2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析

聯(lián)通數(shù)科NEXUSGUARD。HUAWEI2023年全球DDoS攻擊2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析關(guān)鍵信息摘要關(guān)鍵信息摘要02現(xiàn)狀與趨勢(shì)現(xiàn)狀與趨勢(shì)典型典型DDoS攻擊分析35專家觀點(diǎn)專家觀點(diǎn)43數(shù)據(jù)來源數(shù)據(jù)來源452023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析觀點(diǎn)1：瞬時(shí)泛洪攻擊秒級(jí)加速，挑戰(zhàn)防御系統(tǒng)的響應(yīng)速度。需探索更為高效的檢測(cè)和清洗技術(shù)。例如設(shè)備廠商研制高效隨路檢測(cè)路由器，運(yùn)營(yíng)商研發(fā)端網(wǎng)協(xié)同防御技術(shù)，以有效縮短TTM（TimetoMitigation）。觀點(diǎn)2：高速加密攻擊挑戰(zhàn)解密防御性能，低速CC攻擊繞過WAF，挑戰(zhàn)防御系統(tǒng)有效性。利用行為分析算法1.2DDoS攻擊態(tài)勢(shì)2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析全球攻擊目標(biāo)地域分布排序依次為APAC、LATAM、EMEA、AMER，中國(guó)TOP3攻擊目標(biāo)地域分布為吉林、1.3DDoS僵尸網(wǎng)絡(luò)態(tài)勢(shì)僵尸家族分布：DDoS僵尸家族以IoT和Linux為主，按活躍C2數(shù)量排名的TOP5僵尸家族分別是Mirai、1.4DDoS攻擊源態(tài)勢(shì)2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2023年掃段攻擊頻次快速增長(zhǎng)，為躲避防御，低速掃段攻擊成為主流，慣用“短平快”戰(zhàn)術(shù)，多采用混合攻2023年針對(duì)DNS服務(wù)器的攻擊無論是攻擊復(fù)雜度還是攻擊強(qiáng)度均創(chuàng)新高。DNS攻擊峰值QPS從百萬次級(jí)別快速提升至億次級(jí)別。11月份，百度監(jiān)測(cè)到DNS攻擊流量峰值速率高達(dá)2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2.1DDoS攻擊態(tài)勢(shì)2021-2023年攻擊峰值帶寬月度分布（Gbps）攻擊成本持續(xù)降低，導(dǎo)致攻擊規(guī)模持續(xù)增長(zhǎng)。從近年全球記錄的年度最大攻擊來看，單次攻擊的峰值流量帶 2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析 全球最大DDoS攻擊趨勢(shì)398Google2023年攻擊峰值帶寬地域分布（Gbps）2023年攻擊峰值包速率地域分布（Mpps） 01105692577174 ○5662023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析 01105692577174 ○5662021-2023年超500Gbps攻擊頻次月度分布 2021-2023年超800Gbps攻擊頻次月度分布 2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2021-2023年攻擊峰值包速率月度分布（Mpps）2021-2023年平均攻擊峰值帶寬月度分布（Gbps）2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2021-2023年平均攻擊峰值包速率月度分布（Mpps）998882023年的第二、第三和第四季度相比往年，攻擊流量峰值區(qū)間分布發(fā)生較大變化。其中第二季度100-2021-2023年攻擊流量峰值帶寬區(qū)間分布 2023年超100Gbps網(wǎng)絡(luò)層攻擊峰值區(qū)間分布02021-2023年攻擊頻次月度分布攻擊峰值帶寬︵Gbps︶——02023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析攻擊峰值帶寬︵Gbps︶——02023年攻擊頻次地域分布02023年瞬時(shí)泛洪攻擊2秒流量即可爬升至近500G攻擊峰值帶寬︵Gbps︶92368168121.63%18.10%23.56%7512023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析攻擊峰值帶寬︵Gbps︶92368168121.63%18.10%23.56%7511200100080060040020009639659619619689639659619610秒10秒20秒30秒40秒50秒2021年2022年2023年2021-2023年網(wǎng)絡(luò)層攻擊類型分布UDPFloodUDPRe?ectionSYNFloodACKFloodUDPFragmentFloodTCPRe?ectionTCPConnectionFloodICMPFloodFIN/RSTFloodTCPFragmentFlood16.49%16.49%14.58%14.58%14.00%14.53%26.45%30.30%14.34%14.34%11.16%5.81%3.82%8.24%3.15%4.86%6.56%2.48%0.58%0.39%2.39%1.63%2.97%1.50%3.06%4.72%0.41%0.41%1.09%40.80%2021年2022年2023年2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2021-2023年TOP5UDP反射類型分布2021-2023年典型TCP反射攻擊源端口分布222023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2021-2023年應(yīng)用層攻擊類型分布2023年混合攻擊占比較2022年有所降低，占比53.75%，但仍然是主流。單一攻擊占比提升的主要原因是2021-2023年攻擊矢量分布2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析高速HTTP/HTTPS應(yīng)用層攻擊高速HTTP/HTTPS應(yīng)用層攻擊強(qiáng)度一般在千萬級(jí)甚至億次級(jí)RPS，一次攻擊事件使用的肉雞數(shù)量在5,000-30,000之間，肉雞多為高性能的服務(wù)器或云主機(jī)，單個(gè)肉雞的攻擊速率約2,000-10,000rps，攻擊多采用ServerServerServerServerServerServer2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析?HTTP1.1pipelining攻擊分析HTTP1.1pipelining攻擊抓包?HTTP2.0multiplexing攻擊分析2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析為了防止HTTP2.0被利用形成高速應(yīng)用層攻擊，HTTP2.0協(xié)議通過SETTINGS_MAX_CONCURRENT_2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析低速HTTP/HTTPS應(yīng)用層攻擊2023年11月份，某金融企業(yè)遭受持續(xù)性加密攻擊，攻擊采用“秒撥”技術(shù)，單個(gè)攻擊源請(qǐng)求速率低，防2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析地址淪為“肉雞”。本次針對(duì)金融企業(yè)的攻擊同時(shí)使用了9個(gè)城域網(wǎng)的家庭寬帶NAT地址池2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析?利用不常用Method發(fā)起的低速HTTP攻擊分析利用不常用Method請(qǐng)求發(fā)起的低速攻擊抓包2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析GETGET/api/feedback/index/environment/variable?random=0.40249836870292444HTTP/1.1Host:User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/Safari/537.36Accept:application/json,text/javascript,*/*;q=0.01Accept-Encoding:gzip,de?ateAccept-Language:zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7Connection:closeContent-Type:application/jsonReferer:/market/index.htmlX-Request-Type:ajaxX-Requested-With:XMLHttpRequest2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析利用TOA漏洞的攻擊抓包場(chǎng)景1：TOA偽裝成白名單，越權(quán)訪問12023年全球1場(chǎng)景2：TOA偽裝成“仇家”IP，實(shí)現(xiàn)攻擊栽贓22332023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2023年攻擊發(fā)生時(shí)間段和往年一樣，為2023年攻擊發(fā)生時(shí)段分布2023年攻擊頻次周天分布周一周二2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2021-2023年網(wǎng)絡(luò)層攻擊持續(xù)時(shí)間分布2021-2023年應(yīng)用層攻擊持續(xù)時(shí)間分布2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2021-2023年攻擊持久性分布2023年，傳媒和互聯(lián)網(wǎng)、政府和公共事業(yè)、教育、金融依然是TOP4攻擊目標(biāo)行業(yè)，攻擊頻次占比依次為2023年行業(yè)攻擊頻次分布2021-2023年行業(yè)攻擊頻次分布顯示，能源行業(yè)和工業(yè)互聯(lián)網(wǎng)受攻擊頻次占比連續(xù)三年增長(zhǎng)；其他企業(yè)受攻2021-2023年行業(yè)攻擊頻次趨勢(shì)分布2021-2023年中國(guó)金融行業(yè)攻擊頻次月度分布81742132112023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析1742132112021-2023年行業(yè)攻擊強(qiáng)度分布（Gbps）581112023年中國(guó)金融行業(yè)遭受的最大攻擊峰值帶寬為116Gbps，發(fā)生在11月，采用混合攻擊，主要包括NTP反2021-2023年中國(guó)金融行業(yè)攻擊峰值帶寬月度分布（Gbps）1 2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析 2023年攻擊目標(biāo)大洲分布2022-2023年攻擊目標(biāo)中國(guó)地域分布 廣東北京江蘇浙江香港上海湖北遼寧 湖南福建河北河南 重慶安徽天津云南新疆貴州 廣西江西西藏海南寧夏甘肅 2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2.2DDoS僵尸網(wǎng)絡(luò)態(tài)勢(shì)DDoS僵尸家族以IoT和Linux為主。2023年，按活躍C2數(shù)量排名的TOP5僵尸家族分別是Mirai、Gafgyt、2023年DDoS僵尸家族TOP5分布MiraiGafgytMoziXorDDosDo?oo34.24%2.15%1.29%0.58%61.73%2023年DDoS僵尸網(wǎng)絡(luò)C2海外地域分布1.59%25.16%34.38%38.88%AMER2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2023年DDoS僵尸網(wǎng)絡(luò)C2中國(guó)地域分布河南香港 江蘇浙江 湖南遼寧 江西湖北福建上海河北北京廣西安徽云南 重慶天津 海南甘肅新疆貴州澳門2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2.3DDoS攻擊源態(tài)勢(shì)2023年DDoS肉雞海外地域分布2023年DDoS肉雞中國(guó)地區(qū)分布浙江廣東江蘇香港遼寧 臺(tái)灣上海湖北 湖南河北福建安徽云南江西 廣西 海南貴州新疆甘肅寧夏 澳門2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2023年DDoS肉雞中國(guó)TOP5運(yùn)營(yíng)商分布1.49%5.90%6.24%53.18%33.19%2023年DDoS肉雞海外TOP10運(yùn)營(yíng)商分布2.36%2.18%2.72%3.37%3.72%4.62%5.24%59.56%5.34%10.88%AmazonKEGoogleLLCBSNLOVHHetznerCloud?areNTTMicrosoft2022年1月2022年2月2022年3月2022年4月2022年5月2022年6月2022年7月2022年8月2022年9月2022年10月2022年11月2022年12月2023年1月2023年2月2023年3月2023年4月2023年5月2023年6月2023年7月2023年8月2023年9月2023年10月2023年11月2023年12月2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2022年1月2022年2月2022年3月2022年4月2022年5月2022年6月2022年7月2022年8月2022年9月2022年10月2022年11月2022年12月2023年1月2023年2月2023年3月2023年4月2023年5月2023年6月2023年7月2023年8月2023年9月2023年10月2023年11月2023年12月典型DDoS攻擊分析2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析2023年低速&高速掃段攻擊分布2023年單個(gè)C段攻擊持續(xù)時(shí)間分布攻擊流量峰值帶寬︵Gbps︶2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析攻擊流量峰值帶寬︵Gbps︶當(dāng)針對(duì)單個(gè)C段的攻擊持續(xù)時(shí)間較長(zhǎng)且采用高速掃段時(shí)，攻擊者會(huì)結(jié)合“脈沖”攻擊手法，就單個(gè)目標(biāo)IP而50864202023年掃段攻擊矢量分布2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析攻擊者通過使用反射攻擊提升掃段攻擊對(duì)被攻擊企業(yè)的帶寬擁塞威脅，通過使用虛假源泛洪攻擊加大防御系2023年掃段攻擊類型分布2.54%2.31%9.94%35.15%24.84%25.23%ACKFloodUDPRe?ectionUDPFloodSYNFloodICMPFloodTCPRe?ection2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析3.2DNS攻擊2021-2023年DNS攻擊頻次趨勢(shì)3.2.2DNS攻擊強(qiáng)度迅猛攀升至億次QPS級(jí)別2021-2023年DNS攻擊峰值QPS趨勢(shì)（Mqps）2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析1232023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析123源IP和目的IP位于同一網(wǎng)段的NXDomain攻擊源IP和目的IP位于同一網(wǎng)段的NXDomain攻擊抓包2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析如設(shè)備廠商研制高效隨路檢測(cè)路由器，運(yùn)營(yíng)商研發(fā)端網(wǎng)協(xié)同防御技術(shù)，以有效縮短TTM（TimetoMitigation）。瞬時(shí)泛洪攻擊的規(guī)模和復(fù)雜性逐年增加，其秒級(jí)加速的特性對(duì)基于傳統(tǒng)Flow檢測(cè)的防御系統(tǒng)構(gòu)成了重大挑秒級(jí)發(fā)現(xiàn)異常流量。在算力及存儲(chǔ)資源有限的情況下，設(shè)計(jì)高效的流量統(tǒng)計(jì)分析算法，以應(yīng)對(duì)大規(guī)模攻擊流備的細(xì)粒度數(shù)據(jù)反饋、網(wǎng)絡(luò)設(shè)備的實(shí)時(shí)監(jiān)控和處置能力，為瞬時(shí)泛洪攻擊提供全面的處置視角。通過多源數(shù)觀點(diǎn)2：高速加密攻擊挑戰(zhàn)解密防御性能，低速CC攻擊繞過WAF，挑戰(zhàn)防御系統(tǒng)有效性。利用行解密防御性能提出了巨大挑戰(zhàn)，而低速攻擊則躲避檢測(cè)能力強(qiáng)對(duì)防御系統(tǒng)的有效性構(gòu)成了嚴(yán)重威脅。高速攻擊通常利用高性能服務(wù)器或云主機(jī)構(gòu)建的僵尸網(wǎng)擊速率；而低速攻擊則利用現(xiàn)有防御系統(tǒng)的算法漏洞，繞過源速率檢測(cè)或內(nèi)容過濾，對(duì)目標(biāo)系統(tǒng)發(fā)動(dòng)持續(xù)性在防御資源有限的情況下，傳統(tǒng)的防御方法難以有效識(shí)別這兩類攻擊。學(xué)術(shù)界和工業(yè)界的廣泛嘗試已經(jīng)表明，行為分析算法能夠在不解密的情況下識(shí)別高速攻擊，而機(jī)器學(xué)習(xí)算法則顯示出對(duì)低速攻擊的精準(zhǔn)識(shí)別能2023年掃段攻擊規(guī)模、頻次和復(fù)雜程度進(jìn)一步攀升2023年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析首先，創(chuàng)新掃段攻擊檢測(cè)技術(shù)，以提升攻