《2022年上半年-全球DDoS威胁报告》.docx

《《2022年上半年-全球DDoS威胁报告》.docx》由会员分享，可在线阅读，更多相关《《2022年上半年-全球DDoS威胁报告》.docx（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第一章: 专家观点2022 年Chapter one: Expert Opinions 全球 DDoS 威胁报告-1目录Contents第一章：专家观点1. 游戏 / 视频直播是热点攻击行业2. 东南亚成海外攻击热点区域3. 新型 UDP 反射攻击放大倍数达数十亿倍4. Tb 级攻击连续 3 个月出现5. 端云一体防护成抗 D 新思路6. 政府部门和重要基础设施更需重视 DDoS 防护第二章：整体威胁1. 22 年上半年 DDoS 攻击威胁创历年新高2. 100G 以上大流量攻击每天超 40 次3. 7 成攻击持续时间不超过 30 分钟4. 5 月和 6 月成威胁最大月份5. 游戏行业仍是遭受

2、 DDoS 攻击最多行业6. TCP 反射和 PUSHACK 攻击持续肆虐7. 扫描型扫段攻击每月攻击数以十万计的 IP第三章：海外威胁1. 海外攻击逐年增长2. 海外最大攻击超过 600G3. 东南亚是海外攻击热点区域4. 海外攻击 1 月最多5. 海外攻击的热点行业与国内 2 年前情形趋同第四章：黑产视角1. 中高端攻击团伙占四分之一2. 敲诈勒索是主要攻击动机3. 大部分攻击基于 UDP 协议发起4. Mirai 僵尸网络上半年威胁最大5. 高危漏洞的利用率与僵尸网络活动正相关6. 僵尸网络控制端多数分布在海外7. 僵尸网络资源来源分析第五章：攻防对抗案例案例一：腾讯云客户遭受 Tb 级

3、别攻击案例二：中间盒 TCP 反射攻击案例三：扫段攻击防护案例第六章：全球 DDoS 大事记第一章: 专家观点2022 年Chapter one: Expert Opinions全球 DDoS 威胁报告-4第 一 章 专家观点Expert Opinions2022 年 全球 DDoS 威胁报告第一章: 专家观点Chapter one: Expert Opinions1游戏 / 视频直播是热点攻击行业游戏和视频直播继续位居被攻击最多行业：一直以来，游戏行业都是遭受 DDoS 攻击最多的行业，今年的游戏行业的攻击占比仍然高居第一，而且相比去年占比还略有提升。视频直播行业遭受的 DDoS 攻击占比则

4、大幅提升并达到历史新高，在所有行业中高居第二。另一方面，教培和互联网金融等受到严格监管的行业不仅 DDoS 攻击比例出现下降，攻击次数也出现非常明显的收缩，和游戏 / 视频直播行业的攻击频发，攻击占比居高不下形成非常鲜明的对比。DDoS 攻击的行业分布2东南亚成海外攻击热点区域东南亚区域人口密集，网民数量众多，近年来经济发展也较为迅猛，成为这两年DDoS 攻击的热点区域。另外， 日韩区域的 DDoS 攻击占比也较高，超越了北美和欧洲，成为海外的攻击热点区域。海外攻击的区域分布-53新型 UDP 反射攻击放大倍数达数十亿倍新型 UDP 反射攻击放大倍数达数十亿倍：UDP 反射可以用较小的初始流量

5、经过反射源放大数十倍乃至上万倍，获得海量的攻击流量，因此一直以来深受DDoS 攻击团伙的青睐。除了大家熟知的 NTP 反射 /DNS 反射 /LDAP 反射等，3 月份业界发现一部分配置存在缺陷的 Mitel 设备，被 DDoS 攻击团伙用于发起 DDoS 攻击，尽管此类设备的数量仅有数千台，但是由于其具有数十亿倍的放大倍数，超越几年前流行的 Memcached 反射手法，成为迄今为止放大倍数最大的 UDP 反射放大手法。3 月份业界发现数千台开放到互联网的配置存在缺陷的 Mitel 设备可被 DDoS 攻击团伙用于发起 DDoS 攻击。尽管该手法理论上可以达到远超 Memcached 反射的

6、高达数十亿倍的放大倍数，由于受限于缺陷设备的带宽， 以及缺陷设备的快速修复，并没有引起大规模的爆发。根据腾讯安全 T-Sec DDoS 防护团队的监测数据，在3 月 6 日首次监测到此类攻击，最大的一次攻击峰值为 6Gbps。在 3 月上旬共监测到约 20 次攻击之后，此类攻击再未在现网出现。4Tb 级攻击连续 3 个月出现自从 2017 年首次出现攻击峰值超过 1Tb 的攻击以来，Tb 级攻击开始不断见诸报道，但是整体来说 2021 年之前 Tb 级攻击还是较为罕见，每年超过 1Tb 的攻击在全球也基本屈指可数。但是近两年 Tb 级攻击开始变得更加频繁，今年上半年自 4 月份开始，连续 3

7、个月每个月都有 Tb 级攻击出现。在 Tb 级攻击最多的 6 月，腾讯云某客户甚至在 1 天之内遭受了 2 次攻击峰值均超过 1Tb 的超大型 DDoS 攻击。Tb 级攻击从一年数遇变成一月数遇，企业将面临愈加严峻的 Tb 级大流量 DDoS 攻击威胁。DDoS 攻击峰值走势-65端云一体防护成抗 D 新思路端云一体防护成抗 D 新思路：尽管当前的各国经济遭遇了不同的困难，但是工业互联网 / 大数据 / 云计算 /AI/5G 等数字经济产业丝毫没有放慢脚步，如火如荼高速发展。这些新兴产业本身会产生大量的设备接入以及带宽需求，而一旦这部分资源配置不当，就会沦为黑客的攻击资源。另一方面，这些数字经

8、济产业的发展，也让互联网深入到更广阔的空间， 也给黑客暴露了更多的获利机会。因此从这两个方面来说，未来的 DDoS 攻击威胁不仅会持续增长，而且会变得无处不在。但是在很多场景下，业务因为合规 / 数据隐私 / 系统架构等方面的原因，只能部署在私有云或者自有机房上， 同时由于成本预算或者技术能力的原因，本地很难建立与当前 DDoS 威胁相匹配的抗 D 能力。这部分部署在私有云或者自有机房的业务，一旦遭遇大型 DDoS 攻击，就会产生巨大的风险 。因此，在成本预算有限或者技术存在短板的客观环境下，如何从外部寻找“远水”来解部署在私有云或者自有机房的业务遭受大型 DDoS 攻击这个“近渴”，就成为一

9、个紧迫的课题。而依托端云一体 DDoS 防护服务平台的解决方案就是在这种场景下应运而生。作为脱胎于云计算的云原生安全产品，在海量业务驱动下完成了高性能高效率检验，各行各业各种规模用户下催生了丰富的场景支持，以及多用户共享形态下的成本优势海量带宽储备，在当前 DDoS 攻击威胁增长非常迅猛而企业愈发关注成本的形势下，具有天然的优势。-76政府部门和重要基础设施更需重视 DDoS 防护尽管游戏、视频直播等行业一直居于 DDoS 攻击的主要攻击行业之列，但是其他行业遭受大型 DDoS 攻击的新闻也让人应接不暇。根据外部公开报道统计，2022 年上半年国外除了有大量的政务站点遭受大型 DDoS 攻击外

10、，一些银行和金融机构、运营商以及通信、机场与港口等基础设施部门也多次遭受 DDoS 攻击，造成的宕机时间从数小时至数天不等。上半年国外部分大型 DDoS 攻击的行业分析银行和金融机构，运营商以及通信，机场与港口等基础设施部门，一方面服务的人群较为广泛，和人们必要的生活和工作息息相关，一旦遭受 DDoS 攻击，就会轻易影响数万乃至数十万人的工作和生活。但是另一方面， 这些行业的攻击频率又远没有游戏、视频直播等行业的企业频繁，因此很可能针对 DDoS 攻击威胁缺乏必要的技术储备和应对预案，国外多个基础设施站点被攻击后宕机数天，可见一斑。因此，政府部门和重要基础设施更需重视 DDoS 防护，必要时可

11、借助于云原生的 DDoS 防护产品，可快速补齐DDoS 防护的短板，轻松应对高级攻击团伙和 Tb 级攻击，取得事半功倍的效果。-8第二章：整体威胁2022 年Chapter two: Overall Threats全球 DDoS 威胁报告-9第 二 章 整体威胁Overall Threats2022 年 全球 DDoS 威胁报告第二章：整体威胁Chapter two: Overall Threats122 年上半年 DDoS 攻击威胁创历年新高根据电信安全的数据，2022 年上半年的攻击次数达到近 4 年新高，是去年同期的 3 倍，同比 21 年上半年增幅达到 205%。DDoS 攻击次数21

12、00G 以上大流量攻击每天超 40 次尽管攻击次数为历年新高，但是 100G 以上的攻击次数并未突破 2019 年的高峰值。根据电信安全近 3 年的数据来看，上半年 100G 以上的大流量攻击次数均在 8000 次上下，也就是说平均每天约有 44 次大流量攻击发生。100G 以上攻击次数和前两年 100G 以上大流量攻击集中在 UDP 反射和 SYN 大包这两种常见的拥塞带宽型攻击不同，今年的大流量攻击手法多样化趋势愈发明显。由下图可以看出，UDP 反射和 SYN 大包这两种常见的拥塞带宽型攻击合计仅占半数，而 PSHACK 大包攻击和 UDP 大包攻击的比例显著增加。此外由于攻击者手里的攻击

13、资源越来越富足，导致一些协议缺陷型攻击（如 SYN 小包和 TCP 反射）的攻击流量能够轻易超过 100G，成为兼具协议缺陷型攻击和拥塞带宽型攻击的双重威胁。-10此外，前些年的规模最大的 DDoS 攻击记录，主要的攻击流量基本都是通过 UDP 反射发起，攻击者的初始攻击流量其实不足百 G。但是上半年腾讯云上最大的 Tb 级别的攻击，攻击手法都是非反射型的 UDPFLOOD， 这充分说明攻击者的攻击资源极为充足，已经不需要 UDP 放大即可发起 Tb 级别的攻击。百 G 以上攻击的类型分布37 成攻击持续时间不超过 30 分钟尽管 DDoS 攻击每天都有时时都在，但是大约 7 成的攻击持续时间

14、在半小时以内。据绿盟全球威胁狩猎系统监测，小于 5 分钟的攻击在整体中占比大约三分之一，而持续时间小于 5 分钟的攻击和介于 5 分钟和 10 分钟的攻击的比例相加就接近一半，另外有四分之一的攻击的持续时间在 10 分钟至 30 分钟之间。但是长时间的攻击也有相当大的比例，有超过一成的攻击持续时间超过 1 小时，其中超过 6 小时的长时间攻击的比例也达到 2%。DDoS 攻击持续时长分布-1145 月和 6 月成威胁最大月份今年上半年的DDoS 攻击的月度分布也极具特点。从攻击次数的角度来看，5 月和6 月成为攻击次数最多的月份。而从攻击峰值的角度来看，前 3 个月的峰值均在 800G 以下，

15、从 4 月开始，攻击峰值则连续 3 个月超过 1TB。综合来看 5 月和 6 月成为存在 DDoS 威胁最大的月份。5 月和 6 月 DDoS 攻击威胁大增，背后的原因则是攻击者的攻击资源变得更为充裕。通过分析发现，5 月份之后的 Tb 级别的攻击，攻击手法都是通过肉鸡发起大量非反射类型的 UDP 大包攻击，说明基于当前的攻击者手中的资源就已经可以做到不依赖 UDP 反射放大即可产生 Tb 级的攻击流量。上半年 DDoS 攻击次数走势1000G500G5游戏行业仍是遭受 DDoS 攻击最多行业一直以来，游戏行业都是 DDoS 攻击的重灾区。相比去年，游戏行业继续成为了遭受 DDoS 攻击最多的

16、行业， 不仅遭受了所有行业 DDoS 的 4 成以上的攻击，而且占比相比去年还略有增长。游戏行业攻击占比走势-126TCP 反射和 PSHACK 攻击持续肆虐随着对抗的持续进行，攻击者的攻击手法也在不断进化。传统的 UDP 反射和 SYN 大包等攻击手法，只要防守方储备足够的防护带宽，防护效果已经相当可靠。为了进一步绕过防护方的防护策略，提升攻击效果，DDoS 攻击者将更多注意力投向了和业务流量更为接近，区分攻击流量更为艰难的TCP 反射/PSHACK 等攻击手法中。大量新的 TCP 反射端口被利用导致 TCP 反射攻击更加猖獗：TCP 反射在 2018 年广泛出现后，因为其攻击资源来源丰富，

17、易于隐藏真实攻击者的行踪以及难以防护等特点， 成为攻击者目前使用较多的攻击手法。今年上半年，据监测发现攻击者对存在主动外连行为的目标发起攻击时，会特意选取 TCP 反射来发起攻击。此时外部的攻击流量和用户正常的主动外连的流量将难以区分，再加上TCP 反射的攻击流量来源是真实的站点，会对防护方的挑战算法做出正确的回应，防护的难度将大幅提升。另外，攻击者也在不断将新的反射端口利用到攻击中，以提升攻击的威力和防护难度外，一些大于 1024 的非常见的服务端口，如 TCP 7547 端口，TCP 32768 端口，TCP 30010 端口等，也被攻击者大量应用到实际攻击中。攻击源数量PSHACK 攻击

18、既大又快：据腾讯安全 T-Sec DDoS 防护团队监测的结果，PSHACK 攻击是近两年较为突出的威胁。一方面，发起此类攻击的黑产拥有丰富的攻击资源，因此此类攻击基本都是大流量攻击，最大的攻击流量接近 900G，同时此类攻击的流量飙升极快，可以在数秒之内流量蹿升到 500G 以上。另一方面，PSHACK 包也是业务流量中较为常见的数据报文，而且是 TCP 连接建立后的报文，不仅较难区分业务正常流量报文和攻击报文，很容易出现误杀，而且过于厚重的算法也会带来明显的业务延迟。上述因素导致 PSHACK 攻击手法的威力不容小觑，同时也给防护方带来了更大的挑战。-13PSHACK 威胁走势7扫描型扫段

19、攻击每月攻击数以十万计的 IP近年来，各种基础软件漏洞层出不穷，一旦一些广泛使用的基础软件爆出高危漏洞，意味着黑产人员迎来一次盛宴。为了尽早发现存在漏洞的站点，在“抓鸡“活动中取得先机，黑客们的扫描器也日益精进和暴力，数秒内就可对数以十万计的 IP 完成扫描。黑客的暴力扫描除了会导致存在漏洞的服务器沦为肉鸡的潜在威胁，也会给机房网络带来冲击，演变成扫描型扫段攻击的现实威胁。根据腾讯安全 T-Sec DDoS 防护团队统计，每月发生的扫描型扫段攻击涉及的网段数以百计，涉及的 IP 超过 10 万个。扫段攻击涉及网段走势-14第二章：整体威胁2022 年Chapter two: Overall T

20、hreats全球 DDoS 威胁报告-15第 三 章 海外威胁Overseas Threats2022 年 全球 DDoS 威胁报告第三章：海外威胁Chapter three: Overseas Threats1海外攻击逐年增长随着国内企业不断出海，大量中国企业的游戏、电商、视频直播等业务拓展到了海外，海外的 DDoS 攻击也持续攀升，除了在 21 年上半年迎来大幅增长外，22 年上半年的 DDoS 攻击增长也非常显著，增幅接近 70%。海外 DDoS 攻击次数2海外最大攻击超过 600G从时间上来看，海外区域超过 100G 的大流量攻击在 1 月份较为集中，之后几个月则呈现大流量攻击次数和峰

21、值持续增加的趋势。而 6 月份最大的一次攻击峰值超过 600G，成为上半年海外区域最大的一次攻击。海外百 G 以上攻击的次数和峰值走势-163东南亚是海外攻击热点区域今年上半年东南亚区域成为海外DDoS 攻击的主要集中区域。日韩区域超过北美，成为海外攻击第二多的区域。北美和欧洲则分居第三和第四位。除了上述区域之外的其他区域的攻击占比大约为一成左右。从时间上来看， 东南亚区域在 2 月份之后的攻击比例有明显增加的趋势，而日韩区域在 1 月和 2 月的攻击占比较高。海外 DDoS 攻击的走势相比去年，大部分区域的攻击峰值没有太多增长或者未超过 200G，但是新加坡和美国区域的 DDoS 攻击峰值增

22、长较为明显，新加坡区域峰值超过 600G，成为海外攻击峰值最大的区域。海外主要区域的 DDoS 攻击峰值-174海外攻击 1 月最多相对国内而言，海外的 DDoS 攻击有一个较为显著的特点，就是在月度分布上比较均衡，1 月份和 4 月份作为攻击最多的月份，与攻击最少的 2 月相比，只增加了大约 2 成左右。但是攻击峰值在上半年则是呈明显的逐月增长趋势，最大的一次攻击落在了 6 月份，攻击峰值更是超过了 600G。国外 DDoS 攻击威胁走势5海外攻击的热点行业与国内 2 年前情形趋同海外的攻击行业分布和国内 DDoS 攻击的行业分布大同小异，绝大部分攻击主要分布在游戏、IT 通信、视频直播等行

23、业，其中游戏行业占比 40%，蝉联攻击最多的行业。而游戏行业下的细分品类中，手游成为最主要的攻击品类。此外，游戏相关的第三方服务，如游戏加速 / 游戏聊天工具等，也占据了相当比例的攻击份额。海外 DDoS 攻击的行业分布海外游戏行业 DDoS 攻击细分-18第四章：黑产视角2022 年Chapter four: Underground Industry Perspective全球 DDoS 威胁报告-19第 四 章 黑产视角Underground Industry PerspectiveDDoS 攻击背后是完整复杂的黑色利益链， 和不择手段、规模庞大的捞金团伙。与之对抗， 既要在防御上推陈出新

24、，不断引入新型技术， 也要知己知彼，对黑客团伙的战术持续研究。2022 年全球 DDoS 威胁报告第四章：黑产视角Chapter four: Underground Industry Perspective1中高端攻击团伙占四分之一攻击团伙实力基本符合二八原则，接近 3/4 的 DDoS 攻击由一般团伙发起，他们本身没有攻击资源，依靠第三方攻击站点。而拥有较多攻击资源，可自主掌控攻击程序的中级和高级团伙，发起的攻击占比接近 1/4。各类团伙发起的攻击占比2敲诈勒索是主要攻击动机敲诈勒索、游戏玩家恶意作弊、行业内恶意竞争仍然是DDoS 攻击最主要的攻击动机，这在游戏行业内尤为典型。敲诈勒索和行业

25、内恶意竞争存在于各个行业。相对而言，敲诈勒索团伙的作案更为频繁和猖獗。对于国内企业来说，ACCN 团伙是一个较为知名的敲诈勒索团伙，该团伙在今年上半年也较为活跃。大量国内游戏企业遭遇过该团队的勒索，日本、韩国、东南亚等地的企业也深受其害。该团伙惯用的手法就是潜伏到目标企业的玩家论坛或者玩家群内，在了解到游戏企业即将有新游戏上线或者在新区域发布时，对游戏企业发起数万元至数十万元不等的敲诈勒索。业内有多家企业因为该团伙的敲诈勒索导致游戏停运，遭受重大损失。而游戏玩家恶意作弊发起 DDoS 攻击则是游戏行业独有的威胁，以 MOBA 类游戏以及 FPS 类游戏最为典型。一旦玩家发现可观的获利点，在外挂

26、团伙推波助澜下，就会频繁通过流量挂 / 炸房挂发起 DDoS 攻击，不仅影响同对局的玩家，甚至会影响同服务器或者同机房的其他玩家。3大部分攻击基于 UDP 协议发起根据上半年的数据统计，大约三分之二的攻击是基于 UDP 协议发起。此外 SYN 小包攻击和 ACK/PSHACK 类攻击占比均超过 10%，分列第二位和第三位也较高。此外 TCP 反射攻击的占比则接近传统的 ICMP 攻击和SYN 大包攻击。-20攻击手法分布UDP 类攻击在整体攻击数量中占比 65%，远远高于基于 TCP 协议的攻击。其中 UDP 反射类攻击的在整体的比例高达 49%，其中 NTP 反射，SSDP 反射以及 Cha

27、rgen 反射是最受攻击者欢迎的 3 种攻击手法。另外也有16% 的攻击是基于非反射手法的 UDP 流量发起。UDP 反射手法分布-214Mirai 僵尸网络上半年威胁最大无论是攻击指令的角度，还是发起的 DDoS 攻击次数的角度，Mirai 僵尸网络都是上半年威胁最大的僵尸网络。僵尸网络攻击指令与家族分布在攻击指令分布来看，Mirai 和 Dofloo 占据了最高的比例，合计占比超过 90%，远远高于其他僵尸网络。相对来说，Mirai 僵尸网络的控制指令活动比较平稳，不同月份之间相差不大。而 Dofloo 僵尸网络则在 1、3、5 月呈现高活跃度，其他月份较为沉寂。DDoS 攻击指令分布（万

28、）而从发起 DDoS 攻击的维度来看，Mirai 僵尸网络发起了超过 6 成的 DDoS 攻击。位居次席的则是 Gafgyt 僵尸网络，发起的 DDoS 攻击活动大约占 2 成。值得注意的是前两年较为活跃的 XoR.DDoS 僵尸网络现在已经非常式微，发起的 DDoS 攻击活动占比仅有不到 2%。-22DDoS 攻击活动的僵尸网络分布5高危漏洞的利用率与僵尸网络活动正相关Mirai 僵尸网络除了活跃程度最高，它所拥有的肉鸡数量也是所有僵尸网络最多的。2022 年上半年，Mirai 僵尸网络的肉鸡数量占据整体 4 成左右，比排在第二位的 BillGates 和排在第三位的 Gafgyt 的总和还

29、要多。上半年各个僵尸网络肉鸡数量分布通过对近两年 TOP20 的 Linux/IoT 高危漏洞的利用情况进行统计后发现，漏洞利用率的高低与僵尸网络的活跃程度和规模呈明显正相关。比如这两年威胁极大的 Mirai 和 Gafgyt 僵尸网络对近两年 TOP20 高危漏洞的利用率接近 100%，反之近两年活跃程度持续下滑的 XoR.DDoS 对这部分漏洞的利用率不足 20%。-23僵尸网络对 TOP20 的 Linux/IoT 漏洞利用率6僵尸网络控制端多数分布在海外DDoS 攻击的溯源较为困难，其中一个重要原因就是相当大比例的 DDoS 攻击是黑产团伙租用僵尸网络发起，而僵尸网络的控制端往往位于万

30、里之外的其他国家。比如今年上半年，92% 的僵尸网络控制端都位于国外，其中北美和欧洲是僵尸网络控制端比较聚集的区域，二者合计占比接近 9 成。其中 ColoCrossing、Des Capital B.V. 以及 FranTech Solutions 是涉及控制端最多的云服务及运营商。僵尸网络控制端地域分布C&C 云服务及运营商分布 Top107僵尸网络资源来源分析肉鸡的分布主要集中于远程办公设备和物联网设备，上半年由于疫情影响，大量民众居家办公，VPN、Famatech Radmin（远程控制软件）、NAS（数据存储服务器）、Kubernetes( 开源容器集群管理系统 ) 等办公相关的软件

31、和应用占据了半壁江山，路由器和摄像头等常用的物联网设备超过四成，Windows 主机的数量下降明显，只有不足 1%。-24僵尸网络肉鸡来源分布-25第四章：黑产视角2022 年Chapter four: Underground Industry Perspective全球 DDoS 威胁报告-26第五章： 攻防对抗案例Attack Defense Cases2022 年全球 DDoS 威胁报告第五章：攻防对抗案例Chapter five: Attack Defense Cases 1攻防对抗案例案例一：腾讯云客户遭受 Tb 级别攻击2022 年 6 月上旬，某腾讯云客户遭受了一系列的针对性 D

32、DoS 攻击。客户累计被攻击超过 20 余次，涉及攻击手法有 6 种，经过了 3 轮的激烈对抗。攻击类型分布在开始的 2 天中，攻击者先用较为常规的 SYN 大包攻击和 NTP 反射手法，对客户的进行试探，期间攻击者也在不断加大攻击流量，但是由于客户购买了高防防护，攻击者的多次试探均无功而返。在之后开始的 2 天中，攻击者对客户的多个域名发起的 CC 攻击：1、攻击者对目标较为熟悉，攻击针对性强：不仅精心选择 CC 攻击的 CGI，而且专门针对用户的业务高峰期发起攻击。2、攻击者发起的攻击也非常持久，持续时间超过 3 天，累计发起 CC 请求数超过 6 亿。CC 攻击请求量走势-27此外，针对

33、用户的正常业务是基于 TCP 协议的特点，攻击者开始在 CC 攻击的间隙不断的穿插一些小流量PSHACK/TCP 反射攻击，企图在防守方注意力集中在 CC 攻击时用这部分与用户业务流量非常接近的攻击流量穿透防护。之后攻击者发现即便长时间发起 CC 攻击和 PSHACK/TCP 反射攻击仍被有效防护后，攻击者大幅增加攻击资源，对客户的 2 个 IP 发起超大型拥塞带宽型 DDoS 攻击，攻击峰值均超过 1Tb。1、攻击者资源非常丰富：峰值超过 1Tb 的攻击流量中，其中仅有约 19% 的流量是基于 NTP 反射， 而其余的超过 8 成的攻击流量是非 UDP 反射发起的，这说明攻击者的攻击资源异常

34、丰富，初始的攻击流量就超过了 800G。2、流量蹿升极快：攻击流量从 0 蹿升到 1Tb 用时仅 5 秒。Tb 级攻击的攻击流量构成应对方案：1、用户在业务迁入腾讯云之后，云原生安全下的 DDoS 防护产品，提供三层 / 四层 / 七层的一站式DDoS 防护产品，对客户的业务提供全方位无死角防护。2、海量冗余带宽，对付此类拥塞带宽型攻击绰绰有余，客户节约了大量用于防护带宽拥塞型攻击的冗余带宽费用。3、AI 智能防护，智能学习客户业务基线，动态智能下发防护。4、在遭受针对性持续攻击场景下，具有十余年 DDoS 对抗经验的专家团队全程支持。-28案例二：中间盒 TCP 反射攻击除了UDP 反射之外

35、，TCP 反射这两年也盛行一时，一直以来人们都认为TCP 反射无法对攻击流量进行放大， 但是今年上半年的发现打破了大家对于 TCP 反射的认知。3 月份以来，一种利用中间盒的 TCP 反射型放大攻击在现网频频出现。1、攻击者伪造受害者源 IP，向受同一个安全设备防护的大量 IP 发送初始攻击包，攻击包一般是针对某些不允许访问的站点或者路径。2、尽管攻击包没有建立连接必需的三次握手过程，但是由于部分安全设备对 80 端口的 HTTP 协议访问进行阻断的功能实现存在缺陷，没有严格按照 TCP 协议检查会话有效性，同时初始攻击包里的payload 可以触发安全设备的防护规则，引发这部分安全设备对初始

36、攻击流量产生应答。3、由于应答报文中一般会包含一些 HTML 样式，因此反射产生的攻击报文的长度达到数百乃至上千字节，这意味着此类手法可以将初始攻击流量放大数倍乃至十几倍。根据腾讯安全 T-Sec DDoS 团队分析，最为常见的利用方式如下：最终的后果：1、利用中间盒的 TCP 反射型放大攻击可以大幅放大初始攻击流量。2、存在缺陷的安全设备被大量滥用发起攻击，这部分设备的正常功能也会收到影响，危害到企业自身的网络安全。3、企业的设备和带宽被用于发起 DDoS 攻击，给企业带来额外的带宽成本和信誉损失。-29案例三：扫段攻击防护案例2022 年 6 月上旬，拉美地区接入绿盟 MSS 可管理安全服

37、务的某客户遭受了 DDoS 攻击，峰值期间攻击流量高达 112.3Gbps，攻击持续时间约 1 小时，攻击类型为 UDP 攻击。绿盟 IBCS 团队在客户遭受攻击后迅速进行了响应，成功为客户防护了本次攻击。1、绿盟 IBCS 团队根据攻击呈现出的特点，迅速确认本次攻击为扫段攻击。2、攻击流量以 UDP 流量为主，单个 IP 的攻击流量在 100Mbps 左右，因此在防护策略上使用了较低的 UDP 阈值，对 UDP 进行限速，以便尽可能过滤攻击流量同时，尽可能保障业务服务正常。3、在防护设备上将客户的受灾 IP 段进行了单独的防护群组配置，对扫段攻击进行针对性的防护。4、建议该客户使用绿盟威胁情

38、报中心（NTI），通过威胁情报对公网上存在扫段攻击的 IP 进行识别和封堵，以降低未来的潜在风险。详细对抗过程如下：最终经过约 1 个小时对抗之后，绿盟 IBCS 团队为客户成功防护了这次大型扫段攻击，攻击结束。经过统计， 本轮扫段攻击共涉及该客户两个 C 段超过 500 个的 IP 地址。-30第四章：黑产视角2022 年Chapter four: Underground Industry Perspective全球 DDoS 威胁报告-31第六章： 全球 DDoS 大事记Global DDoS Events第六章：全球 DDoS 大事记Chapter 6: Global DDoS even

39、ts 1全球 DDoS 大事记2022 年全球 DDoS 威胁报告2022 年 2 月腾讯安全 T-Sec DDoS 防护团队多次成功防护针对 DNS 业务超大型应用层 DDoS 攻击，其中最大的一次攻击峰值达 2.3 亿 qps，为腾讯云历史上最大的应用层DDoS 攻击。东欧多个国家的政务网站，银行和金融机构、新闻媒体等站点遭受大规模 DDoS 攻击。2022 年 3 月业内研究人员帮助调查并暴露了 Mitel 商业电话系统中的一个零日漏洞，该漏洞与也能被攻击者利用发起放大式 DDoS 攻击。这种类型的攻击从存在漏洞的 Mitel 服务器将流量反射到受害者，在此过程中将发送的流量放大了 22 亿倍。2022 年 6 月腾讯云某客户遭受 2 次攻击峰值均超过 1Tb 的攻击，最大攻击流量达到 1.03Tbps，为今年上半年腾讯云上最大的 DDoS 攻击。-32第一章: 专家观点2022 年Chapter one: Expert Opinions 全球 DDoS 威胁报告-33