綠盟科技：2019年DDoS攻擊態勢報告(47頁).pdf

1、* 8 ( 9 ) 0 + = P POI LK . ? / : ; “ ; Delete Return shift option 防 御 DDoS攻擊態勢報告 DDoS Attack Landscape 2019 UDP Flood HTTPS Flood ICMP Flood ACK Flood SYN Flood 關于中國電信云堤 2008 年以來，中國電信開始著力于網絡 DDoS 攻擊防護能力建設，已形成了覆蓋國內 31 省 和亞太、歐洲、北美等主要 POP 點一體化攻擊防御能力。2014 年，中國電信首次在業界系統性 提出電信級網絡集約化安全能力開放平臺框架，并將“云堤”作為對外服務

2、的統一品牌。 “保障網絡安全、提供一流服務”，中國電信除了持續加強高效、可靠、精確、可開放的 DDoS攻擊防護能力建設外， 繼續加大網絡資源和能力的開放力度， 陸續推出網站安全、 域名安全、 反欺詐和 APP 合法合規等產品。目前已為政務、金融、教育、醫療、互聯網、能源制造等數千家 行業客戶提供運營商級網絡安全服務。 關于綠盟科技 北京神州綠盟信息安全科技股份有限公司（以下簡稱綠盟科技公司），成立于 2000 年 4 月， 總部位于北京。公司于 2014 年 1 月 29 日在深圳證券交易所創業板上市，證券代碼：300369。 綠盟科技在國內設有 40 多個分支機構，為政府、運營商、金融、能源

3、、互聯網以及教育、醫療 等行業用戶，提供全線網絡安全產品、全方位安全解決方案和體系化安全運營服務。公司在美國 硅谷、日本東京、英國倫敦、新加坡設立海外子公司，深入開展全球業務，打造全球網絡安全行 業的中國品牌。 版權聲明 本文中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注 明，版權均屬綠盟科技所有，受到有關產權及版權法保護。任何個人、機構未經綠盟科技的書 面授權許可，不得以任何方式復制或引用本文的任何片斷。 2019 DDoS 攻擊態勢報告 A 目錄 1. 執行摘要 2 2. 2019 年 DDoS 攻擊態勢概覽 4 2.1 2019 vs 2018 5 2.2 重

4、要觀點 5 3. 2019 年 DDoS 攻擊分析 6 3.1 DDoS 攻擊次數和流量峰值情況 7 3.1.1 攻擊峰值分布 7 3.1.2 DDoS 攻擊次數和攻擊流量 9 3.1.3 單次攻擊最高和平均峰值 11 3.2 DDoS 攻擊類型分析 12 3.2.1 攻擊類型占比 12 3.2.2 攻擊類型各流量區間分布 16 3.2.3 反射攻擊 17 3.3 DDoS 攻擊時間刻畫 18 3.3.1 DDoS 攻擊持續時間占比 18 3.3.2 一天中 DDoS 攻擊活動分布 18 3.3.3 一周中 DDoS 攻擊活動分布 19 3.4 DDoS 攻擊地域分布 20 3.4.1 DDo

5、S 受控攻擊源地域分布 20 3.4.2 DDoS 攻擊目標地域分布 21 3.4.3 DDoS 控制端地域分布 22 3.5 攻擊資源行為分析 23 3.5.1 攻擊資源活躍度分析 23 3.5.2 活躍攻擊資源地域分布 24 3.5.3 攻擊資源慣犯分析 25 3.5.4 攻擊資源異常行為類型分析 25 3.5.5 攻擊資源團伙行為分析 26 3.6 物聯網攻擊資源分析 34 3.6.1 異常物聯網設備的 DDoS 參與度分析 34 3.6.2 參與 DDoS 攻擊的物聯網設備的地域分布 35 3.6.3 參與 DDoS 攻擊的物聯網設備類型分布 36 3.7 DDoS 僵尸網絡 37 3

6、.7.1 僵尸網絡概覽 37 3.7.2 熱點家族 40 4. 總結 43 2019 DDoS 攻擊態勢報告 2 執行摘要 1. 執行摘要 1 執行摘要 2019 DDoS 攻擊態勢報告 3 執行摘要 2019 年，我們發現 DDoS 攻擊的平均峰值與 2018 年相比穩中有升，達 42.9Gbps，體現中大規模 攻擊的技術成熟度在逐年提升。超大型 DDoS 攻擊事件在 2018 年急劇增長后逐年穩步增長，2019 年 300Gbps 以上的超大規模攻擊與 2018 年相比，增長了 200 余次。 從攻擊總流量來看，2019 年攻擊總流量相比于 2018 年卻下降了 26.4%，體現出整體攻擊

7、者的攻擊 意愿并沒有隨著技術成熟度同步上升。比特幣市場的走強和僵尸網絡的功能遷移可能是主要的原因。僵 尸網絡不再局限于單一的 DDoS 或者遠控功能，或選擇與勒索軟件，挖礦木馬合作進行攻擊，或轉向分 布式爆破攻擊。 功能的豐富和切換的靈活性使得黑灰產攻擊者能夠緊密跟隨市場趨勢， 最大化自身獲利。 另一方面，物聯網設備的 DDoS 攻擊參與度在逐年提升，全年參與 DDoS 攻擊的物聯網攻擊資源近 17 萬，在我們發現的 DDoS 團伙中單一團伙最高包含 2.8 萬物聯網攻擊資源，占比高達 31%。物聯網 設備數量眾多，在線時間長，漏洞更新周期長，成為攻擊者漏洞利用的溫床，需要我們進一步加強感知、

8、 預防和治理。 本報告的第二章的是 2019 年的 DDoS 攻擊態勢概覽。在第三章，本文從攻擊次數、流量、攻擊類 型、時間、地域等多個維度，以及從攻擊資源、團伙性行為、物聯網和僵尸網絡四個視角，力求全面剖 析 2019 年的 DDoS 的變化和演進，以便拋磚引玉，幫助各組織 / 機構持續改善自身網絡安全防御體系 及技術。 2019 DDoS 攻擊態勢報告 4 2019 年 DDoS 攻擊態勢概覽 2. 2019 年 DDoS 攻擊態勢概覽 2 2019年DDoS攻擊態勢概覽 2019 DDoS 攻擊態勢報告 5 2019 年 DDoS 攻擊態勢概覽 2.1 2019 vs 2018 1. 攻

9、擊次數增加了 30.2%，攻擊總流量下降了 26.4% 2. 1-5Gbps 小規模攻擊顯著增加，300Gbps 以上的大規模攻擊小幅增加 3. 平均峰值小幅增長，達 42.9Gbps，中大規模攻擊的技術成熟度在逐年提高 4. UDP Flood、SYN Flood 和 ACK Flood 依然是 DDoS 的主要攻擊手法，混合攻擊在超大規模攻擊 中發揮重要作用 5. 物聯網設備的 DDoS 攻擊參與度逐年提升 6. IoT 家族的漏洞利用載荷組成與 2018 年類似，主要攻擊物聯網智能設備，同時攻擊手段增多， 在攻擊鏈上的角色出現了分工態勢 2.2 重要觀點 1. 成熟：攻擊者的技術成熟度在

10、穩步提升，攻擊者在 DDoS 外存在更多獲利選擇。 2. 混合：12.5% 的 DDoS 攻擊事件使用了多種攻擊手法，在 300Gbps 以上的超大規模攻擊中逾 3 成攻擊都采用了混合攻擊模式，對清洗設備性能和清洗線路的穩定，以及防護運營提出了更大的挑戰。 3. 慣犯：2019 年全年 DDoS 慣犯（攻擊次數大于 20 次）達 130 萬，其中 7% 的慣犯承擔了 78% 的攻擊事件，慣犯行為值得持續關注。 4. 團伙：全年發現DDoS團伙60個， 攻擊資源數量大于1000的團伙達15個， 最大攻擊團伙包含8.8 萬攻擊源，月均活躍 3.5 萬攻擊源，團伙行為和攻擊團伙的治理值得持續關注。

11、5. 物聯網：物聯網設備參與 DDoS 攻擊的情況值得持續關注，參與 DDoS 攻擊的物聯網設備逐年 增加，DDoS 團伙中單一團伙最高物聯網設備占比達 31%。 6. 惡意家族：IoT 平臺家族攻擊占比進一步擴大，Gafgyt 和 Mirai 貢獻了大部分攻擊行為，但整體 上，在 DDoS 特征、攻擊目標和 C&C 分布等方面沒有明顯變化。 7. 地域：國內，香港取代浙江成為受 DDoS 攻擊最多的省份，其它依次是浙江、廣東、北京、江蘇。 2019 DDoS 攻擊態勢報告 6 2019 年 DDoS 攻擊分析 3. 2019 年 DDoS 攻擊分析 3 2019年DDoS攻擊分析 2019

12、DDoS 攻擊態勢報告 7 2019 年 DDoS 攻擊分析 3.1 DDoS 攻擊次數和流量峰值情況 3.1.1 攻擊峰值分布 從最近三年各月數據來看，攻擊峰值在 100Gbps 以上的大型攻擊的次數在 2018 年大幅攀升后，連 續兩年在高位波動。2017 年全年 100Gbps 以上的大型攻擊為 1.18 萬次，僅為 2018 年的 48%（全年 2.45 萬次）。2019 年，100Gbps 以上的大型攻擊發生了 2.14 萬次（截止至 2019 年 11 月），與 2018 年同期的 2.2 萬次基本持平。與此同時，300Gbps 以上的超大規模攻擊在逐年遞增，從 2017 平均每月

13、 30 次增長到 2018 年平均每月 247 次后，在 2019 年小幅增長到平均每月 262 次，超大規模攻擊次數持 續增長已經成為常態。 2017年AprJulOct2018年 AprJulOct 2019年 AprJulOct 100Gbps以上攻擊次數300Gbps以上攻擊次數 圖 3.1 大流量攻擊的次數變化 數據來源：中國電信云堤 2019 DDoS 攻擊態勢報告 8 2019 年 DDoS 攻擊分析 在全部 DDoS 攻擊中，22.2% 的攻擊峰值在 1-5Gbps 之間，在所有區間中占比最高。與 2018 年相 比，攻擊峰值分布向單側分化，攻擊峰值 10Gbps 以下的小規模

14、 DDoS 攻擊有所增加，占全部攻擊的 49.9%，1-5Gbps 的小規模攻擊比例成倍增加。 15.6% 22.2% 12.1% 12.5% 16.0% 9.5% 7.4% 3.3% 1.6% 2018年2019年 大于300G 200-300G 100-200G 50-100G 20-50G 10-20G 5-10G 1-5G 小于1G 圖 3.2 攻擊峰值分布 數據來源：中國電信云堤 從各季度來看，DDoS 攻擊峰值在 20Gbps 以下的小型攻擊持續增加，在進入 Q4 后，小型攻擊在 全部攻擊中占比 66%，特別是在 Q2，5Gbps 以下的小規模攻擊占了全部攻擊的 41.5%。300

15、Gbps 以上 的超大規模攻擊整體占比減少但絕對數量小幅增長，截止 2019 年 11 月全年共發生了 2884 次，同比 2018 年的 2673 次小幅增加。對比 2017 年全年 300Gbps 以上的超大規模攻擊只有 350 次，近兩年的 超大規模攻擊均增長 6 倍以上。 2019 DDoS 攻擊態勢報告 9 2019 年 DDoS 攻擊分析 Q1Q2Q3Q4Q1Q2Q3Q4 大于300G200-300G100-200G50-100G 20-50G10-20G5-10G1-5G小于 1G 2018年2019年 圖 3.3 2018 年 vs2019 年各季度各類規模攻擊次數占比 數據來

16、源：中國電信云堤 3.1.2 DDoS 攻擊次數和攻擊流量 2019 年（截止 2019 年 11 月），我們監控到 DDoS 攻擊次數為 16.74 萬次，攻擊總流量為 43.68 萬 TB，與 2018 年同期相比，攻擊次數增加了 30.2%，攻擊總流量下降了 26.4%，這是自 2017 年攻擊 總流量翻番后首次下降。 2019 DDoS 攻擊態勢報告 10 2019 年 DDoS 攻擊分析 月份 2017年2018年2019年 攻擊次數 單位：萬次 Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec 月份 2017年2018年2019年 攻擊

17、流量 單位：萬TB Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec 圖 3.4 攻擊次數與攻擊流量 數據來源：中國電信云堤 2019 DDoS 攻擊態勢報告 11 2019 年 DDoS 攻擊分析 從 2019 年各月攻擊次數來看，DDoS 攻擊次數整體平穩且在下半年攻擊流量有短期下降的趨勢。 我們認為，DDoS 攻擊的總體趨勢與虛擬貨幣的價格回升有關。我們在2017 年 DDoS 與 Web 應用攻 擊態勢報告1中指出，隨著虛擬貨幣的升值，黑產開始將掌握的“優質”Botnet 資源從犯罪成本較高 的 DDoS 活動轉而投向犯罪成本相對較低但收益

18、更高的挖礦活動中。在 2019 年，隨著虛擬貨幣的價格 回升， 挖礦性價比增加， 攻擊者選擇DDoS攻擊進行獲利的傾向減弱， 在下半年的數據中體現得尤為明顯。 將各月份比特幣價格與 DDoS 總流量趨勢對比，其 Pearson 相關系數為 -0.53，呈一定的負相關性， 這更加證實了我們的觀點。 2017年 AprJulOct2018年 Apr JulOct2019年 AprJulOct 虛擬貨幣價格值DDoS攻擊總流量 圖 3.5 比特幣價格與 DDoS 攻擊總流量趨勢對比圖 數據來源：中國電信云堤 3.1.3 單次攻擊最高和平均峰值 2019 年初，DDoS 攻擊出現了新工具。例如，2 月

19、初，一種快速進化的由 QBot、Mirai 和其他公開 惡意軟件組成的僵尸網絡 Cayosin 出現在大眾視野 2, 通過 YouTube 等廣泛傳播。3 月中旬出現了 Mirai 病毒變種，除了攻擊目標更加廣泛外，它還包括了更多的漏洞利用庫 3。 1 2 3 2019 DDoS 攻擊態勢報告 12 2019 年 DDoS 攻擊分析 截止2019年11月， DDoS攻擊的平均峰值為42.9Gbps， 和2018年同期的41.1Gbps相比基本持平， 2019 年前半年 DDoS 攻擊的平均峰值普遍高于 2018 年，在 6 月份之后 2019 年的 DDoS 攻擊的平均峰 值普遍低于 2018

20、 年。 從最大峰值來看， 2019年的最大峰值在5月份之前普遍高于2018年， 5月份之后普遍低于2018年。 2018年的最高峰值1.41Tbps出現在2018年6月份， 2019年的最高峰值885Gbps出現在2019年5月份。 月份 2018年2019年 平均攻擊峰值 單位：Gbps 最大攻擊峰值 單位：Gbps Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec 月份 2018年2019年 Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec 圖 3.6 攻擊平均峰值和最高峰值 數據來源：中國電信云堤

21、 3.2 DDoS 攻擊類型分析 3.2.1 攻擊類型占比 2019 年，主要的攻擊類型為 UDP Flood，SYN Flood，ACK Flood，這三大類攻擊占了總攻擊次數 的 82，反射類攻擊占 10%。和 2018 年相比，反射類型的攻擊次數稍有增加但仍占比較小。 2019 DDoS 攻擊態勢報告 13 2019 年 DDoS 攻擊分析 攻擊流量占比攻擊次數占比 UDP Flood SYN Flood ACK Flood HTTPS Flood SSDP Reflection Flood NTP Reflection Flood ICMP Flood DNS Reflection F

22、lood DNS Request Flood other 40.8% 26.6% 14.9% 4.4% 4.3% 4.2% 2.1% 1.3% 0.8% 0.6% 42.2% 38.5% 0.8% 0.0% 6.3% 11.7% 0.1% 0.1% 0.1% 0.1% 圖 3.7 攻擊類型的攻擊次數分布 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務 UDP Flood、SYN Flood 和 ACK Flood 依然是 DDoS 的主要攻擊手法。其中 HTTP Flood 由去年的攻 擊次數占比 8.3% 減少至 0.1%。 從 DDoS 攻擊事件來看，有 12.5% 的攻擊事件使用了多

23、種攻擊手法。攻擊者根據目標系統的具體環 境靈動組合，發動多種攻擊手段，既具備了海量的流量，又利用了協議、系統的缺陷，盡其所能地展開 攻勢。對于被攻擊目標來說，需要面對不同協議、不同資源的分布式的攻擊，分析、響應和處理的成本 就會大大增加。另外，混合攻擊在超大型攻擊中占比突出，僅次于 SYN 攻擊。詳見章節 3.2.2 。 2019 DDoS 攻擊態勢報告 14 2019 年 DDoS 攻擊分析 混合攻擊 12.5% 單一類型 87.5% 5種及以上 4種類型 0.0% 0.3% 3種類型 1.3% 10.9% 2種類型 圖 3.8 混合攻擊分布 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服

24、務 典型案例： 2019 年 8 月，綠盟黑洞云清洗某游戲行業客戶在一個月里經歷了持續而高量級的 DDoS 攻擊， 200G 以上的攻擊高達二十余次。攻擊峰值最高一次攻擊到達 388.5G，清洗后輸送給客戶的干凈流量僅 110.6M，正常流量占比不及 0.1%。 圖 3.9 某游戲行業客戶的受攻擊流量概況 2019 DDoS 攻擊態勢報告 15 2019 年 DDoS 攻擊分析 400G 200G 0 UDP FLOOD TRAFFIC ABNORMAL DNS RESPONSE FLOOD DNS REQUEST FLOOD SSDP REFLECTION FLOOD NTP REFLECT

25、ION FLOOD SYN FLOOD LAND FLOOD HTTPS FLOOD ACK FLOOD 攻擊峰值 圖 3.10 多攻擊矢量攻擊峰值 3K 2K 1K 0 UDP FLOOD TRAFFIC ABNORMAL DNS RESPONSE FLOOD DNS REQUEST FLOOD SSDP REFLECTION FLOOD NTP REFLECTION FLOOD SYN FLOOD LAND FLOOD ICMP FLOOD HTTPS FLOOD ACK FLOOD 攻擊次數 圖 3.11 多攻擊矢量攻擊次數 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務 該客戶有兩

26、個網段集中被打，各有其特征： 一個網段主要是遭受各種 UDP 類型的洪泛，除了普通的 UDP 泛洪，還有近年來流行的集群反射型 攻擊（DRDoS），如 NTP 反射、SSDP 反射、SNMP 反射。這類攻擊往往來自于分布于全球肉雞的海 量源 IP，普遍 200G 以上，持續幾十分鐘到一個小時。在反射攻擊的情境下，反射攻擊的源端口都有明 顯的特征，可以被簡易的規則丟棄，所以更多考驗的不是檢測算法，而是清洗機房的覆蓋度、線路的穩 定性，以及清洗設備性能的穩定性。 另一個網段則遭到了空連接攻擊，流量 100G 左右，但可以繞過日常使用的 TCP 類型防護算法。安 全專家通過抓包分析后發現一個模式：肉

27、雞向服務器發起 TCP 連接，正常響應，TCP 三次握手成功后， 肉雞都會立即發出 FIN 和 RST 包，重新發起連接，造成服務器資源浪費。在該攻擊場景下，考驗的是 防護運營者的響應速度、動態策略調整及時性和安全經驗。 2019 DDoS 攻擊態勢報告 16 2019 年 DDoS 攻擊分析 3.2.2 攻擊類型各流量區間分布 與 2018 年數據相比， SYN 攻擊替代了 UDP 攻擊，在今年的大流量攻擊中占據主導地位。 小于1G 1-5G 5-10G 10-20G 20-50G 50-100G 100-200G 200-300G SYN FloodACK FloodUDP FloodSS

28、DP Reflection FloodNTP Reflection FloodOther 圖 3.12 DDoS 攻擊類型各流量區間 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務 2019 年 300G 以上的超大規模的攻擊類型分布如下圖所示，SYN 攻擊占比最高，其次是混合攻擊， 占比 32%，對清洗設備性能和清洗線路的穩定，以及防護運營提出了更大的挑戰。 55% 32% 12%1% SYN Flood SSDP Refl ection Flood 混合攻擊 other 圖 3.13 300G 以上超大規模的攻擊類型分布 數據來源：中國電信云堤 2019 DDoS 攻擊態勢報告 17

29、2019 年 DDoS 攻擊分析 3.2.3 反射攻擊 2019 年，反射類型的攻擊次數占全部攻擊的 10%，但攻擊流量卻占了全部流量的 18%，但由于反 射攻擊對流量的放大作用，其危害仍不可忽視。同時需要持續關注新出現的反射攻擊類型，綠盟科技格 物實驗室在 2019 年下半年進行了 WS-Discovery 反射攻擊深度分析 1，全球有約 91 萬個 IP 開放了 WSD 服務，存在被利用進行 DDoS 攻擊的風險（最高反射比可達 5002 ），其中有約 73 萬是視頻監控設備， 約占總量的 80%。 從全年反射攻擊次數來看，主要為 NTP 反射攻擊和 SSDP 反射攻擊，在全部反射攻擊中占

30、比 84；從產生的流量來看，NTP 反射攻擊占比最大，占據全部反射攻擊流量的 65%。 NTP Reflection Flood SSDP Reflection Flood DNS Reflection Flood SNMP Reflection Flood 攻擊流量攻擊次數 41.9% 42.7% 13.2% 2.2% 64.7% 34.7% 0.5% 0.2% 圖 3.14 各類反射攻擊次數與流量占比 數據來源：綠盟黑洞云清洗服務 1 2 2019 DDoS 攻擊態勢報告 18 2019 年 DDoS 攻擊分析 3.3 DDoS 攻擊時間刻畫 3.3.1 DDoS 攻擊持續時間占比 201

31、9 年，DDoS 攻擊的平均時長為 52 分鐘，和 2018 年相比，上升了 18%。我們檢測到，2019 年， 持續時間最長的 DDoS 攻擊在 20 天左右，遠遠大于前期的攻擊時長。 2019 年，攻擊時長在 30 分鐘以內的 DDoS 攻擊占了全部攻擊的 75%，與 2018 年相比基本持平， 這種短時攻擊的高占比說明攻擊者越來越重視攻擊成本和效率，傾向于在短時間內，以極大的流量導 致目標服務的用戶掉線、延時和抖動。同時，僵尸網絡即服務（Botnet-as-a-Service）和 DDoS 即服務 （DDoS-as-a-Service）的流行也是重要原因之一，平臺用戶只要付款就可以即時獲

32、得一批傭兵式的攻擊 資源，可以在短時間內發起大規模攻擊。1 在長周期內，多次瞬時攻擊能夠嚴重影響目標服務質量，同 時攻擊成本得到有效控制。 1.2% 6-12小時 1.3% 12-14小時 0.1% 1天以上 1.8% 3-6小時 8.0% 1-3小時 12.3% 30-60分鐘 75.2% 小于30分鐘 圖 3.15 攻擊持續時間占比 數據來源：中國電信云堤 3.3.2 一天中 DDoS 攻擊活動分布 從一天 24 小時攻擊占比可知，業務高峰時段（10 點 -22 點），為攻擊者發起 DDoS 攻擊的高峰期， 1 2019 DDoS 攻擊態勢報告 19 2019 年 DDoS 攻擊分析 占全

33、天攻擊的 70%。這段時間也是在線業務的訪問最高峰區間，攻擊者在訪問高峰期發起 DDoS 攻擊， 以此來提升攻擊的效果和影響。 0.0% 1.0% 2.0% 3.0% 4.0% 5.0% 6.0% 7.0% 8.0% 2018年2019年 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 小時 圖 3.16 一天 24 小時 DDoS 攻擊占比 數據來源：中國電信云堤 3.3.3 一周中 DDoS 攻擊活動分布 從每周中 DDoS 攻擊活動的分布來看，一周中各天所發生的 DDoS 攻擊事件比例并無明顯

34、差別。背 后的一個重要原因是現有網絡服務往往提供 7 X 24 服務，因而一周中每一天都可能被攻擊。 Mon.Tue.Wed.ThuFir.Sat.Sun. 2018年2019年 14.6% 14.4% 15.2% 14.7%14.7% 14.1% 12.2% 圖 3.17 一周七天 DDoS 攻擊占比 數據來源：中國電信云堤 2019 DDoS 攻擊態勢報告 20 2019 年 DDoS 攻擊分析 3.4 DDoS 攻擊地域分布 3.4.1 DDoS 受控攻擊源地域分布 經統計，2019 年中國是 DDoS 受控攻擊源最多的國家，占比為 36.19%，其次是美國和英國。雖然 受控源數量上中國

35、居于首位，但相較于去年整體占比有所降低，說明我國針對 DDoS 的治理與防護已產 生一定的效果。 5000000-10000000 3000000-5000000 100000-3000000 10000-100000 1000-10000 100-1000 10-100 10 high low 中國 美國 英國 俄羅斯 德國 法國 日本 墨西哥 韓國 巴西 意大利 36.19% 14.75% 7.81% 3.62% 3.05% 2.00% 1.97% 1.93% 1.89% 1.75% 1.38% 圖 3.18 全球攻擊源 IP 分布比例 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務

36、2019 年，國內 DDoS 受控攻擊源數目前三的省份是浙江，廣東，江蘇。 浙江 廣東 江蘇 山東 河南 四川 河北 安徽 遼寧 福建 12.63% 10.84% 7.55% 6.84% 4.63% 4.24% 3.93% 3.22% 3.03% 3.01% highlow 6551953104 圖 3.19 全國攻擊源 IP 分布比例 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務 2019 DDoS 攻擊態勢報告 21 2019 年 DDoS 攻擊分析 3.4.2 DDoS 攻擊目標地域分布 2019 年，受攻擊最嚴重的國家是美國，約占全部攻擊國家的 47.68%；其次是中國，占全部攻

37、擊的 12.13%。 美國 中國 英國 荷蘭 加拿大 澳大利亞 法國 德國 墨西哥 日本 47.68% 12.13% 5.82% 4.32% 3.21% 2.65% 2.45% 2.03% 1.72% 1.65% 10000-100000 1000-10000 100-1000 10-100 10 high low 圖 3.20 全球攻擊目標 IP 分布比例 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務 在國內，香港取代浙江成為受 DDoS 攻擊最多的省份，其它依次是浙江、廣東、北京、江蘇。東部 沿海依然是被 DDoS 攻擊的高危地區。 香港 浙江 廣東 北京 江蘇 山東 福建 臺灣 上

38、海 陜西 18.26% 17.27% 16.69% 10.41% 8.63% 7.52% 4.00% 3.12% 2.63% 1.42% highlow 41111 圖 3.21 全國被攻擊目標 IP 分布比例 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務 2019 DDoS 攻擊態勢報告 22 2019 年 DDoS 攻擊分析 3.4.3 DDoS 控制端地域分布 從世界范圍來看，DDoS 控制端 IP 國家分布的 TOP3 為美國、中國和荷蘭，三國的控制端數目占可 追蹤控制端數目的 53.13%。 10000-100000 1000-10000 100-1000 10-100 10

39、high low 美國 中國 荷蘭 英國 德國 法國 俄羅斯 韓國 埃及 加拿大 35.94% 8.79% 8.40% 7.36% 5.66% 4.23% 3.13% 3.06% 2.54% 2.34% 圖 3.22 全球控制端分布比例 數據來源：綠盟科技威脅情報中心 在國內，控制端 IP 數目前三的有江蘇，河南，廣東，占國內可追蹤控制端的 41% 以上。 highlow 1891 江蘇 河南 廣東 浙江 遼寧 四川 上海 江西 福建 山東 15% 14% 12% 11% 7% 5% 5% 4% 4% 3% 圖 3.23 全國控制端分布比例 數據來源：綠盟科技威脅情報中心 2019 DDoS

40、攻擊態勢報告 23 2019 年 DDoS 攻擊分析 3.5 攻擊資源行為分析 3.5.1 攻擊資源活躍度分析 在攻擊源活躍時間的監測中發現，90% 的攻擊源存活時間小于 10 天。一方面是由于攻擊者為保證 攻擊資源的鮮活，防止攻擊資源進入防護者的黑名單，打一槍換一炮；另一方面也側面說明了公共互聯 網存在安全隱患的 IP 資源分布廣泛，攻擊者的獲取成本極低且易行。同時我們也發現，存活時間大于 10 天的攻擊源中物聯網設備占比劇增，占比 11.5%。 65.54% 8.68% 2.04% 10.02% 0.89% 0.61% 0.49% 0.47%0.41% 0.44% 10.42% =10天

41、70.00% 60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 00.00% 圖 3.24 短期攻擊資源活躍時間分布 88.48% 其他 11.52% 物聯網設備 圖 3.25 長期活躍攻擊源中的物聯網占比 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務 2019 DDoS 攻擊態勢報告 24 2019 年 DDoS 攻擊分析 3.5.2 活躍攻擊資源地域分布 根據攻擊源 IP 的活躍持續時間分布，活躍時間達十天以上的攻擊源，我們視為高活躍度攻擊資源， 這些資源一般存在明顯的安全隱患極易被利用，威脅程度較高。 從全球分布來看，高活躍度攻擊源在中國、英國最多

42、，其次是美國。從國內來看，高活躍度攻擊源 在沿海和經濟發達地區分布密集，其中浙江、江蘇、廣東和山東的高活躍度攻擊源最多。這些地區往往 網絡基礎設施數量基數更大，同等安全防護水平下存在安全隱患的設備資源也更多。 10000-100000 1000-10000 100-1000 10-100 10 high low 中國 英國 美國 俄羅斯 印尼 波蘭 印度 德國 烏克蘭 荷蘭 1.82% 1.82% 1.89% 1.99% 2.28% 5.10% 5.24% 10.06% 17.23% 17.44% 圖 3.26 活躍程度較高的攻擊資源全球分布 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務

43、 浙江 江蘇 廣東 山東 河北 河南 北京 湖南 廣西 遼寧 2.89% 2.94% 3.20% 4.11% 4.87% 4.90% 9.42% 10.30% 13.13% 16.13% 5000-100000 1000-5000 500-1000 10-500 =3種異常行為 17% 63% 1種異常行為 圖 3.29 DDoS 慣犯參與的攻擊類型數量分布 1此處，“DDoS 慣犯”意指長期出現且發起 DDoS 攻擊 20 次以上的 IP 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務 2019 DDoS 攻擊態勢報告 26 2019 年 DDoS 攻擊分析 從下圖中的異常行為類型分布可

44、知，15.43% 的攻擊源曾被僵尸網絡所控制；7.99% 的攻擊源有過 發送垃圾郵件行為；58.61% 的攻擊源被威脅情報標記曾經多次進行 DDoS 攻擊，這些攻擊源往往包含 能夠被遠程控制且長期未得到修復的漏洞，或具備反射能力。 DDos攻擊 僵尸網絡通信 垃圾郵件 Web 攻擊 掃描源 安全漏洞 惡意軟件 代理 礦機 C&C 釣魚 Other 4.95% 0.00% 0.01% 0.03% 0.08% 0.27% 3.67% 3.82% 5.14% 7.99% 15.43% 58.61% 圖 3.30 DDoS 慣犯異常行為類型占比 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務 3.

45、5.5 攻擊資源團伙行為分析 前面分析到 7% 的 DDoS 慣犯承擔了 78% 的攻擊事件，而 DDoS 攻擊通常以協作方式從多個來源發 起，DDoS 慣犯們常常共同組合發起攻擊，我們將這樣的群體稱為“IP 團伙”。在本報告中，我們基于 綠盟科技 2019 年全年 DDoS 攻擊數據，識別了多個 IP 團伙并系統研究了他們的團伙行為。 采用這種研究方法背后的邏輯是：如果兩個IP的歷史攻擊行為相似， 那么他們則被劃分為一個團伙。 團伙行為的相似性主要體現在兩方面： （1）短時間內行為相似：反復在同一時刻用相同攻擊手段對同一目標發起攻擊。 （2）長周期行為相似：在不同時期反復對相同目標發起相同手

46、段攻擊。 在本節中，我們對 IP 團伙行為進行了統計分析，并且對重點團伙進行了刻畫。通過分析，我們發現： 2019 DDoS 攻擊態勢報告 27 2019 年 DDoS 攻擊分析 觀點一：具有團伙行為的慣犯，17% 都是物聯網設備，說明物聯網設備作為參與 DDoS 的攻擊源， 其存活時間長，慣犯比重高，且常常具備團伙作案屬性。 觀點二：攻擊源規模第一大團伙 31% 都是物聯網設備，且 64% 都為路由器，其 94% 的廠商都為 MikroTik。 觀點三：攻擊源規模第二大團伙也是攻擊流量最大的團伙，該團伙包含 2.3 萬個慣犯。最明顯的特 性為擅長使用大流量 SYN Flood 攻擊，歷史攻擊

47、記錄中 99.54% 都使用了 SYN Flood，在 2019 年發起 的攻擊中，有 60 天的攻擊流量峰值都在 100Gbps 以上，其中最大流量峰值達到 780Gbps。 3.5.5.1 攻擊團伙規模 團伙規模 圖 3.30 展示了我們所識別的各 IP 團伙的規模分布，按團伙大小統計。圖 3.31 中的每個點代表一個 團伙，共有 60 個團伙。成員數量大于 1 萬的團伙有兩個，規模最大的團伙成員高達 8.8 萬個。 0-200 10000 1000-10000 200-1000 圖 3.31 IP 團伙攻擊源規模分布（每個區間代表團伙規模范圍） 數據來源：綠盟科技威脅情報中心、綠盟黑洞云

48、清洗服務 2019 DDoS 攻擊態勢報告 28 2019 年 DDoS 攻擊分析 攻擊總流量 各團伙的流量分布如下，涵蓋了來自同一團伙所有成員的全部攻擊。雖然不同團伙的攻擊總流 量看似存在巨大差異，但大多數團伙的攻擊總流量都超過了 50TB，單一團伙的攻擊總流量最高達到 1500TB。 0-50TB 1000-1500TB 800-1000TB 500-800TB 50-500TB 圖 3.32 攻擊總流量各區間團伙數量分布 數據來源：綠盟科技威脅情報中心、綠盟黑洞云清洗服務 3.5.5.2 攻擊源規模第一大團伙 攻擊源規模第一大團伙也是 2019 年最為活躍的團伙。該團伙包含 8.8 萬個

49、慣犯。攻擊源設備類型 特征明顯，結合已知資產情報發現了 2.8 萬物聯網設備，占比 31%，其中 64% 都為路由器，路由器中 94% 的廠商都為 MikroTik；該團伙全年活躍，每個月平均活躍攻擊源數量為 3.5 萬，每個月平均針對 83 個目標發起攻擊。 團伙歷史活躍分布 該團伙月度攻擊源數量和攻擊目標數量如下圖所示。每個月平均活躍攻擊源數量為 3.5 萬，每個月 平均針對 83 個目標發起攻擊。該團伙的攻擊源數量是每個月動態變化的，原因是隨著時間的推移，有 的成員會離開（可能是因為系統所有者移除了惡意軟件并修補了攻擊控制者入侵系統所利用的安全漏 洞），而同時又會有新成員加入（新系統被惡意軟件感染并成為僵尸網絡成員）。 2019 DDoS 攻擊態勢報告 29 2019 年 DDoS 攻擊分析 60000 50000 40000 30000 20000 10000 0 250 200 150 100 50 0 攻擊源數量攻擊目標數量 JAN-19 FEB-19 MAR-19 APR-19 MAY-19 JUN-19 JUL-19 AUG-19 SEP-19