6月7月8月9月10月11月12月攻擊次數10現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析攻擊頻次按地域分布，APAC攻擊活躍，占比88.83%。APAC掃段攻擊

26、異?；钴S，拉升了APAC攻擊頻次占比。2023年攻擊頻次地域分布APACAMEREMEALATAM6.49%2.61%2.07%88.83%數據來源于Nexusguard2.1.3 攻擊速度大流量攻擊持續秒級加速態勢，爬升速度2023年再創新高。瞬時泛洪攻擊2秒流量即可爬升至近500Gbps，10秒即可爬升至900Gbps-1Tbps區間，挑戰防御系統響應速度。2023年瞬時泛洪攻擊2秒流量即可爬升至近500G數據來源于華為樣本1樣本2樣本4樣本3樣本5樣本6攻擊峰值帶寬Gbps60050040030020010000秒3秒2秒1秒4544813851330179209317216375404

27、42039736333830711現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析T級瞬時泛洪攻擊10秒即可爬升至峰值數據來源于華為2021年2022年2023年攻擊峰值帶寬Gbps0秒50秒40秒30秒20秒10秒1200100080060040020009239639659619617516816819682.1.4 攻擊復雜度1.網絡攻擊類型分布近三年，UDP Flood、UDP反射、SYN Flood、ACK Flood、UDP分片均維持TOP5網絡層攻擊類型。2023年UDP Flood頻次明顯快速增長，占比提升至40.80%。UDP Flood頻次提升原因主要有兩個，一方面針對T

28、CP業務采用低成本的UDP Flood擠占帶寬一直是攻擊者優選；另外一方面，針對UDP游戲的UDP Flood難防御，因此備受攻擊者青睞。2021-2023年網絡層攻擊類型分布數據來源于華為2022年2023年2021年UDP FloodUDP ReflectionSYN FloodACK FloodUDP Fragment FloodTCP ReflectionTCP Connection FloodICMP FloodFIN/RST FloodTCP Fragment Flood14.34%23.56%11.16%2.39%1.63%2.97%0.41%0.41%1.09%3.06%4.7

29、2%1.50%2.48%0.58%0.39%3.15%4.86%6.56%5.81%3.82%8.24%14.53%26.45%30.30%14.58%18.10%14.00%40.80%21.63%16.49%12現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析近三年ACK Flood占比持續保持高位的原因是針對TCP游戲的網絡層CC攻擊效果明顯，防御困難，網絡層CC一直被作為攻擊TCP游戲服務器的殺手锏。TOP5 UDP反射中，2023年DNS反射呈快速增長態勢，占比從2022年的5.62%提升至45.15%；SSDP反射占比連續三年恒定；NTP反射占比處于減少態勢，從2022年的58.

30、51%減少至18.24%。2021-2023年TOP5 UDP反射類型分布數據來源于電信安全&聯通數科&中移云能&中移卓望&Nexusguard&華為2022年2023年2021年CLDAPMemcachedNTPSSDPDNS26.23%26.14%28.41%58.51%41.19%18.24%7.33%3.85%3.49%9.53%3.04%3.60%45.15%5.62%19.66%2023年，TOP10 TCP反射端口新增58000和30010。其中58000是某品牌光貓的配置端口，30010是vsftp服務端口。利用58000和30010端口的反射攻擊2022年就已經出現，但整體占

31、比較小，2023年開始活躍。電信安全監測到的2023年11月份針對ChatGPT的DDoS攻擊事件，以TCP反射為主，TOP4反射源端口就包括30010和58000。2021-2023年典型TCP反射攻擊源端口分布數據來源于華為8044368919007547213306506030010144322235317235800033890%20%50%80%10%40%70%30%60%90%100%2021年2022年2023年15.74%37.59%6.73%6.67%3.18%5.91%22.16%0.23%0.21%0.12%1.46%27.95%7.29%11.77%6.29%2.67

32、%6.43%6.38%3.16%26.35%1.71%30.30%8.65%1.56%11.01%6.00%0.90%7.79%2.35%4.46%7.41%5.43%3.53%5.24%3.45%1.91%13現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2.應用層攻擊類型分布2023年，加密攻擊占比快速提升至63.65%，防御難度大幅度增加。2021-2023年應用層攻擊類型分布數據來源于華為2022年2023年2021年HTTP FloodHTTP異常會話TLS異常會話HTTPS Flood20.15%32.55%49.06%7.39%20.81%9.43%23.98%6.60%8.

33、81%34.91%22.66%63.65%3.攻擊矢量分布2023年混合攻擊占比較2022年有所降低，占比53.75%，但仍然是主流。單一攻擊占比提升的主要原因是2023年掃段攻擊頻發，導致大量IP無辜“躺槍”。2021-2023年攻擊矢量分布數據來源于聯通數科&Nexusguard&華為2022年2023年2021年1 Vector2 Vectors3 Vectors4 Vectors=5 Vectors46.25%36.53%16.91%4.97%17.25%19.53%2.15%9.14%13.58%13.29%6.32%0.77%30.76%36.69%45.87%14現狀與趨勢202

34、3年全球DDoS攻擊現狀與趨勢分析4.HTTP/HTTPS應用層攻擊兩級分化HTTP/HTTPS應用層攻擊兩級分化，高速攻擊挑戰WAF解密防御性能，低速攻擊bypass WAF，高速、低速攻擊混合，挑戰防御成功率。高速HTTP/HTTPS應用層攻擊挑戰WAF性能攻擊目標服務器高速HTTP/HTTPS應用層攻擊強度一般在千萬級甚至億次級RPS，一次攻擊事件使用的肉雞數量在5,000-30,000之間，肉雞多為高性能的服務器或云主機，單個肉雞的攻擊速率約2,000-10,000rps，攻擊多采用HTTP1.1 pipelining、HTTP2.0 multiplexing甚至HTTP2.0 Rap

35、id Reset手法。2023年2月，Cloudflare緩解的攻擊峰值速率為71Mrps的加密攻擊就屬于典型的高速應用層攻擊。攻擊采用HTTP2.0 multiplexing攻擊手法，共30,000個肉雞參與攻擊，平均每個肉雞請求速率是2,367rps4。HTTP協議從1.0開始先后演進至1.1和2.0，HTTP傳輸速度不斷提升，應用層攻擊速率亦得以快速攀升6。跟隨HTTP協議演進，應用層攻擊速率持續攀升HTTP1.0 attackHTTP1.1 pipelining attackHTTP2.0 multiplexing attackHTTP2.0 rapid reset attackBot

36、ServerRequest RstClose connectionBotServerRequest6Request5Request7Request1Request2Request3Response3Response2Response1Close connectionBotServerRequestRequestResponseResponseClose connectionBotServerRequestRequestResponseResponseClose connectionClose connection15現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析為了提升HTTP傳輸效率，H

37、TTP1.1通過pipelining特性允許客戶端通過單個TCP連接發送多個HTTP請求。當HTTP1.1 pipelining被用于發起攻擊時，肉雞在一個會話上可發起近百次請求。當請求速率較快時，形成Multiple Methods攻擊效果。HTTP2.0 multiplexing攻擊分析當HTTP1.1演進至HTTP2.0時，通過Multiplexing發起攻擊時，肉雞在一個TCP會話可發送100-500個HTTP請求。借助HTTP1.1 pipelining特性，2022年8月，加密攻擊峰值速率達到46Mrps5，成為互聯網史上最大應用層攻擊。隨著HTTP2.0普及，攻擊再次提速。202

38、3年2月，HTTP2.0 multiplexing被利用，互聯網史上最大應用層攻擊記錄被刷新至71Mrps4。2023年8月，HTTP2.0 Rapid Reset漏洞被利用，互聯網史上最大應用層攻擊記錄再次被刷新至驚人的398Mrps1。HTTP1.0攻擊分析HTTP1.0攻擊抓包利用HTTP1.0發起攻擊時，肉雞在一個TCP會話只能發一次HTTP請求。HTTP1.1 pipelining攻擊分析HTTP1.1 pipelining攻擊抓包16現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析HTTP2.0攻擊抓包對本次HTTP2.0攻擊抓包進行分析發現，一個肉雞最多一個會話發送105個請求

39、報文，誘發服務器回應512個應答報文，說明肉雞在一個會話上發送了512個HTTP2.0請求。實驗室模擬攻擊抓包顯示，在一個會話上快速發送HTTP2.0請求時，多個請求會直接合并到一個HTTP報文進行發送，形成Multiple Methods攻擊效果。模擬HTTP2.0攻擊抓包17現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析 HTTP2.0 Rapid Reset攻擊分析為了防止HTTP2.0被利用形成高速應用層攻擊，HTTP2.0協議通過SETTINGS_MAX_CONCURRENT_STREAMS限制一個會話上最大請求數量。2023年10月10日，Rapid Reset漏洞被公布7：攻

40、擊者每發送一個HTTP2.0請求，隨即發送一個RST_STREAM報文，可突破SETTINGS_MAX_CONCURRENT_STREAMS限制，一個會話上最多可發起上千次請求。實驗室模擬攻擊，將SETTINGS_MAX_CONCURRENT_STREAMS設置為2，則一個會話上請求次數超過2時，服務器會回應RST_STREAM，同時丟棄多余請求。模擬HTTP2.0攻擊抓包，未利用Rapid Reset漏洞時，攻擊速率受SETTINGS_MAX_CONCURRENT_STREAMS限制在保持SETTINGS_MAX_CONCURRENT_STREAMS設置為2不變時，當利用Rapid Rese

41、t漏洞發送攻擊時，服務器不再回應RST_STREAM，攻擊速率大幅度提升。模擬HTTP2.0 Rapid Reset攻擊抓包18現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析低速HTTP/HTTPS應用層攻擊強度大多在百萬級RPS甚至更低，一次攻擊事件使用的肉雞數量在100,000-250,000之間，肉雞多為低性能的IoT終端，單個肉雞的攻擊速率普遍在幾十RPS甚至更低。2023年12月25日，百度某業務系統遭受HTTPS Flood攻擊，攻擊峰值速率480,000rps，共采用24萬個肉雞，平均每個肉雞請求速率僅2rps。本次攻擊即屬于典型的低速應用層攻擊。低速應用層攻擊中，肉雞的請求

42、速率落在業務訪問速率區間，甚至遠低于正常業務請求速率，導致源速率檢測失效，躲避能力更強，因此這類攻擊也被稱為bypass WAF attacks。為了達到更好的攻擊效果，低速攻擊時，攻擊目標URL多是經過精心挑選的、可消耗服務器更多資源，包括消耗網絡outbound帶寬的大資源URL或消耗更多計算資源的查詢URL。利用“秒撥”動態IP技術發起的低速TLS加密攻擊分析2023年11月份，某金融企業遭受持續性加密攻擊，攻擊采用“秒撥”技術，單個攻擊源請求速率低，防御難度大。攻擊目標是門戶網站，攻擊手法屬于典型的大資源請求模式，以很少的請求報文獲得大量的回應報文，導致企業網絡鏈路出向帶寬擁塞，進而影

43、響到所有互聯網業務訪問。低速HTTP/HTTPS應用層攻擊Bypass WAF攻擊目標服務器19現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析利用秒撥發起的TLS加密攻擊抓包“秒撥”攻擊技術本質上是利用運營商家庭寬帶撥號上網業務允許同一個MAC地址短時間內撥號可更換不同IP地址的漏洞，攻擊機每一次斷線重連會獲取一個新的攻擊IP，攻擊呈現出超低速態勢，防御困難。一次秒撥攻擊抓包利用“秒撥”發起的攻擊難防御的原因在于：運營商家庭寬帶NAT地址池IP數量龐大，“秒撥”攻擊機可通過不斷的斷線重連，輕松“輪換使用”運營商整個城域網NAT地址池中的IP，讓百萬量級的撥號上網IP地址淪為“肉雞”。本次針

44、對金融企業的攻擊同時使用了9個城域網的家庭寬帶NAT地址池。攻擊中，秒撥機和服務器建立連接后，發起一次請求，隨即斷開連接，再次攻擊時則換成另外一個IP。從攻擊目標服務器來看，每個源IP只請求一次，比正常用戶的請求速率還慢，攻擊識別困難。且“秒撥”攻擊機IP和正常用戶IP屬于同一個NAT地址池，一次“秒撥”攻擊結束后，“秒撥”攻擊機使用的IP資源會流轉到正常用戶手中，導致“秒撥”攻擊機IP和正常用戶IP無法區分，防御容易影響正常用戶訪問。20現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析 利用不常用Method發起的低速HTTP攻擊分析利用不常用Method請求發起的低速攻擊抓包2023年5

45、月13日，針對某運營商門戶網站的攻擊中，一個攻擊源一秒建立一個會話，一個會話上僅發送一次145字節的HEAD請求，而服務器返回的內容是請求報文的幾百倍。利用服務器的“防呆”功能發起的低速HTTP攻擊分析利用服務器的“防呆”功能發起的低速攻擊抓包門戶網站一般具備一定的“防呆”功能，以容錯互聯網用戶的輸入性錯誤。2023年2月27日，某金融企業門戶網站遭受低速HTTP Flood攻擊。從攻擊抓包截圖可看到，攻擊者利用門戶網站對根目錄的“防呆”功能，發起低速攻擊，攻擊者期望以此躲避安全系統的內容過濾。21現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析 報文分段以躲避安全系統的內容過濾2023年3

46、月5日，某金融企業門戶網站遭受低速HTTP Flood攻擊。一個完整的HTTP請求報文被拆分成幾十個報文進行傳輸，如果安全系統支持對報文進行重組，則消耗安全系統性能；如果不重組，則該種攻擊模式可躲過安全系統的內容過濾。報文分段以躲避安全系統的內容過濾的攻擊抓包如果把如上報文進行重組，則完整的HTTP報文頭內容如下圖所示：GET/api/feedback/index/environment/variable?random=0.40249836870292444 HTTP/1.1Host:User-Agent:Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleW

47、ebKit/537.36(KHTML,like Gecko)Chrome/109.0.0.0 Safari/537.36Accept:application/json,text/javascript,*/*;q=0.01Accept-Encoding:gzip,deflateAccept-Language:zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7Connection:closeContent-Type:application/jsonReferer:http:/ Option Address）獲取用戶原始IP，但TOA由于缺乏嚴格的校驗機制，便于偽造，從而引發TC

48、P四層代理業務場景的互聯網業務信任風險。2023年12月初，TCP四層代理機制TOA（TCP Option Address）漏洞被披露8，12月13日，華為云監測到利用TOA漏洞的攻擊報文。22現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析利用TOA漏洞的攻擊抓包場景2是攻擊者利用TOA偽裝成“仇家”IP，對數據中心服務器資源不停濫用，比如打CC攻擊，導致該IP被安全設備加入到黑名單，當“仇家”訪問數據中心資源時被安全設備直接攔截。在該利用TOA漏洞的攻擊報文中，偽造的原始IP地址是5.5.5.5。TOA漏洞被利用形成攻擊威脅的場景主要有兩種。場景1是攻擊者把TOA偽造成數據中心經常使用的

49、白名單，實現越權訪問的目的。場景1：TOA偽裝成白名單，越權訪問報文TOA冒用白名單越過安全設備訪問控制攻擊者服務器23現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2023年，百度數據中心多次被迫成為“公共清洗池”。當某些互聯網業務成為持續性攻擊目標時，被攻擊的互聯網企業為減少損失，通過更改DNS記錄將被攻擊域名解析到百度，攻擊流量被“轉移”至 百度。6.通過修改DNS記錄，零成本“轉移”攻擊危害通過修改DNS記錄，零成本“轉移”攻擊危害231場景2：TOA偽裝成“仇家”IP，實現攻擊栽贓攻擊者服務器報文TOA冒用1.1.1.1，濫用資源，導致1.1.1.1被安全設備拉黑1.1.1.12

50、4現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2.1.5 攻擊發生時段2023年攻擊發生時間段和往年一樣，為達到以最低的攻擊成本實現最大化的攻擊效果，攻擊發生時間和互聯網用戶的作息時間保持一致。2023年攻擊發生時段分布數據來源于電信安全300G200-300G50-100G5-10G1-5G1G10-20G20-50G100-200G23222120191817161514131211109876543210攻擊頻次周天分布顯示，攻擊一周內分布較均勻。2023年攻擊頻次周天分布數據來源于電信安全&中移云能&中移卓望&華為周一周二周三周四周五周六周日25現狀與趨勢2023年全球DDoS攻

51、擊現狀與趨勢分析對比近三年應用層攻擊持續時間可發現，持續10-30分鐘的應用層攻擊占比持續提升。說明應用層攻擊成本持續降低，為了提升攻擊目標的攻擊損失或提升防御成本，攻擊者普遍采取延長攻擊時長的做法。2021-2023年應用層攻擊持續時間分布數據來源于電信安全&Nexusguard&華為2022年2023年2021年12小時29.63%67.66%40.49%26.67%29.20%11.67%19.27%11.76%29.54%6.73%4.05%3.81%4.72%6.58%4.41%1.47%0.85%0.38%2.1.6 攻擊持續時間2023年，56.25%的網絡層攻擊持續時間不超過5

52、分鐘，可見“瞬時泛洪”依然是網絡層攻擊的一大特點，瞬時泛洪攻擊挑戰防御系統的自動化程度和運維團隊的響應速度。2021-2023年網絡層攻擊持續時間分布數據來源于電信安全&Nexusguard&華為2022年2023年2021年12小時56.25%43.03%57.40%22.64%14.65%19.39%18.50%19.30%14.68%3.76%4.13%8.07%9.01%2.29%4.61%0.71%0.38%1.21%26現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2.1.7 攻擊持久性2023年，遭受過一次攻擊的IP數量占比提升至49.49%，主要源于掃段攻擊活躍，很多IP不

53、幸“躺槍”。2021-2023年攻擊持久性分布數據來源于電信安全&聯通數科&華為2022年2023年2021年1次2-5次5-10次10-50次50-100次100次以上30.07%38.62%36.14%1.42%2.00%1.81%1.16%1.46%1.88%8.38%12.34%12.03%9.49%11.26%14.49%49.49%34.08%33.90%2.1.8 攻擊目標行業分布2023年，傳媒和互聯網、政府和公共事業、教育、金融依然是TOP4攻擊目標行業，攻擊頻次占比依次為59.88%、11.75%、2.98%、2.85%。2023年行業攻擊頻次分布數據來源于聯通數科傳媒和互

54、聯網政府和公共事業教育金融醫療衛生生態環境文化旅游能源工業互聯網交通其他59.88%11.75%19.26%2.98%2.85%1.74%0.72%0.43%0.70%0.11%1.31%27現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2021-2023年中國金融行業攻擊頻次月度分布顯示，中國金融行業攻擊頻次呈持續增長趨勢，2023年全年共發生4,924次攻擊，是2022年的1.23倍，2021年的4.79倍。2021-2023年中國金融行業攻擊頻次月度分布數據來源于聯通數科2023年2022年2021年1月3月5月2月4月6月7月8月9月10月11月12月143294239624823

55、321724133503948620583201273734724127046434465659549253703178139658538577169134892552021-2023年行業攻擊頻次分布顯示，能源行業和工業互聯網受攻擊頻次占比連續三年增長；其他企業受攻擊頻次占比上升明顯，說明DDoS攻擊已遍布各個行業。2021-2023年行業攻擊頻次趨勢分布數據來源于聯通數科2022年2023年2021年傳媒和互聯網生態環境教育金融文化旅游醫療衛生其他能源交通政府和公共事業工業互聯網78.02%51.57%59.88%5.31%18.90%11.75%1.74%5.48%3.87%2.85%0

56、.33%2.83%1.31%0.72%0.38%6.30%0.11%0.13%0.03%4.22%12.31%17.52%0.43%0.22%0.14%0.70%0.18%0.01%2.98%9.62%0.17%28現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2021-2023年行業最大攻擊峰值帶寬分布顯示，競爭激烈的傳媒與互聯網行業受攻擊強度遠大于其他行業，最大攻擊峰值帶寬維持在T級；金融行業受攻擊強度一直居高不下，近兩年攻擊峰值帶寬均超過100Gbps，遠超金融數據中心實際網絡鏈路帶寬。2021-2023年行業攻擊強度分布（Gbps）數據來源于電信安全&聯通數科&華為2022年峰值2

57、023年峰值2021年峰值傳媒和互聯網政府和公共事業教育能源醫療衛生交通行業生態環境文化旅游其他金融工業互聯網2,505 3,1891,880116 196 58 2 93 12 35 222 275 43 8 22 21351 361 1 1 2023年中國金融行業遭受的最大攻擊峰值帶寬為116Gbps，發生在11月，采用混合攻擊，主要包括NTP反射、DNS反射和UDP Flood，攻擊持續19分鐘，攻擊目標是門戶網站。2021-2023年中國金融行業攻擊峰值帶寬月度分布（Gbps）數據來源于聯通數科2023年2022年2021年1月3月5月2月4月6月7月8月9月10月11月12月223

58、7352121 22 492958 54 19 196 116124 1 14 371 321 24 29現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2023年，中國TOP3攻擊目標地域分布為吉林、山東和廣東。和2022年相比，攻擊目標中國地域分布突變源于掃段攻擊在某些地域較聚集。2022-2023年攻擊目標中國地域分布數據來源于電信安全&聯通數科&華為吉林山東廣東北京江蘇浙江香港上海湖北遼寧四川湖南福建河北陜西天津黑龍江重慶內蒙古云南廣西西藏安徽山西新疆江西海南寧夏甘肅青海貴州河南32.80%0.37%6.57%11.30%3.33%2.59%8.68%8.59%4.12%3.27%2

59、.26%3.41%9.41%12.41%6.23%16.92%2.28%2.89%6.58%4.62%3.77%3.23%2.07%1.18%1.72%4.64%1.36%2.69%1.03%2.03%0.68%0.78%0.47%0.45%0.39%1.06%0.29%0.33%0.27%0.55%0.18%0.28%0.04%0.14%1.59%2.36%0.88%4.69%0.59%4.22%0.39%0.73%1.37%1.08%0.28%0.42%0.23%2.09%0.08%0.19%0.04%0.38%0.02%0.09%2022年2023年2.1.9 攻擊目標地域分布2023年

60、攻擊目標大洲分布顯示，攻擊目標主要集中在APAC，占比83.81%。主要源于APAC大部分地域帶寬資源較昂貴，掃段攻擊威脅聚集，直接拉升了APAC攻擊目標地域占比。2023年攻擊目標大洲分布AMERLATAMAPACEMEA12.51%83.81%2.02%1.66%數據來源于Nexusguard30現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2.2.1 僵尸家族分布DDoS僵尸家族以IoT和Linux為主。2023年，按活躍C2數量排名的TOP5僵尸家族分別是Mirai、Gafgyt、Mozi、XorDDoS和Dofloo，其中Mirai、Gafgyt和Mozi是典型的IoT僵尸網絡，

61、而XorDDoS和Dofloo是典型的Linux僵尸網絡。2.2 DDoS僵尸網絡態勢2023年DDoS僵尸家族TOP5分布MiraiGafgytMoziXorDDosDofloo61.73%34.24%2.15%1.29%0.58%數據來源于百度安全&華為需要說明的是Mozi僵尸網絡從2023年8月份開始，活躍度陡然下降，疑似Mozi作者在執法部門的要求下發布了“自殺開關”9。2.2.2 C2地域分布2023年DDoS僵尸網絡C2海外地域分布顯示，除LATAM外，C2在EMEA、AMER和APAC分布較均勻。2023年DDoS僵尸網絡C2海外地域分布數據來源于百度安全&華為LATAMAMER

62、EMEAAPAC25.16%38.88%1.59%34.38%31現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2023年，DDoS僵尸網絡C2中國TOP3地域分布依次為廣東、河南和香港。2023年DDoS僵尸網絡C2中國地域分布數據來源于百度安全&華為廣東河南香港山東江蘇浙江臺灣湖南遼寧山西江西湖北福建上海廣西四川黑龍江河北安徽吉林重慶海南新疆北京云南內蒙古天津甘肅貴州澳門青海陜西25.81%21.46%15.83%6.91%5.85%5.55%3.92%2.24%2.05%1.12%1.07%1.04%1.02%0.90%0.84%0.77%0.65%0.55%0.53%0.46%0.

63、29%0.26%0.25%0.24%0.16%0.07%0.06%0.04%0.03%0.02%0.01%0.01%32現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2.3.1 肉雞地域分布2023年，DDoS肉雞海外地域分布顯示，除LATAM外，肉雞在AMER、EMEA和APAC分布較均勻。2.3 DDoS攻擊源態勢2023年DDoS肉雞海外地域分布數據來源于百度安全&華為LATAMEMEAAMERAPAC30.42%32.17%33.34%4.07%肉雞中國TOP3地域分布為河南、浙江和廣東。2023年DDoS肉雞中國地區分布數據來源于百度安全&華為河南浙江廣東江蘇香港遼寧山東四川臺灣

64、上海湖北山西湖南河北福建安徽云南江西黑龍江廣西海南吉林陜西貴州內蒙古新疆甘肅寧夏青海澳門西藏14.03%12.67%9.88%8.99%8.39%5.52%4.46%3.24%3.23%2.96%2.94%2.82%2.55%2.50%2.48%2.12%1.99%1.67%1.47%1.22%1.11%0.82%0.75%0.63%0.62%0.35%0.17%0.16%0.15%0.07%0.04%33現狀與趨勢2023年全球DDoS攻擊現狀與趨勢分析2.3.2 肉雞運營商/服務提供商分布DDoS肉雞中國TOP5運營商/服務提供商分布依次為中國電信、中國聯通、阿里云、中國移動和騰訊云。20

65、23年DDoS肉雞中國TOP5運營商分布中國移動中國聯通中國電信阿里云騰訊云53.18%6.24%5.90%1.49%33.19%數據來源于百度安全&華為DDoS肉雞海外TOP3運營商分布依次為Amazon、KE和Google。公有云肉雞分布占比較高，說明公有云提供商聚焦云基礎設施安全，公有云和租戶對云主機自身安全性投入不足。2023年DDoS肉雞海外TOP10運營商分布AmazonLLCKEBSNLGoogleOVHNTTHetznerMicrosoftCloudflare59.56%10.88%5.34%5.24%4.62%3.72%3.37%2.72%2.36%2.18%數據來源于百度安

66、全&華為34典型 DDoS 攻擊分析2023年全球DDoS攻擊現狀與趨勢分析典型DDoS攻擊分析03掃段攻擊威脅范圍廣，成為攻擊網絡基礎設施的慣用手段。3.1.1 掃段攻擊頻次快速增長2023年H2，掃段攻擊頻次激增。3.1 掃段攻擊掃段攻擊頻次快速增長數據來源于電信安全2023年12月2023年6月2022年12月2023年9月2023年3月2022年9月2023年11月2023年5月2022年11月2023年8月2023年2月2022年8月2023年10月2023年4月2022年10月2023年7月2023年1月2022年7月2022年2月2022年4月2022年6月2022年1月2022

67、年3月2022年5月35典型 DDoS 攻擊分析2023年全球DDoS攻擊現狀與趨勢分析掃段攻擊中，43.26%的C段攻擊持續時間小于5分鐘，挑戰防御系統的響應速度。3.1.2 低速掃段攻擊難檢測低速掃段攻擊單IP流量低，無法觸發主機檢測閾值，躲避能力強。2023年低速&高速掃段攻擊分布數據來源于聯通數科&華為高速低速73.19%26.81%2023年，73.19%的掃段攻擊呈現低速態勢，挑戰傳統檢測算法有效性。3.1.3 慣用“短平快”戰術，挑戰防御系統響應速度2023年單個C段攻擊持續時間分布數據來源于聯通數科&華為30-60分鐘5-10分鐘12小時1-12小時14.85%22.54%43

68、.26%0.02%11.69%7.64%36典型 DDoS 攻擊分析2023年全球DDoS攻擊現狀與趨勢分析2023年掃段攻擊單個目標IP攻擊持續時間分布3秒5秒10秒其他43.40%33.20%17.30%6.10%數據來源于百度當一個C段攻擊持續時間小于5分鐘時，93.90%的單個目標IP的攻擊持續時間不超過10秒，即使基于主機防御的抗D系統能檢測到攻擊，檢測時延、引流時延也會造成大量攻擊報文漏防。當針對單個C段的攻擊持續時間較長且采用高速掃段時，攻擊者會結合“脈沖”攻擊手法，就單個目標IP而言，攻擊呈現出典型的“脈沖”特點，挑戰傳統主機防御系統的響應速度。典型高速掃段攻擊單個攻擊目標IP

69、流量呈現“脈沖”波形攻擊流量峰值帶寬Gbps13:10:0012:10:0014:10:0011:40:0013:40:0012:40:0014:40:0011:10:0011:25:0013:25:0012:25:0014:25:0011:55:0013:55:0012:55:0014:55:0015:55:0018:10:0017:10:0015:25:0016:55:0016:10:0015:10:0017:25:0016:25:0015:40:0017:40:0016:40:0018:25:0017:55:00453525154030201050數據來源于華為37典型 DDoS 攻擊分

70、析2023年全球DDoS攻擊現狀與趨勢分析86.96%的掃段攻擊采用混合攻擊手法，即一次攻擊事件采用多種攻擊類型，提升防御難度。2.采用混合攻擊手法，提升防御難度2023年掃段攻擊矢量分布數據來源于聯通數科&華為混合單一13.04%86.96%3.1.4 攻擊手法復雜，難防御1.大規模掃段，挑戰并發防御規格大規模掃段攻擊發生時，每分鐘多個C段被同時攻擊，當采用傳統的主機防御時，并發防御規格不足。典型大規模掃段攻擊每分鐘被攻擊網段數量數據來源于聯通數科&華為1814106161284202023/10/13 23:452023/10/13 23:492023/10/13 23:532023/10

71、/13 23:572023/10/14 0:012023/10/14 0:052023/10/14 0:092023/10/14 0:132023/10/14 0:172023/10/14 0:212023/10/14 0:252023/10/14 0:292023/10/14 0:332023/10/14 0:372023/10/13 23:472023/10/13 23:512023/10/13 23:552023/10/13 23:592023/10/14 0:032023/10/14 0:072023/10/14 0:112023/10/14 0:152023/10/14 0:1920

72、23/10/14 0:232023/10/14 0:272023/10/14 0:312023/10/14 0:352023/10/14 0:392023/10/13 23:462023/10/13 23:502023/10/13 23:542023/10/13 23:582023/10/14 0:022023/10/14 0:062023/10/14 0:102023/10/14 0:142023/10/14 0:182023/10/14 0:222023/10/14 0:262023/10/14 0:302023/10/14 0:342023/10/14 0:382023/10/13 23

73、:482023/10/13 23:522023/10/13 23:562023/10/14 0:002023/10/14 0:042023/10/14 0:082023/10/14 0:122023/10/14 0:162023/10/14 0:202023/10/14 0:242023/10/14 0:282023/10/14 0:322023/10/14 0:362023/10/14 0:402023/10/14 0:4138典型 DDoS 攻擊分析2023年全球DDoS攻擊現狀與趨勢分析攻擊者通過使用反射攻擊提升掃段攻擊對被攻擊企業的帶寬擁塞威脅，通過使用虛假源泛洪攻擊加大防御系統的防御

74、難度。2023年掃段攻擊類型分布數據來源于聯通數科&華為SYN FloodUDP ReflectionACK FloodUDP FloodTCP ReflectionICMP Flood24.84%25.23%35.15%2.31%9.94%2.54%39典型 DDoS 攻擊分析2023年全球DDoS攻擊現狀與趨勢分析3.2.1 DNS攻擊頻次快速增長DNS作為重要的網絡基礎設施，是DDoS攻擊重要目標。對比近三年DNS攻擊頻次統計數據發現，2022年8月開始，針對DNS的攻擊開始活躍，2022年10月達到頂峰，2023年3月份開始攻擊活躍度有所下降，但相比2021年，2023全年依然處于活躍

75、態勢。3.2 DNS攻擊2021-2023年DNS攻擊頻次趨勢數據來源于電信安全&百度安全2021年1月2021年2月2021年3月2021年4月2021年5月2021年6月2021年7月2021年8月2021年9月2021年10月2021年11月2021年12月2022年1月2023年1月2022年2月2023年2月2022年3月2023年3月2022年4月2023年4月2022年5月2023年5月2022年6月2023年6月2022年7月2023年7月2022年8月2023年8月2022年9月2023年9月2022年10月2023年10月2022年11月2023年11月2022年12月20

76、23年12月3.2.2 DNS攻擊強度迅猛攀升至億次QPS級別2023年DNS攻擊峰值QPS從百萬次級別快速提升至億次級別。2023年11月份，百度監測到攻擊流量峰值速率是572.84Mqps，攻擊威脅攀升。2021-2023年DNS攻擊峰值QPS趨勢（Mqps）數據來源于電信安全&百度安全2021年1月2021年2月2021年3月2021年4月2021年5月2021年6月2021年7月2021年8月2021年9月2021年10月2021年11月2021年12月2022年1月2023年1月2022年2月2023年2月2022年3月2023年3月2022年4月2023年4月2022年5月2023

77、年5月2022年6月2023年6月2022年7月2023年7月2022年8月2023年8月2022年9月2023年9月2022年10月2023年10月2022年11月2023年11月2022年12月2023年12月572.84 40典型 DDoS 攻擊分析2023年全球DDoS攻擊現狀與趨勢分析2023年11月3日，華為監測到東歐某國DNS權威服務器遭受大規模NXDomain攻擊，超80%的攻擊流量通過DNS遞歸服務器發起，導致傳統防御算法失效。攻擊抓包如下圖所示：透過遞歸服務器攻擊權威服務器的攻擊抓包3.2.3 DNS攻擊復雜度再創新高1.攻擊透過遞歸服務器攻擊權威服務器透過遞歸服務器攻擊權

78、威服務器DNS遞歸服務器僵尸網絡DNS權威服務器攻擊目標41典型 DDoS 攻擊分析2023年全球DDoS攻擊現狀與趨勢分析2023年7月初，華為監測到國內某運營商DNS遞歸服務器連續遭受DNS Query Flood攻擊，攻擊報文源IP和目的IP位于同一網段。遞歸服務器短時間內收到大量固定域名請求及NXDomain請求，消耗服務器性能；DNS請求報文的源IP和目的IP位于同一網段，引發大量ARP廣播報文；NXDomain攻擊導致遞歸服務器短時間內產生大量遞歸查詢請求。攻擊抓包如下圖所示：源IP和目的IP位于同一網段的NXDomain攻擊抓包2.用源IP和目的IP位于同一網段的請求報文攻擊遞歸

79、服務器源IP和目的IP位于同一網段的NXDomain攻擊僵尸網絡DNS遞歸服務器攻擊目標上級DNS遞歸服務器DNS請求報文源IP和目的IP位于同一網段1ARP廣播報文2遞歸查詢342專家觀點2023年全球DDoS攻擊現狀與趨勢分析觀點1：瞬時泛洪攻擊秒級加速，挑戰防御系統的響應速度。需探索更為高效的檢測和清洗技術。例如設備廠商研制高效隨路檢測路由器，運營商研發端網協同防御技術，以有效縮短TTM（Time to Mitigation）。瞬時泛洪攻擊的規模和復雜性逐年增加，其秒級加速的特性對基于傳統Flow檢測的防御系統構成了重大挑戰，Flow檢測延遲直接導致TTM大于1分鐘，不僅增加了網絡的脆弱

80、性，而且在攻擊達到峰值前，防御系統很難采取有效措施，從而導致服務中斷等安全風險。為解決這類攻擊問題，一種可行的解決方案是引入路由器隨路檢測技術。通過在路由器上基于包檢測機制，可秒級發現異常流量。在算力及存儲資源有限的情況下，設計高效的流量統計分析算法，以應對大規模攻擊流量的檢測和清洗時效性需求。為有效縮短TTM，除了在骨干網中部署隨路檢測路由器外，還可以采用端網協同技術。結合企業網絡端點設備的細粒度數據反饋、網絡設備的實時監控和處置能力，為瞬時泛洪攻擊提供全面的處置視角。通過多源數據集成和多方協同，提高對大規模突發流量的識別精度和速度，實現瞬時泛洪攻擊的秒級響應。觀點2：高速加密攻擊挑戰解密防

81、御性能，低速CC攻擊繞過WAF，挑戰防御系統有效性。利用行為分析算法攔截高速CC，機器學習算法精準識別低速CC，分而治之，有效應對復雜攻擊。日趨復雜的應用層CC攻擊已經成為防御系統面臨的一項嚴峻挑戰，目前CC攻擊分化為兩大方向：高速攻擊對解密防御性能提出了巨大挑戰，而低速攻擊則躲避檢測能力強對防御系統的有效性構成了嚴重威脅。高速攻擊通常利用高性能服務器或云主機構建的僵尸網絡，基于HTTP協議的高速傳輸實現千萬級甚至億次級RPS攻擊速率；而低速攻擊則利用現有防御系統的算法漏洞，繞過源速率檢測或內容過濾，對目標系統發動持續性攻擊，耗盡目標資源。在防御資源有限的情況下，傳統的防御方法難以有效識別這兩

82、類攻擊。學術界和工業界的廣泛嘗試已經表明，行為分析算法能夠在不解密的情況下識別高速攻擊，而機器學習算法則顯示出對低速攻擊的精準識別能力。綜合應用這兩種算法有望有效地應對復雜CC攻擊。強對抗型CC攻擊威脅不斷升級，迫切需要研究軟硬件結合的新型防御設備，以及如何將新的防御方法應用到現有的防御系統中，確保與其他防御機制高效協同工作。觀點3：掃段攻擊成為網絡基礎設施面臨的最大威脅，需采取多種措施增強防御。增加網段檢測能力提升攻擊識別精準度，端網協同防御提高多網段攻擊的發現及處置效率，有效應對大規模掃段攻擊。2023年掃段攻擊規模、頻次和復雜程度進一步攀升，成為網絡基礎設施最大威脅。掃段攻擊通過將攻擊流

83、量分散在受害者的大量地址中，旨在繞過檢測，挑戰防御系統響應速度和處置規模。為了有效應對掃段攻擊，必須采取多種措施增強防御系統的攻擊清洗能力。專家觀點0443專家觀點2023年全球DDoS攻擊現狀與趨勢分析首先，創新掃段攻擊檢測技術，以提升攻擊檢測靈敏度。目前，DDoS攻擊檢測算法主要基于單個攻擊目標IP的流量統計進行攻擊判定。然而，低速掃段攻擊通過盡可能分散流量，使單個攻擊目標IP受到的攻擊流量較低，無法觸發檢測閾值，從而降低檢測算法靈敏度。因此，需創新檢測算法，在現有方案的基礎上增加網段檢測能力，以快速識別掃段攻擊。其次，采用端云協同防御架構可以提高防御系統響應速度和并發防御規模。掃段攻擊并

84、發攻擊的C段數量不斷攀升，同時采用“短平快”戰術，對防御系統響應速度和并發防御規模提出更高要求。然而運營商網絡普遍采用的Flow檢測存在分鐘級延遲，導致掃段攻擊發現慢。通過企業網絡邊界防御系統提供的秒級發現能力，利用端云協同防御，主動請求上游運營商清洗服務，最大限度提升防御系統響應速度，并最大限度利用運營商網絡路由器自身過濾能力，結合運營商網絡清洗資源池的清洗能力，實現大規模掃段攻擊有效防御。名詞解釋：1.瞬時泛洪攻擊：也叫 Fast Flooding，形容大流量攻擊發生時如決堤的洪水一樣傾瀉而下，攻擊流量斷崖式上升，在幾秒內即可達到幾百 Gbps。2.TTM：是 Time to Mitiga

85、tion 的縮寫，指從攻擊開始到啟動清洗需要的時長，用于描述防御系統對攻擊響應的速度。3.“脈沖”攻擊：也叫 Pulse-wave，在攻擊持續時間段內，攻擊流量以相似的時間間隔反復沖高又迅速降落，且每次攻擊流量沖高后形成的流量峰值相似，形成一個個規律的“脈沖”波形。3.網絡層 CC：主要包括真實源 SYN Flood、真實源 ACK Flood，多數情況下，網絡層 CC 攻擊指的是真實源 ACK Flood，即攻擊者利用僵尸網絡和被攻擊目標服務器建立大量 TCP 連接后，不斷發送垃圾 ACK Flood，以消耗服務器連接資源或帶寬資源。4.應用層 CC：難防御的 HTTP、HTTPS 應用層攻

86、擊被統稱為應用層 CC，即攻擊者利用僵尸網絡和被攻擊目標服務器建立 TCP 連接，對目標服務器發起應用層請求，以消耗服務器資源甚至是網絡鏈路帶寬資源，按應用協議不同又可分為 HTTP CC、HTTPS CC 等。5.低速 CC：一般采用低速 CC 攻擊時，僵尸多為低性能的 IoT 終端，僵尸數量較多，單個僵尸的攻擊速率較低，企圖繞過安全系統基于源請求速率的檢測，挑戰防御系統的檢測靈敏度。6.高速 CC：一般采用高速 CC 攻擊時，僵尸多為高性能的服務器或云主機，僵尸數量較少，單個僵尸的攻擊速率較高，挑戰防御系統的響應速度。7.加密 CC：屬于應用層 CC 范疇，即加密的應用層 CC。8.掃段攻

87、擊：也叫 Carpet bombing attack，屬于一種新型攻擊，攻擊目標不再是單個服務器 IP 地址，同時針對 1 個或者多個 C 類 IP 地址段內多個 IP 地址進行攻擊。8.低速掃段：到攻擊目標 C 段內的單個 IP 的攻擊流量較小，挑戰防御系統檢測靈敏度。但因被攻擊的 C 段數量多，同時被攻擊的 IP 地址數量龐大，導致整體的攻擊流量較大，擠占被攻擊網絡帶寬或消耗網絡會話資源，達到 DDoS 攻擊效果。9.高速掃段：相對低速掃段，到攻擊目標 C 段內的單個 IP 的攻擊流量較大，基于目的 IP 的攻擊可以發現攻擊，但因同時被攻擊的 IP 數量多，挑戰防御系統并發主機防御規格，同

88、樣能達到 DDoS 攻擊效果。10.攻擊矢量：用于描述一次攻擊事件采用幾種攻擊類型，采用一種攻擊類型的攻擊也叫 single-vector attack，采用多種攻擊類型的攻擊也叫 Multi-vector attack。11.混合攻擊：也叫 Multi-vector attack，即一次攻擊事件采用多種攻擊類型。引用：1.https:/ 數據來源05數據來源45華為技術有限公司深圳龍崗區坂田華為基地電話：+86 755 28780808郵編：商標聲明 ，是華為技術有限公司商標或者注冊商標，在本手冊中以及本手冊描述的產品中，出現的其它商標，產品名稱，服務名稱以及公司名稱，由其各自的所有人擁有。免責聲明本文檔可能含有預測信息，包括但不限于有關未來的財務、運營、產品系列、新技術等信息。由于實踐中存在很多不確定因素，可能導致實際結果與預測信息有很大的差別。因此，本文檔信息僅供參考，不構成任何要約或承諾，華為不對您在本文檔基礎上做出的任何行為承擔責任。華為可能不經通知修改上述信息，恕不另行通知。版權所有 華為技術有限公司 2024。保留一切權利。非經華為技術有限公司書面同意，任何單位和個人不得擅自摘抄、復制本手冊內容的部分或全部，并不得以任何形式傳播。