《綠盟科技：2023年DDoS攻擊威脅報告（45頁）.pdf》由會員分享，可在線閱讀，更多相關《綠盟科技：2023年DDoS攻擊威脅報告（45頁）.pdf（45頁珍藏版）》請在三個皮匠報告上搜索。

1、關于綠盟科技綠盟科技集團股份有限公司（以下簡稱綠盟科技），成立于 2000年 4 月，總部位于北京。公司于 2014 年 1 月 29 日起在深圳證券交易所創業板 上市，證券代碼：300369。綠盟科技在國內設有 40 多個分支機構，為政 府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶，提供全線網絡安全產品、全方位安全解決方案和體系化安全運營服務。公司在美國 硅谷、日本東京、英國倫敦、新加坡設立海外子公司，深入開展全球業務，打造全球網絡安全行業的中國品牌。版權聲明本文中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬綠盟科技所有，受到有關產權及版權法

2、保護。任何個人、機構未經綠盟科技的書面授權許可，不得以任何方式復制或引用本文的任何片斷。關于伏影實驗室研究目標包括 Botnet、APT 高級威脅，DDoS 對抗，WEB 對抗，流行服務系統脆弱利用威脅、身份認證威脅，數字資產威脅，黑色產業威脅及新興威脅。通過掌控現網威脅來識別風險，緩解威脅傷害，為威脅對抗提供決策支撐。天翼安全科技有限公司（中國電信安全公司，簡稱“電信安全”）是中國電信集約開展網絡安全業務的科技型、平臺型專業公司。作為中國電信建設安全型企業的主力軍和骨干力量，電信安全承擔中國電信網絡安全關鍵核心技術創新的主體責任，是國家關基安全的重要科研力量。電信安全以研發運營一體化的方式，

3、整合全集團云網、安全、數據等優勢資源和能力，進行統一運營，為內外部客戶提供云網安全、數據安全、信息安全等各類安全產品和服務。電信安全秉承“傳承紅色基因，守護安全中國”的使命，致力于成為數字時代最可靠的網絡安全運營商。CONTENTS01專家觀點11.1DDoS 攻擊已成為網絡戰中不可或缺的致癱武器21.2繼使用真實主機、僵尸網絡、反射節點之后，攻擊者逐漸青睞利用專用云服務器（VPS）作為攻擊源31.3DDoS 攻擊模式從簡單粗暴的資源耗盡走向智能策略式攻擊 31.4地毯式 DDoS 攻擊浪潮席卷網絡，背后或有國家級力量參入51.5利益驅動下的 DDoS 攻擊聯手，成為 APT 攻擊前站502整

4、體威脅72.1整體攻擊規模持續增長，大規模攻擊頻現82.2DDoS 攻擊強度居高不下，峰值帶寬和峰值包速率總量雙增長92.3DDoS 攻擊手段呈現多元化，應用層攻擊占據主流102.4DDoS 攻擊復雜度加劇，新興攻擊手段不斷興起112.5DDoS 攻擊目標或與地緣沖突相關，互聯網和關基成為重災區1103DDoS 攻擊態勢143.1攻擊手段153.2攻擊強度183.3DDoS 攻擊源20CONTENTS04黑灰產威脅視角224.1僵尸網絡234.2黑客組織2505新型 DDoS 攻擊手段325.1SLP 反射放大攻擊335.2HTTP/2RapidReset 攻擊3306攻防案例356.1202

5、3 年 3 月某國際客戶遭受 UDP 掃段攻擊3607年度 DDoS 大事件387.12023 年 2-4 月397.22023 年 5 月397.32023 年 6 月397.42023 年 8 月397.52023 年 10 月40專家觀點0122023 年 DDoS 年報1.1 DDoS 攻擊已成為網絡戰中不可或缺的致癱武器2023 年，HTTP/2 Rapid Reset 和 SLP 反射放大攻擊等新興 DDoS 攻擊手段不斷涌現，攻擊者和防御者都在持續提升自身技術水平以發掘新型攻擊方法和有效防御策略。DDoS 攻擊已不再局限于傳統的網絡層攻擊，而是更加傾向復雜的應用層攻擊和新型反射攻

6、擊等手段。攻擊者廣泛利用物聯網設備、虛擬專用服務器等媒介，提升了攻擊的復雜性，使得檢測和應對變得愈發困難。同時，隨著攻擊工具逐步走向商業化和服務化，攻擊工具的獲取變得更加容易，甚至無需攻擊者具備高級技術能力，例如國外知名的 DDoS 攻擊平臺stress.ru，任何用戶都可以通過付費服務發起自定義攻擊。近年來，隨著地緣政治緊張局勢的升級，攻擊者越來越傾向于利用 DDoS 攻擊作為地緣政治爭端中的前哨行動，DDoS 攻擊成本低廉，可以迅速打擊對手的關鍵基礎設施和重要網絡系統，制造恐慌和混亂，使政府聲譽受損，甚至造成信息孤島，最終導致巨大經濟損失和極壞的社會影響。2023 年 10 月，巴以沖突爆

7、發，多方勢力的黑客行動主義（Hacktivism）組織開始在雙方網絡空間區域內進行持續的博弈，攻擊方式主要以 DDoS 攻擊為主。據綠盟科技監測，以方被攻擊目標主要為政府、司法、軍事、電力等關基網站，另外還有郵件服務與 DNS 服務，巴方被攻擊目標主要為政府、電信等網站。自 2022 年以來，俄烏沖突持續升級，雙方在兩國邊境地區部署了大量軍事人員和裝備，彼此對峙的態勢日益加劇。與此同時，在隱秘的網空戰場中，也爆發著各種形式的攻防戰。2022/6/12022/7/12022/8/12022/9/12022/10/12022/11/12022/12/12023/1/12023/2/12023/3/

8、12023/4/12023/5/12023/6/12023/7/12023/8/12023/9/12023/10/12023/11/12023/12/1攻擊次數（次）攻擊趨勢圖 1.1 烏克蘭遭受 DDoS 攻擊趨勢3專家觀點2022/6/12022/7/12022/8/12022/9/12022/10/12022/11/12022/12/12023/1/12023/2/12023/3/12023/4/12023/5/12023/6/12023/7/12023/8/12023/9/12023/10/12023/11/12023/12/1攻擊次數（次）攻擊時間點（天）攻擊趨勢圖 1.2 俄羅斯遭

9、受 DDoS 攻擊趨勢1.2 繼使用真實主機、僵尸網絡、反射節點之后，攻擊者逐漸青睞利用專用云服務器（VPS）作為攻擊源長期以來，大型僵尸網絡主要依賴路由器、打印機和攝像頭等物聯網設備來實施攻擊，這些設備由于處理能力有限，通常需要匯聚大量設備產生的流量才能對目標造成實質性破壞。然而，如今攻擊者的策略發生了顯著變化，開始轉向利用云服務廠商提供的虛擬專用服務器（VPS）進行攻擊。VPS 因其低成本、高帶寬、匿名性和快速部署等特性，成為攻擊者擴大攻擊規模、遮掩身份和靈活應對網絡安全防護措施的理想攻擊源。云計算服務商所提供的虛擬專用服務器，其初衷是為初創公司和企業提供一種成本效益高且性能卓越的應用程序

10、創建方案。這些虛擬服務器具備出色的計算能力和網絡帶寬，一些攻擊者利用這一優勢，通過購買或非法入侵控制多臺 VPS，進而組建新型的僵尸網絡，以達成其攻擊目標。2023 年，綠盟科技共監測到了 61491 臺獨立 VPS 云主機作為 DDoS 攻擊源，其中主要涉及谷歌、微軟、亞馬遜等主流云服務商。相較于 2022 年，該數據同比上升了 35.8%。針對這部分攻擊源，需要對現有的安全防護策略進行調整和完善。通常情況下，受到攻擊的服務主要是面向用戶交互的，而非與機器交互的。防護策略可基于云服務商 IP 地址情報，直接對其流量進行封禁或者限速，從而更有效地應對此類攻擊。1.3 DDoS 攻擊模式從簡單粗

11、暴的資源耗盡走向智能策略式攻擊近年來，DDoS 攻擊模式正經歷著顯著的轉變，從簡單粗暴的資源耗盡方式逐漸演變為更42023 年 DDoS 年報為智能和策略性的攻擊形式。自 2018 年以來，脈沖攻擊的出現成為這一轉變的有力證明。脈沖攻擊的特點在于，它能夠在短時間內迅速產生巨大的流量峰值，然后突然停止，并在一段時間后再次發起攻擊。這種攻擊方式旨在避免攻擊流量被檢測和攔截，從而增加了防御的難度和復雜性。2021 年，掃段攻擊開始出現，針對一段 IP 地址存在同時攻擊和順序攻擊兩種模式。同時攻擊模式下，每個目標 IP 所受的攻擊流量較小，但匯總在一起則形成巨大的攻擊流量；順序攻擊模式下，逐個針對目標

12、 IP 發起大流量攻擊，但攻擊時間較短。這種攻擊巧妙地規避了 DDoS 防御系統的檢測與清洗策略，進而對整個 IP 段的用戶業務造成顯著影響。到了 2023 年，新型測試型 DDoS 攻擊更是嶄露頭角。攻擊者利用測試型 DDoS 攻擊來確定目標防御范圍、衡量防御強度，深入了解其網絡架構和弱點，并評估后續所需施加的力量。在這種情況下，最初的 DDoS 攻擊可能充當偵察攻擊的角色，節省攻擊資源，為后續更精確的攻擊做好鋪墊。綠盟科技監測到的測試型 DDoS 攻擊如圖所示，攻擊者一開始對目標發起強度相對較小的試探性攻擊，持續幾天后突然發起猛烈的攻擊，這種類型的攻擊增加了防御的難度。2023/2/242

13、023/2/252023/2/262023/2/272023/2/282023/3/1攻擊圖 1.3 測試型 DDoS 攻擊實例在防護手段上，傳統基于 FLOW 的檢測存在滯后性，當前某些局點已經采用 always online 的思路，流量一直經過清洗節點，同時采用雙層清洗方案，第一層防護閾值配置較大，主要應對大攻擊流量的清洗，第二層為本地清洗，主要負責清洗本地鏈路帶寬內的攻擊。由于流量一直經過清洗設備，對于單體設備與集群方案的穩定性要求較高，同時需要定制高精度算法以滿足雙層清洗的需要。5專家觀點1.4 地毯式 DDoS 攻擊浪潮席卷網絡，背后或有國家級力量參入2023 年，地毯式 DDoS

14、 攻擊崛起，與傳統的小范圍、針對單一目標或特定小區域的攻擊形成鮮明對比。這些攻擊往往由具備強大攻擊實力和豐富攻擊資源的組織或國家發起，其主要目的是通過大規模消耗目標網絡的整體帶寬和服務資源，干擾特定國家或地區的關鍵業務和通信能力，以達到對該區域造成最大程度的破壞和影響的目的。此類攻擊不僅可能導致目標國家的網絡擁堵，使民眾無法正常訪問關鍵系統和服務，從而影響對重要系統和設施的信心，而且可能對整個國家或地區的經濟產生長期負面影響。2023 年 11 月和 12 月，綠盟科技監測到巴西遭受了大規模地毯式 DDoS 攻擊。據統計，被攻擊的目標數量約為 880 萬個，占巴西 IP 地址總量的比例高達 1

15、2%。此次攻擊事件中涉及的被攻擊行業廣泛，涵蓋了政府網站、通信運營商、教育部門、金融機構等重要基礎設施。1.5 利益驅動下的 DDoS 攻擊聯手，成為 APT 攻擊前站近年來，DDoS 攻擊已不再僅僅是個體行為，而是牽涉到有利益關聯的國家以及黑客組織的聯合行動。以 2023 年巴以沖突中的網絡空間對抗為例，這些發起 DDoS 攻擊的黑客組織并非孤立行動，而是基于共同利益形成互動，迅速構建所謂的“戰時”利益聯盟。這些組織在和平時期可能各自為戰，但一旦面臨沖突，因共同利益而迅速集結，極大提升了其攻擊能力。例如，巴以沖突中的社區網絡運營聯盟機構（C.O.A）團隊、Killnet 以及 Anonymo

16、us Sudan等黑客團體就展現了這種趨勢。此外，還有部分黑客組織因自身利益需求，會臨時組建并參與攻擊行動。根據綠盟科技監測數據，巴以沖突期間共有 55 個團伙參與網絡攻擊活動。其中，親巴勒斯坦的黑客組織占據絕大多數，達到 43 個，這些組織以 Killnet 為代表，主要對以色列的關鍵網絡基礎設施進行攻擊，涉及政府、金融、通信等多個行業。相比之下，親以色列的組織數量較少，共有 12 個，主要包括 India Cyber Force、UCC 等組織，他們的攻擊目標主要是巴勒斯坦的關鍵網絡基礎設施。有線索顯示，DDoS 攻擊正逐漸演變成為 APT 和勒索攻擊的前置行動，攻擊者越來越頻繁地利用 D

17、DoS 攻擊來分散事件響應團隊的注意力，以便掩蓋背后更為嚴重的安全事件。值得警惕的是，DDoS 攻擊本身可能僅是一個煙霧彈，其目的不再局限于簡單的網絡干擾，更可能借助這種方式混淆視聽，誤導防御人員的關注焦點，而在 DDoS 攻擊的掩護下，實施更62023 年 DDoS 年報為隱蔽的 APT 攻擊、數據竊取、惡意軟件注入等惡意行為。所以在 DDoS 攻擊來臨之前就在本地和云端做好 DDoS 防御協同顯得尤為重要，使用本地防御設備及云端防御服務做好應對網絡攻擊的第一道防線，不防 DDoS 何以防其他。02整體威脅82023 年 DDoS 年報2.1 整體攻擊規模持續增長，大規模攻擊頻現2023 年

18、大規模 DDoS 攻擊異?；钴S，中國電信安全團隊與綠盟科技共監測到超 500Gbps攻擊 422 次，超 800Gbps 攻擊 248 次，超 1Tb 級別的攻擊事件達到了 52 起，相較于 2022年增長 25%。9 月和 10 月是 Tb 級別攻擊最為集中的月份，占全年大流量攻擊事件的 70%。級別攻擊的次數圖 2.1 不同月份 Tb 級別攻擊的次數2023 年，DDoS 整體攻擊事件數量呈現出顯著的增長趨勢，具體數量是 2022 年的 1.4 倍，2021 年的 2 倍。這些攻擊主要集中在上半年，特別是在 3 月份，DDoS 攻擊活動達到了頂峰，當月共監測到近 500 萬次攻擊事件，且攻

19、擊目標多數位于巴西，其攻擊頻率的增加可能與巴西大選后的國內沖突存在某種程度的關聯。4 月至 6 月，攻擊次數呈逐漸下降趨勢。相較于上半年，下半年的 DDoS 攻擊數量明顯減少，整體態勢趨于穩定。9整體威脅攻擊月度分布圖 2.2 DDoS 攻擊月度分布2.2 DDoS 攻擊強度居高不下，峰值帶寬和峰值包速率總量雙增長2023 年 10 月 30 日 21:15:45，電信安全團隊監測到年度最大帶寬攻擊。攻擊者采用以SSDP 反射為主、疊加 UDP Flood 和 ICMP Flood 的混合攻擊，攻擊共持續 2 小時 31 分鐘，峰值帶寬 2.505Tbps，攻擊目標 IP 位于江蘇電信網絡。月

20、度分布圖 2.3 2023 年攻擊峰值帶寬月度分布（Gbps）2023 年 1 月 27 日 02:41:45，中國電信安全團隊監測到年度最大包速率攻擊，采用小報文 UDP Flood，攻擊共持續 2 小時 44 分鐘，峰值包速率 973Mpps，攻擊目標 IP 位于四川電信網絡。102023 年 DDoS 年報年攻擊峰值包速率月度分布圖 2.4 2023 年攻擊峰值包速率月度分布（Mpps）2.3 DDoS 攻擊手段呈現多元化，應用層攻擊占據主流2023 年，HTTPS Flood、NTP 反射、UDP Fragment Flood 是最受攻擊者偏愛的 DDoS攻擊方式 TOP3，且均呈現逐

21、年上升的態勢。值得注意的是，盡管 SYN Flood、ACK Flood 等傳統網絡層攻擊手段在過去曾一度盛行，但在當前成熟的防護機制下，其影響力已逐漸減弱。攻擊者正在不斷調整其攻擊手段，以應對當前的防御體系。2021年2022年2023年圖 2.5 2023 Top10 攻擊手段在 20212023 變化趨勢11整體威脅2.4 DDoS 攻擊復雜度加劇，新興攻擊手段不斷興起2023 年，攻擊復雜度持續上升，DDoS 混合攻擊在 2 至 5 種以上的攻擊向量維度上均出現顯著增長，相較于 2022 年，混合攻擊事件激增 1.4 倍。隨著企業和組織安全防護體系的逐步增強，攻擊者越來越傾向于采用混合

22、攻擊策略，利用系統中的多個脆弱點和漏洞進行攻擊。攻擊手段已從傳統的單一泛洪攻擊轉變為結合虛假源攻擊、會話攻擊和應用層攻擊等多向量的混合攻擊，這一趨勢加劇了攻防對抗的激烈程度。同時，新興的攻擊方式如 SLP 反射放大攻擊、HTTP/2 Rapid Reset 攻擊等不斷涌現，特殊的攻擊方式如脈沖、掃段攻擊等依然保持強勁勢頭。據綠盟科技監測數據顯示，2023 年全年掃段攻擊次數超過 20 萬次。0.00%2.00%4.00%6.00%8.00%10.00%12.00%14.00%2vector3vector4vector=5vector2022年2023年圖 2.6 20222023 攻擊矢量分布

23、2.5 DDoS 攻擊目標或與地緣沖突相關，互聯網和關基成為重災區2023 年，由于地緣政治沖突和國際環境動蕩，巴西和巴基斯坦成為遭受 DDoS 攻擊最多的區域，合計占比超過五成。巴西國內發生多起抗議巴西大選結果的沖突事件，巴基斯坦與印度在邊境地區頻繁爆發沖突，DDoS 作為網絡空間最強力的致癱手段，往往是當今地緣政治沖突中敵對勢力之間的開場白，攻擊者會利用大規模 DDoS 攻擊破壞對手國家/地區的關鍵基礎設施，另一方面，政府也可以利用這種攻擊來壓制反對派力量。122023 年 DDoS 年報26.14%24.16%21.65%19.42%8.14%0.38%0.07%0.03%巴西巴基斯坦美

24、國中國新加坡秘魯韓國其他圖 2.7 DDoS 攻擊區域分布攻擊行業方面，2023 年互聯網行業遭受 DDoS 攻擊占比高達 64%，電子商務、游戲及直播等互聯網領域，因涉及龐大的交易信息和用戶數據而成為了攻擊者主要的攻擊目標。攻擊者通過 DDoS 攻擊擾亂或破壞競爭對手服務的正常運行，以此謀求直接或間接的經濟利益。此外，全球政府部門的信息化系統、公共服務遭受 DDoS 攻擊占比達到 18.61%，這與今年加強數字政府建設，對電子政務發展給予高度重視的整體趨勢密切相關，攻擊者或試圖通過攻擊獲取相關的政治利益。金融行業遭受 DDoS 攻擊為 16.07%，金融機構涉及大量的資金流動和敏感的金融交易

25、，攻擊者利用 DDoS 攻擊中斷金融機構的網絡服務，導致交易延遲或中斷，從而實施市場操縱、勒索或其他金融欺詐活動。13整體威脅63.91%18.61%16.07%0.77%0.29%0.23%0.08%0.04%DDoS攻擊行業分布互聯網科技政府金融醫學交通運輸教育能源零售圖 2.8 DDoS 攻擊行業分布03DDoS 攻擊態勢15DDoS 攻擊態勢3.1 攻擊手段3.1.1 UDP Fragment Flood 占據網絡層攻擊霸主地位在 2023 年，UDP Fragment Flood、UDP Flood 和 SYN Flood 是網絡層攻擊中數量最多的三種攻擊手段。與 2022 年相比，

26、UDP Flood 攻擊的占比略微下降，而 UDP Fragment Flood 攻擊的占比上升了 30.86%，SYN Flood 攻擊的占比下降了 20.97%。UDP Fragment Flood 在 2023 年成為攻擊者的主流選擇。攻擊者通過向目標系統發送大量經過分片的 UDP 數據包，每個數據包均包含 UDP 頭部及部分有效載荷，目標系統需要處理每個接收到的分片，并重新組裝它們以還原原始數據包。當目標系統承受大量此類 UDP 分片數據包時，其處理資源將被大量消耗，進而引發網絡擁堵、服務中斷或合法數據包的丟失，相較于傳統的 UDP Flood 攻擊，此種攻擊方式可以更有效地消耗網絡帶

27、寬及目標系統的處理能力。0.00%10.00%20.00%30.00%40.00%50.00%60.00%UDP Fragment FloodUDP FloodSYN FloodACK FloodICMP FloodFIN/RST FloodTCP Fragment FloodUDP Reflection202120222023圖 3.1 網絡層 DDoS 攻擊類型分布3.1.2 HTTPS Flood 仍為最熱門應用層攻擊手法2023 年，HTTPS Flood 攻擊繼續在應用層攻擊中占據主導地位，占比高達 55%。隨著互聯網的廣泛普及，越來越多的網站和應用程序選擇采用了 HTTPS 協議，

28、以確保用戶數據的安全。HTTPS 協議通過加密通信機制保護用戶在數據傳輸過程中的信息安全，防止敏感信息被竊取或篡改。然而，HTTPS Flood 攻擊利用了 HTTPS 協議握手過程中服務器端的計算資源消耗，通過多個機器或僵尸網絡發起大量合法的加密請求，致使服務器負載過高，無法正常響應合法用戶的請求。162023 年 DDoS 年報另一方面，DNS 隨機子域名攻擊類型的占比達到了 18.03%。該攻擊方式通過構造大量偽造的 DNS 請求，向目標服務器發送大量無效查詢，這些請求擁有有效的高級域名，能夠繞過防火墻和其他過濾器等大部分 DDoS 防御體系，導致服務器資源耗盡，最終使得合法用戶無法正常

29、訪問目標網站。防護手段上，由于 DDoS 清洗設備通常采用旁路部署或按需清洗的方式，因此無法獲取到 DNS 授權服務器的正常業務流量。特別是對于運營商提供的清洗服務，只能在攻擊開始時才能接入流量。在傳統的 CNAME 等算法失效的情況下，設備無法通過特征自動區分正常流量和攻擊流量，目前只能通過限速進行防護。目前，傳統的防護思路仍然主要依賴于在方案層面進行彌補，例如通過鏡像流量接入學習正常域名基線進行清洗。然而，由于部署和場景的限制，實施過程相對困難。未來，可以考慮提供大規模域名白名單，并基于自學習、用戶主動提供或 DNS 情報等方式進行防護。同時，針對隨機子域名的特征，也可以嘗試利用機器學習算

30、法進行深入研究和應對。55.01%26.92%18.03%0.04%HTTPS FloodHTTP FloodDNS隨機子域名SIP Flood圖 3.2 應用層 DDoS 攻擊類型分布3.1.3 NTP 反射攻擊主宰 DDoS 反射攻擊戰場，新興 SLP 反射攻擊興起根據綠盟科技監測，NTP 反射是 2023 年最主流的 DDoS 反射攻擊手段，占比高達54%。由于 NTP 協議具有響應數據量遠大于請求數據的特性，因此常被攻擊者用來當做反射放大攻擊的理想工具，攻擊流量的放大效果可達數十甚至數百倍。而且，NTP 協議被廣泛用于網絡時間同步，在幾乎所有的計算機和網絡設備中都會使用 NTP 協議來

31、同步系統時間，攻擊者可以輕易獲取到許多可濫用的 NTP 服務器。另一方面，SLP 反射作為 2023 年新興的攻擊手段，目前占比較低，僅為 0.31%。然而，17DDoS 攻擊態勢SLP 協議具有更高的放大倍數，可將攻擊流量放大數千倍，未來 SLP 反射很有可能成為新的熱門攻擊手段。54%13%11%7%6%4%2%2%1%NTP(網絡時間協議)NetAssistant(網絡調試助手)DNS服務Onvif(開放網絡視頻接口)CharGEN服務DHDiscover 服務SSDP(簡單服務發現協議)CLDAP(輕量目錄訪問協議)其他圖 3.3 DDoS 反射攻擊類型占比3.1.4 WEB 服務備受

32、攻擊者“青睞”，遠程登錄服務攻擊下降從被攻擊服務/端口對應的攻擊事件數來看，被攻擊者遭受的 DDoS 攻擊的服務以 WEB服務（443 端口，80 端口）為主。80 端口和 443 端口分別作為 HTTP 和 HTTPS 協議的標準端口，承載著 Web 服務的核心功能。隨著 Web 應用的廣泛普及，眾多網站、應用程序及 API 接口均通過這些端口處理關鍵業務和用戶數據。同時鑒于其重要性，攻擊者通常會將關基單位、金融機構以及電子商務平臺的 Web 服務作為 DDoS 攻擊的目標，企圖從中獲取經濟利益或損害目標機構的聲譽。值得注意的是，2023 年，針對 BGP 的 DDoS 攻擊大幅增長，邊界網

33、關協議（BGP）用于確保自治系統之間的可達性，特別是在大多數 ISP 之間建立路由連接。針對 BGP 的 DDoS攻擊通常會影響整個自治系統，導致網絡設備延遲或無法訪問。與此同時可以看到，伴隨著全球疫情逐漸趨于穩定，居家辦公數量銳減，遠程登錄相關服務受攻擊端口攻擊事件也隨之大幅下降。182023 年 DDoS 年報44323805317920222023圖 3.4 2023 年受攻擊端口趨勢3.2 攻擊強度3.2.1 攻擊持久性不斷增強，攻擊者傾向于對單一目標多次攻擊與前兩年相比，2023 年重復攻擊同一目標的案例數量呈現上升態勢。全年僅被攻擊一次的目標數量占比顯著減少，攻擊者更傾向于進行持久

34、性的 DDoS 攻擊，而不僅僅是單次攻擊。他們可能會持續發起多個攻擊波，以持續地影響目標網絡和系統的可用性和穩定性。特別是在 2023 年，全年單個目標被攻擊 50100 次的趨勢顯著增加，占比高達49.96%。這意味著攻擊者更加頻繁地針對同一目標發起連續的攻擊。出現這種趨勢的部分原因是隨著攻擊工具的商業化和服務化趨勢，發起DDoS攻擊活動的難度和成本顯著降低有關。19DDoS 攻擊態勢4.56%15.64%17.34%49.96%3.61%8.90%39.03%29.57%13.44%4.12%8.49%5.35%56.91%15.45%8.50%3.52%13.42%2.20%0.00%1

35、0.00%20.00%30.00%40.00%50.00%60.00%1次2-10次10-50次50-100次100-10001000次以上2021年2022年2023年圖 3.5 DDoS 攻擊持久性分布3.2.2 DDoS 攻擊沒有休息日通過對 2023 年攻擊次數的周天分布的觀察，可以看出一周內每天的攻擊頻率呈現相對平穩的態勢，周四的攻擊次數略高。這個統計結果表明 DDoS 攻擊無時不刻的在進行，防御者需在一周內保持持續監測和防護。星期一星期二星期三星期四星期五星期六星期日攻擊次數周天分布圖 3.6 2023 年 DDoS 攻擊次數周天分布202023 年 DDoS 年報3.3 DDoS

36、 攻擊源3.3.1 北美洲依舊為全球應用層 DDoS 主要攻擊來源2023 年，北美洲地區在應用層 DDoS 攻擊方面表現出顯著的增長，其所占比率高達69.54%。相較于 2022 年，這一比例上升了 26.94%。值得注意的是，應用層 DDoS 攻擊與網絡層攻擊有所不同，其攻擊過程中會建立完整的 TCP 連接，使得攻擊源 IP 難以偽造。因此，如果某地區的應用層攻擊源 IP 活躍度較高，這表示該地區存在活躍的僵尸網絡。鑒于北美洲在應用層DDoS攻擊源中的主導地位，可以推斷北美洲是當前僵尸網絡活動較為頻繁的地區。69.54%20.36%7.66%1.31%1.12%42.60%34.16%15

37、.23%7.90%0.12%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%北美洲亞洲南美洲歐洲大洋洲2022年2023年圖 3.7 應用層攻擊源地域分布3.3.2 DDoS 攻擊源復用率逐年攀升2023 年全年，單個 DDoS 攻擊源對多個目標發起攻擊的比例有顯著增長，增幅接近10%。這揭示了一個明顯的趨勢，即攻擊者的攻擊資源不是一次性使用，更傾向于將攻擊資源同時復用到多個目標中，重復發起多次 DDoS 攻擊活動。這種策略反映了攻擊者在攻擊資源方面的限制，如攻擊節點數量、帶寬和計算能力等。通過合理分配有限的資源至多個目標，攻擊者可以最

38、大化復用其資源，提高攻擊的威力和持續時間。21DDoS 攻擊態勢0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%12101010010010001000以上20222023圖 3.8 2023 年相同攻擊源的攻擊目標數量分布04黑灰產威脅視角23黑灰產威脅視角4.1 僵尸網絡4.1.1 僵尸網絡熱衷于采用 UDP Flood 發起攻擊2023 年，新型僵尸網絡團伙涌現，大量僵尸網絡團伙通過 Telegram、Twitter 等社交平臺租售 DDoS 攻擊服務。監測數據顯示，中大型僵尸網絡團伙所控制設備數集中在 3w 至 8w臺之間，可發

39、起 1000Gbps 至 4000Gbps 的 DDoS 攻擊流量。相同肉雞數量的情況下，采用UDP 類型的攻擊方式所能發起的攻擊流量可達 ACK Flood 和 SYN Flood 類型攻擊流量的 2 到3 倍。2024 綠綠盟盟科科技技 密級：請輸入文檔密級-16-圖 3.8 2023 年相同攻擊源的攻擊目標數量分布 四四.黑黑灰灰產產威威脅脅視視角角 4.1 僵僵尸尸網網絡絡 4.1.1 僵僵尸尸網網絡絡熱熱衷衷于于采采用用 UDP Flood 發發起起攻攻擊擊 2023 年，新型僵尸網絡團伙涌現，大量僵尸網絡團伙通過 Telegram、Twitter 等社交平臺租售 DDoS 攻擊服務

40、，監測數據顯示，中大型僵尸網絡團伙所控制設備數集中在 3w 至 8w臺之間，可發起 1000Gbps 至 4000Gbps 的 DDoS 攻擊流量。相同肉雞數量的情況下，采用UDP 類型的攻擊方式所能發起的攻擊流量可達 ACK Flood 和 SYN Flood 類型攻擊流量的 2到 3 倍。12101010010010001000以上相同攻擊源的攻擊目標數量分布20232022圖 4.1 僵尸網絡團伙出售 DDoS 服務參數單個僵尸網絡家族所控制的設備數量往往有限，UDP 類型的 DDoS 攻擊方式因能產生較大的攻擊流量而備受僵尸網絡青睞。綠盟科技數據顯示，2023 年度，IoT 平臺主流

41、DDoS 型僵尸網絡家族 Mirai，Gafgyt 及其變種累計發起 10 余萬次 UDP 類型的 DDoS 攻擊，該方式在所有攻擊類型中占比最多，其次為SYN Flood和ACK Flood，對應攻擊次數在2w至6w次之間。VSE攻擊作為一種針對Source引擎游戲服務器的DDoS攻擊，也受到僵尸網絡攻擊者的青睞。242023 年 DDoS 年報020000400006000080000100000120000UDP FloodSYN Flood ACK FloodVSEACKBypassmixSTDHEXGREIP方式圖 4.2 攻擊方式4.1.2 發起 DDoS 攻擊的僵尸網絡家族主要集

42、中在 IoT 平臺Windows 平臺僵尸網絡家族通常以服務提供者的姿態出現，充當下載器的功能，用于傳播勒索、挖礦等其他類型惡意軟件；數量較少的跨平臺僵尸網絡家族通常兼具下載、挖礦與DDoS 攻擊功能；發起 DDoS 攻擊活動的僵尸網絡家族則主要寄居在 IoT 平臺，這與 IoT 平臺通常很少部署安全設備、管理匱乏、易于攻陷等因素存在較大關聯。綠盟科技監測數據顯示，本年度下發 DDoS 攻擊指令最多的僵尸網絡仍以 IoT 平臺的Mirai、Gafgyt 及 XorDDoS 等傳統類家族及其變種為主，同時又有諸多具備 DDoS 功能的新家族相繼涌現，這些新家族同樣主要集中在 IoT 平臺。本年度

43、 DDoS 攻擊活動較為頻繁的新型僵尸網絡家族如下：表 4.1 新型活躍 DDoS 僵尸網絡家族家族名稱家族描述平臺boat綠盟科技于 2022 首次披露。2023 年以來，該家族變種頻出，活動頻繁。該家族融合了開源僵尸網絡 DDoS 攻擊源代碼，但又都具有全新的代碼結構和通信協議。IoTYeskit綠盟科技于 2022 年 5 月中旬首次發現并命名。其最新版本引起安全社區廣泛關注，被命名為 Chaos，最新研究確認了其背后的攻擊團伙為 Ares。IoTRapperbot綠盟科技于 2022 首次披露，直至 2023 年，Rapperbot 經歷了多次版本的更迭，新變種開始利用 xmrig 進

44、行挖礦活動。IoTRedGoBot2023 年首次出現，該家族最新版本最多支持十余種 DDoS 攻擊方式，其背后攻擊團伙的武器庫也在持續更新，并開始轉向暗網，即嘗試通過 Tor 代理的方式通信，隱蔽性進一步增強。IoTFodcha2022 年首次出現，Fodcha 是一個商業驅動的僵尸網絡家族，攻擊指令下發頻繁，并嘗試實行攻擊即勒索的商業模式。IoT25黑灰產威脅視角家族名稱家族描述平臺GooberBot2023 年首次出現，該家族歸屬 Scar 租賃僵尸網絡，Scar 租賃網絡價格低廉，最低僅 15$就可以獲取長達一個月的 DDoS 攻擊權限。IoTpeachy Botnet 綠盟科技于 2

45、023 首次披露，早期版本僅支持一種 DDoS 攻擊方式，后面增加到了四種，在后期均有不同程度地傳播。IoTXorbot綠盟科技于 2023 首次披露，xorbot 是從 0 開始構建的，采用了全新的架構。IoTRDDoS綠盟科技于 2023 首次披露，RDDoS 僵尸網絡家族的主要功能為 DDoS 攻擊，并且具備命令執行的能力。IoThailBot綠盟科技于 2023 首次披露，hailBot 基于 Mirai 源碼開發而來。早期以金融和貿易機構為主要攻擊目標，之后在 2022 年下半年開始面向 IoT 平臺進行布局。IoTKiraiBot綠盟科技于 2023 首次披露，kiraiBot 是

46、一個借鑒了 Mirai 源碼但又添加諸多個人設計的新型 Mirai 變種家族，其命名來源于樣本中留有的字符串信息“kirai”。IoTCatDDoS2023 年首次出現，CatDDoS 家族在 Mirai 源碼的基礎上引入了 ChaCha20 算法，對一些關鍵信息加密存儲。IoTKmsdBot該家族最早于 2022 年 9 月進入人們的視線，同年 10 月，KmsdBot 攻擊了游戲公司 FiveM 的服務器。該家族于 V2 版本開始添加了 DDoS 模塊，截至 2023 年 7 月份已更新至 V4 版本，DDoS 攻擊模塊更加完備，同時對代碼做了優化，使得程序穩定性提高，代碼風格也逐漸固定。

47、IoT/Windows4.2 黑客組織4.2.1 活躍 DDoS 黑客組織概況根 據 綠 盟 科 技 長 期 監 測，2023 年 期 間，活 躍 的 DDoS 黑 客 攻 擊 事 件 主 要 源 自NoName057(16)、EXECUTOR DDOS、Anonymous Sudan、SYLHET GANG-SG、Russian Cyber Army Team、TEAM HEROX、Mysterious Team Bangladesh、Dark Strom Team、KillNet、India Cyber Force 等地緣政治沖突和宗教問題中選邊站隊的黑客組織，這些攻擊主要涉及俄烏沖突、巴

48、以沖突等地緣政治問題，以及印度與印度尼西亞、孟加拉等國的宗教問題。2024 綠綠盟盟科科技技 密級：請輸入文檔密級-19-4.2 黑黑客客組組織織 4.2.1 活活躍躍 DDoS 黑黑客客組組織織概概況況 根據綠盟科技長期監測，2023 年期間，活躍的 DDoS 黑客攻擊事件主要源自NoName057(16)、EXECUTOR DDOS、Anonymous Sudan、SYLHET GANG-SG、Russian Cyber Army Team、TEAM HEROX、Mysterious Team Bangladesh、Dark Strom Team、KillNet、India Cyber F

49、orce 等地緣政治沖突和宗教問題中選邊站隊的黑客組織，這些攻擊主要涉及俄烏沖突、巴以沖突等地緣政治問題，以及印度與印度尼西亞、孟加拉等國的宗教問題。圖 4.3 活躍 DDoS 黑客組織 2023 年度活躍的 DDoS 黑客組織在 10 月份的攻擊活動異常頻繁，該月發生的攻擊事件占本年度總攻擊事件的比重超過三分之一。攻擊活動的加劇與 10 月 7 日發生的巴以沖突密切相關，導致了黑客組織對 DDoS 攻擊的勢頭迅猛上升。受地緣政治因素的復雜影響，本年度 DDoS 攻擊活動呈現出加劇的趨勢。圖 4.3 活躍 DDoS 黑客組織262023 年 DDoS 年報2023 年度活躍的 DDoS 黑客組

50、織在 10 月份的攻擊活動異常頻繁，該月發生的攻擊事件占本年度總攻擊事件的比重超過三分之一。攻擊活動的加劇與 10 月 7 日發生的巴以沖突密切相關，這一事件導致了黑客組織發起 DDoS 攻擊的勢頭急劇上升。受復雜地緣政治因素的影響，本年度 DDoS 攻擊活動呈現出加劇的趨勢?；钴S度圖 4.4 攻擊組織活躍度通過對年度活躍的 DDoS 黑客組織發聲渠道進行深入分析發現，Telegram 已逐漸成為攻擊組織的主要通訊平臺。3950400100020003000400050006000torPublic websitestelegram發聲渠道圖 4.5 黑客組織發聲渠道27黑灰產威脅視角4.2.

51、2 DDoS 黑客組織攻擊目標2023 年，以色列、印度、印度尼西亞、烏克蘭和美國等國家遭受黑客組織 DDoS 攻擊情況相對嚴重，特別是以色列，遭受黑客攻擊的占比高達 22%。這些國家之所以成為 DDoS 攻擊的主要受害者，與地緣政治、敵對關系和宗教沖突等因素密切相關。23%13%10%9%6%6%6%5%5%5%4%4%4%以色列印度印尼美國波蘭烏克蘭捷克共和國瑞典德國意大利法國西班牙英國圖 4.6 黑客組織攻擊國家2023 年，政府實體成為黑客組織攻擊的高危領域，攻擊比例高達 33%。政府實體遭受的DDoS 攻擊增加表明民族主義黑客組織正在從事具有政治動機的攻擊活動。33%16%12%7%

52、7%7%6%5%4%3%政府管理行業交通物流行業銀行及按揭行業教育行業信息技術服務行業航空公司與航空行業政府及公營機構金融服務業報紙與新聞行業網絡與電信行業圖 4.7 黑客組織攻擊行業282023 年 DDoS 年報4.2.3 2023 年典型黑客組織4.2.3.1 KillnetKillNet 是由網名為“Killmilk”的黑客領導的一支具有親俄傾向的黑客組織，大概在 2022年 3 月成立，是俄烏網絡戰中最活躍的網絡雇傭兵組織之一。KillNet 在俄烏沖突期間與XakNet Team 等黑客組織協同作戰，對支持烏克蘭的組織和國家進行了騷擾級 DDoS 攻擊以及認知作戰，其主要針對航空、

53、銀行、政府、能源、交通物流等行業實施了 DDoS 攻擊。KillNet 通過 Telegram 頻道使用俄語、英語進行發聲，并在 2023 年持續保持活躍，尤其在 2023 年 1 月以及 12 月活動頻率較高。2024 綠綠盟盟科科技技 密級：請輸入文檔密級-22-與 XakNet Team 等黑客組織協同作戰，對支持烏克蘭的組織和國家進行了騷擾級 DDoS 攻擊以及認知作戰，其主要針對航空、銀行、政府、能源、交通物流等行業實施了 DDoS 攻擊。KillNet 通過 Telegram 頻道使用俄語、英語進行發聲，并在 2023 年持續保持活躍，尤其在 2023 年 1 月以及 12 月活動

54、頻率較高。圖 4.8 KillNet 組織活躍趨勢 4.2.3.2 India Cyber Force India Cyber Force，簡稱 ICF，是一個致力于維護印度利益的非政府、非營利黑客組織，其成員主要信奉印度教。ICF 通過 Telegram 和 Twitter 進行宣傳活動，英語是其主要宣傳語言，偶爾也會使用印地語、烏爾都語和尼泊爾語。由于宗教信仰沖突、地緣政治問題以及他國對印度的網絡攻擊反擊等因素，ICF 曾聯合多個黑客聯盟，如“ICN”“UNITED INDIAN HACKERS”“TEAM INDIAN CYBER”等組織，共同對他國發起以 DDoS 攻擊和網站劫持為主要

55、手段的網絡攻擊活動。該組織在 2023 年主要針對孟加拉國、巴勒斯坦、印度尼西亞、巴基斯坦、卡塔爾等國家實施 DDoS 攻擊，其中對孟加拉國的攻擊強度尤為突出，攻擊行業主要分布于政府及公共機構。India Cyber Force 組織在 2023 年保持活躍，尤其在 2023 年 8 月達到了高峰期。圖 4.8 KillNet 組織活躍趨勢4.2.3.2 India Cyber ForceIndia Cyber Force，簡稱 ICF，是一個致力于維護印度利益的非政府、非營利黑客組織，其成員主要信奉印度教。ICF 通過 Telegram 和 Twitter 進行宣傳活動，英語是其主要宣傳語言

56、，偶爾也會使用印地語、烏爾都語和尼泊爾語。由于宗教信仰沖突、地緣政治問題以及他國對印度的網絡攻擊反擊等因素，ICF 曾聯合多個黑客聯盟，如“ICN”“UNITED INDIAN HACKERS”“TEAM INDIAN CYBER”等組織，共同對他國發起以 DDoS 攻擊和網站劫持為主要手段的網絡攻擊活動。該組織在 2023 年主要針對孟加拉國、巴勒斯坦、印度尼西亞、巴基斯坦、卡塔爾等國家實施DDoS攻擊，其中對孟加拉國的攻擊強度尤為突出，攻擊行業主要分布于政府及公共機構。India Cyber Force 組織在 2023 年保持活躍，尤其在 2023 年 8 月達到了高峰期。29黑灰產威脅

57、視角 2024 綠綠盟盟科科技技 密級：請輸入文檔密級-23-圖 4.9 India Cyber Force 組織活躍度 4.2.3.3 NoName057(16)NoName057（16）也稱為 NoName05716、05716nnm 或 Nnm05716，是一支具有親俄傾向的黑客團隊，自 2022 年 3 月起開始進入公眾視野，與 Killnet 和其他親俄組織屬于同一陣營。NoName057（16）通過 Telegram 頻道進行信息發布和行動協調，頻繁宣布對各類攻擊行動負責，同時利用 GitHub 平臺進行 DDoS 工具網站和相關代碼庫的托管與維護。該團隊還開發了一種名為 DDOS

58、IA 的 DDoS 攻擊工具，并創建專門的 Telegram 頻道用于 DDOSIA攻擊工具的宣傳與交流，通過不斷向目標網站發送請求以實施 DDoS 攻擊。該組織在 2023 年主要針對捷克共和國、波蘭、西班牙、德國、立陶宛等北約成員國實施了 DDoS 攻擊，其中對捷克共和國的攻擊強度尤為顯著，攻擊行業主要分布于交通運輸、政府部門、銀行、金融等。NoName057（16）組織在 2023 年持續活躍，尤其是在 2023 年 7 月 31 日，該組織表現出較高的活躍度。圖 4.9 India Cyber Force 組織活躍度4.2.3.3 NoName057(16)NoName057（16）也

59、稱為 NoName05716、05716nnm 或 Nnm05716，是一支具有親俄傾向的黑客組織，自 2022 年 3 月起開始進入公眾視野，與 Killnet 和其他親俄組織屬于同一陣營。NoName057（16）通過 Telegram 頻道進行信息發布和行動協調，頻繁宣布對各類攻擊行動負責，同時利用 GitHub 平臺進行 DDoS 工具網站和相關代碼庫的托管與維護。該團隊還開發了一種名為 DDOSIA 的 DDoS 攻擊工具，并創建專門的 Telegram 頻道用于 DDOSIA 攻擊工具的宣傳與交流，通過不斷向目標網站發送請求以實施 DDoS 攻擊。該組織在 2023 年主要針對捷克

60、共和國、波蘭、西班牙、德國、立陶宛等北約成員國實施了 DDoS 攻擊，其中對捷克共和國的攻擊強度尤為顯著，攻擊行業主要分布于交通運輸、政府部門、銀行、金融等。NoName057（16）組織在 2023 年持續活躍，尤其是在 2023 年 7 月 31 日，該組織表現出較高的活躍度。302023 年 DDoS 年報 2024 綠綠盟盟科科技技 密級：請輸入文檔密級-24-圖 4.10 NoName057（16）組織活躍度 4.2.3.4 Anonymous Sudan Anonymous Sudan 是一群自稱來自蘇丹，出于宗教和政治動機的黑客活動分子，自2023 年 1 月以來，一直對多個西方

61、國家進行出于宗教動機的 DDoS 攻擊。該組織在 2023 年主要針對美國、法國、瑞典、阿聯酋、以色列等國發起 DDoS 攻擊，攻擊行業主要分布于醫療、政府、新聞等。該組織在 2023 年保持活躍，尤其是在 2023 年 12 月該組織呈現出較高活躍度。圖 4.11 Anonymous Sudan 組織活躍度 4.2.3.5 Russian Cyber Army Team Russian Cyber Army Team 是一個地緣政治驅使并致力于維護俄羅斯利益的黑客組織，主要在 Telegram 平臺上通過俄語進行宣傳，深度參與俄烏地緣政治沖突，通過建立社區在圖 4.10 NoName057（

62、16）組織活躍度4.2.3.4 Anonymous SudanAnonymous Sudan 是一群自稱來自蘇丹，出于宗教和政治動機的黑客組織，自 2023 年1 月以來，一直對多個西方國家進行出于宗教動機的 DDoS 攻擊。該組織在 2023 年主要針對美國、法國、瑞典、阿聯酋、以色列等國發起 DDoS 攻擊，攻擊行業主要分布于醫療、政府、新聞等。該組織在 2023 年保持活躍，尤其是在 2023 年 12 月該組織呈現出較高活躍度。2024 綠綠盟盟科科技技 密級：請輸入文檔密級-24-圖 4.10 NoName057（16）組織活躍度 4.2.3.4 Anonymous Sudan An

63、onymous Sudan 是一群自稱來自蘇丹，出于宗教和政治動機的黑客活動分子，自2023 年 1 月以來，一直對多個西方國家進行出于宗教動機的 DDoS 攻擊。該組織在 2023 年主要針對美國、法國、瑞典、阿聯酋、以色列等國發起 DDoS 攻擊，攻擊行業主要分布于醫療、政府、新聞等。該組織在 2023 年保持活躍，尤其是在 2023 年 12 月該組織呈現出較高活躍度。圖 4.11 Anonymous Sudan 組織活躍度 4.2.3.5 Russian Cyber Army Team Russian Cyber Army Team 是一個地緣政治驅使并致力于維護俄羅斯利益的黑客組織，

64、主要在 Telegram 平臺上通過俄語進行宣傳，深度參與俄烏地緣政治沖突，通過建立社區在圖 4.11 Anonymous Sudan 組織活躍度31黑灰產威脅視角4.2.3.5 Russian Cyber Army TeamRussian Cyber Army Team 是一個地緣政治驅使并致力于維護俄羅斯利益的黑客組織，主要在 Telegram 平臺上通過俄語進行宣傳，深度參與俄烏地緣政治沖突，通過建立社區在Telegram 頻道、Github 平臺發布各平臺 DDoS 工具以及教程的方式對烏克蘭以及北約成員國發起 DDoS 攻擊。該組織在 2023 年主要針對烏克蘭、波蘭、摩爾多瓦、羅馬

65、尼亞、阿爾巴尼亞等國發起DDoS 攻擊，攻擊行業主要分布于政府、電信業、新聞、教育等。Russian Cyber Army Team 組織在 2023 年持續活躍，尤其是在 2023 年 12 月份表現出較高的活躍度。2024 綠綠盟盟科科技技 密級：請輸入文檔密級-25-Telegram 頻道、Github 平臺發布各平臺 DDoS 工具以及教程的方式對烏克蘭以及北約成員國發起 DDoS 攻擊。該組織在 2023 年主要針對烏克蘭、波蘭、摩爾多瓦、羅馬尼亞、阿爾巴尼亞等國發起DDoS 攻擊，攻擊行業主要分布于政府、電信業、新聞、教育等。Russian Cyber Army Team 組織在

66、2023 年持續活躍，尤其是在 2023 年 12 月份表現出較高的活躍度。圖 4.12 Russian Cyber Army Team 組織活躍度 五五.新新型型 DDoS 攻攻擊擊手手段段 5.1 SLP 反反射射放放大大攻攻擊擊 SLP 是一個服務發現協議，允許計算機或設備可以找到其他設備，包括打印機、文件服務器等。2023 年 4 月，研究人員 Pedro Umbelino 和 Marco Lux 在 Curesec 上發表博客公開了 SLP 協議中存在的漏洞 CVE-2023-29552，該漏洞允許在未經授權的情況下使用 SLP協議注冊新的服務。攻擊者可以利用這一漏洞發起 DDoS

67、攻擊，首先通過該漏洞注冊新服務直到 SLP 服務器拒絕為止，以此來增大反射倍數，然后偽造源 IP 為目標 IP，使用服務條目請求接口來進行 DDoS 反射放大攻擊。據綠盟科技監測，攻擊者已經將該攻擊方法武器化。2023 年 12 月共監測到 5322 起利用 SLP 反射放大攻擊的事件，攻擊目標主要以巴基斯坦、美國、中國為主，其中針對巴基斯坦的攻擊均使用掃段攻擊，涉及 395 個被攻擊目標。另外，攻擊者已利用該攻擊方式實施了針對醫療行業的攻擊，攻擊目標為愛爾蘭 wellevate 在線問診平臺。圖 4.12 Russian Cyber Army Team 組織活躍度05新型 DDoS攻擊手段3

68、3新型 DDoS 攻擊手段5.1 SLP 反射放大攻擊SLP 是一個服務發現協議，允許計算機或設備可以找到其他設備，包括打印機、文件服務器等。2023 年 4 月，研究人員 Pedro Umbelino 和 Marco Lux 在 Curesec 上發表博客公開了 SLP 協議中存在的漏洞 CVE-2023-29552，該漏洞允許在未經授權的情況下使用 SLP 協議注冊新的服務。攻擊者可以利用這一漏洞發起 DDoS 攻擊，首先通過該漏洞注冊新服務直到SLP 服務器拒絕為止，以此來增大反射倍數，然后偽造源 IP 為目標 IP，使用服務條目請求接口來進行 DDoS 反射放大攻擊。據綠盟科技監測，攻

69、擊者已經將該攻擊方法武器化。2023 年 12 月共監測到 5322 起利用 SLP 反射放大攻擊的事件，攻擊目標主要以巴基斯坦、美國、中國為主，其中針對巴基斯坦的攻擊均使用掃段攻擊，涉及 395 個被攻擊目標。另外，攻擊者已利用該攻擊方式實施了針對醫療行業的攻擊，攻擊目標為愛爾蘭 wellevate 在線問診平臺。2024 綠綠盟盟科科技技 密級：請輸入文檔密級-26-5.2 HTTP/2 Rapid Reset 攻攻擊擊 HTTP/2 協議在 HTTP/1.1 基礎之上增加了二進制分幀，實現了 HTTP 流傳輸，客戶端可以在單個 TCP 連接上打開多個并發流，當然也可以通過 RST_STR

70、EAM 幀來取消流。而且客戶端可以在與服務端不進行任何方式協調的情況下發送 RST_STREAM 幀取消流。HTTP/2 Rapid Reset 正是利用了這一缺陷來實現攻擊，研究人員發現該缺陷并提交漏洞 CVE-2023-44487。攻擊者在攻擊時，通過 HTTP/2 請求打開大量流，然后立即取消每個請求，而不會等待服務器對每個請求進行響應，攻擊者可以無限做此操作，雖然服務器沒有響應，但還是會為取消的請求分配資源，大量的請求會將服務器資源消耗殆盡，造成服務不可用。據綠盟科技監測，2023 年 8 月，攻擊者利用該攻擊方式攻擊了 Cloudflare、AWS、Google 主流云廠商的部分客戶

71、，攻擊強度最高達到每秒 2.01 億次請求的峰值，這導致請求吞吐量超過了 Cloudflare 解析 TLS 流量的 TLS 代理服務器的處理能力，許多用戶訪問出現“502BadGateway”錯誤，最高時受影響客戶比率約占 12%。5.2 HTTP/2 Rapid Reset 攻擊HTTP/2 協議在 HTTP/1.1 基礎之上增加了二進制分幀，實現了 HTTP 流傳輸，客戶端可以在單個 TCP 連接上打開多個并發流，當然也可以通過 RST_STREAM 幀來取消流。而且客戶端可以在與服務端不進行任何方式協調的情況下發送 RST_STREAM 幀取消流。HTTP/2 Rapid Reset

72、正是利用了這一缺陷來實現攻擊，研究人員發現該缺陷并提交漏洞 CVE-2023-44487。攻擊者在攻擊時，通過 HTTP/2 請求打開大量流，然后立即取消每個請求，而不會等待服務器對每個請求進行響應，攻擊者可以無限做此操作，雖然服務器沒有響應，但還是會為342023 年 DDoS 年報取消的請求分配資源，大量的請求會將服務器資源消耗殆盡，造成服務不可用。據綠盟科技監測，2023 年 8 月，攻擊者利用該攻擊方式攻擊了 Cloudflare、AWS、Google 主流云廠商的部分客戶，攻擊強度最高達到每秒 2.01 億次請求的峰值，這導致請求吞吐量超過了 Cloudflare 解析 TLS 流量

73、的 TLS 代理服務器的處理能力，許多用戶訪問出現“502BadGateway”錯誤，最高時受影響客戶比率約占 12%。06攻防案例362023 年 DDoS 年報6.1 2023 年 3 月某國際客戶遭受 UDP 掃段攻擊某國際客戶在 2023 年 3 月遭受了 UDP 掃段攻擊，最大攻擊規模約為 500Gbps。一開始，我們采取 UDP 速率限制的防護方式保障客戶業務穩定運行，一段時間后，客戶反映部分 UDP 業務異常，確認后發現是由于 UDP 速率限制設置的閾值過小導致的。提高限速閾值后，業務恢復正常，泄漏流量也提升至 10Gbps-20Gbps 左右。對捕獲的數據包進行分析后，發現大多

74、數 UDP 流量沒有明顯特征，但其數據包長度在1302 到 1442 之間。2024 綠盟科技 密級：請輸入文檔密級-29-由于模式匹配只支持最大/24前綴作為目的 IP，其不適用于實際場景。我們對每個保護組采取 UDP 數據包長度校驗的方式，這種方式將所有不在該范圍內的 UDP 數據包丟棄，對業務的影響最小。七.年度 DDoS 大事件 7.1 2023 年 2-4 月 2 月 16 日，作為對德國政府決定向烏克蘭派遣豹 2 坦克的回應，親俄羅斯黑客 KillNet對德國機場、行政機構和銀行的網站發起的一系列大規模 DDoS 攻擊。攻擊導致德國的杜塞爾多夫、紐倫堡、多特蒙德機場網站驟然間全部癱

75、瘓。且遭遇攻擊的當天晚上，全德 7 座主要機場的員工開始 24 小時罷工，導致超過 2300 架次航班取消，影響近 30 萬乘客出行。由于模式匹配只支持最大/24 前綴作為目的 IP，其不適用于實際場景。我們對每個保護組采取 UDP 數據包長度校驗的方式，這種方式將所有不在該范圍內的 UDP 數據包丟棄，對業務的影響最小。37攻防案例07年度DDoS 大事件39年度 DDoS 大事件7.1 2023 年 2-4 月2 月 16 日，作為對德國政府決定向烏克蘭派遣豹 2 坦克的回應，親俄羅斯黑客 KillNet對德國機場、行政機構和銀行的網站發起的一系列大規模 DDoS 攻擊。攻擊導致德國的杜塞

76、爾多夫、紐倫堡、多特蒙德機場網站驟然間全部癱瘓。且遭遇攻擊的當天晚上，全德 7 座主要機場的員工開始 24 小時罷工，導致超過 2300 架次航班取消，影響近 30 萬乘客出行。3 月份，黑客組織 Killnet 異?；钴S，連續對表示支持烏克蘭的政府發動了 DDoS 攻擊，受害者主要包括意大利、羅馬尼亞、摩爾多瓦、捷克共和國、立陶宛、挪威和拉脫維亞等國。4 月份，該黑客組織再度出手，先是通過其 Telegram 頻道呼吁對歐洲空中交通管理局（EUROCONTROL）采取行動，隨后正式對其發起了大規模 DDoS 攻擊。7.2 2023 年 5 月2023 年 5 月 31 日，希臘教育部遭受了該

77、國有史以來最嚴重的攻擊，攻擊旨在癱瘓希臘高中考試平臺，導致高中考試中斷和延遲。根據綠盟科技監測，5 月 29 日和 5 月 30 日，攻擊者利用 netAssistant、DHDdiscover 等反射器對希臘教育政策研究所發起數萬次 DDoS 反射放大攻擊，攻擊導致全國考試被干擾，甚至引發了政治動蕩。7.3 2023 年 6 月6 月 14 日，親俄黑客組織 Killnet、復興的 REvil 和匿名蘇丹宣布，他們已聯手對包括歐洲和美國銀行以及美國聯邦儲備系統在內的西方金融體系進行“大規?！盌DoS 網絡攻擊。這個被稱為“暗網議會”的組織宣稱其首要目標是癱瘓 SWIFT（全球銀行間金融電信協

78、會）。7.4 2023 年 8 月8 月份，綠盟科技監測到利比亞遭受大規模 DDoS 攻擊，攻擊目標極為廣泛，包括政府部門、教育行業、金融行業、能源行業等均遭到攻擊。監測結果顯示，利比亞投票網遭受多次 DDoS 攻擊，這可能會破壞選民對選舉過程的信任，并對 8 月份進行的利比亞主席選舉的結果產生一定的影響；在此次大規模 DDoS 攻擊中，現實世界中的武裝部隊沖突時間點與網空戰場的 DDoS 攻擊趨勢基本吻合。DDoS 攻擊的流量變化趨勢與利比亞復雜的政治環境息息相關。402023 年 DDoS 年報7.5 2023 年 10 月2023 年 10 月，巴以沖突爆發后，多方勢力的黑客行動主義（H

79、acktivism）組織開始在雙方網絡空間區域內進行持續的博弈，攻擊方式主要以 DDoS 攻擊為主。綠盟科技在雙方沖突發生 1 天后的 10 月 8 日至 10 月 9 日監測到多起針對雙方的 DDoS 攻擊事件，以方 DDoS受攻擊網站主要包括政府官網網站、國防軍郵件系統、電力公司 DNS 服務、耶路撒冷郵報等，巴方受攻擊網站主要包括哈馬斯組織官方網站、電信公司網站等。整個沖突前期共有 55 個團伙參與 DDoS 攻擊，包括 Killnet、Anonymous Sudan 在內的 43 個親巴勒斯坦黑客組織和India Cyber Force、UCC 等為主的 12 個親以色列黑客組織，雙方均以政府、金融、軍事、通信類關基系統為目標，甚至涉及以色列鐵穹系統（一套全天候的機動型防空系統，由以色列拉斐爾先進防御系統公司研發，主要用于攔截 5 至 70 公里范圍內的火箭彈）。