腾讯安全：2022年DDoS攻击威胁报告（36页）.pdf

《腾讯安全：2022年DDoS攻击威胁报告（36页）.pdf》由会员分享，可在线阅读，更多相关《腾讯安全：2022年DDoS攻击威胁报告（36页）.pdf（36页珍藏版）》请在三个皮匠报告文库上搜索。

1、第一章:专家观点Chapter one:Expert Opinions2022 年全球 DDoS 威胁报告-1目录第一章：专家观点第二章：整体威胁第三章：海外威胁1.7 月攻击最多、8 月攻击最大2.100G 以上大流量攻击集中在 1 月3.东南亚主要攻击热点区域4.“短平快”攻击依然是主要攻击战法5.攻击者重点关注远程登录与 WEB 应用服务1.6 个月攻击峰值超过 1Tb2.5 月、9 月、10 月成全年攻击最多3.大流量攻击 8 月份最多4.网络游戏品类继续蝉联攻击最多应用5.DDoS 攻击不受现实时间影响6.DDoS 攻击目标趋于明确，攻击持久性逐年加强7.新型攻击手段：Cloud9

2、恶意插件远程控制1.22 年 DDoS 威胁大流量攻击增长高于整体威胁增长2.Tb 级攻击以 UDP 流量为主，次数超过 40 次3.游戏行业是 DDoS 攻击重灾区，东南亚是海外攻击热点4.僵尸网络规模扩张迅猛，高危漏洞依旧是最大杀器5.以关键基础设施为目标的 DDoS 攻击愈演愈烈Contents目录第四章：黑产视角第五章：攻防对抗案例第六章：全球 DDoS 大事记案例一：腾讯云客户遭受 Tb 级别攻击案例二：基于 CVE-2022-26143 的反射放大攻击案例三：大规模 UDP 泛洪 DDoS 攻击1.UDP 攻击手法最受黑客青睐2.大型攻击中 UDP 非反射攻击占据三分之一3.僵尸网

3、络攻击活动分布4.僵尸网络肉鸡分布5.僵尸网络控制端分析6.僵尸网络攻击指令分析7.美国成为僵尸网络 DDoS 攻击首要目标Contents6.UDP Fragment Flood“异军突起”7.北美洲为应用层 DDoS 攻击流量主要来源地8.秘鲁国内形势紧张，沦陷为应用层 DDoS 攻击重灾区第一章:专家观点Chapter one:Expert Opinions2022 年全球 DDoS 威胁报告-4第一章专家观点 Expert Opinions第一章:专家观点Chapter one:Expert Opinions2022 年全球 DDoS 威胁报告-5第一章专家观点 Expert Opin

4、ions122 年 DDoS 威胁大流量攻击增长高于整体威胁增长尽管 2021 年因为出现大型扫段攻击的原因，攻击次数已经处于高位，但是 2022 年全年 DDoS 攻击次数同比2021 年还是增长 8%，DDoS 威胁维持了 4 年持续增长的态势，2022 年也成为 DDoS 攻击最多的一年。DDoS 攻击次数走势百 G 以上大流量攻击威胁趋势最近几年，在云计算/大数据/AI/视频直播等行业高速增长驱动下，IDC网络和家庭宽带网络带宽持续高速增长。但是相当数量的服务器和个人 PC/IoT 设备由于存在配置缺陷或者存在安全漏洞，沦入黑客之手。DDoS 攻击黑产获得了大量的攻击资源和攻击带宽，导

5、致百 G 以上的大流量攻击越来越普遍，而且呈现明显的大流量攻击增长幅度高于整体威胁增长幅度的态势。腾讯安全 T-SecDDoS 团队统计，2022 年百 G 以上大流量攻击同比增幅超过 5 成，平均下来大约每隔 1 小时就会出现 1 次百 G 以上的大流量攻击。第一章:专家观点Chapter one:Expert Opinions2022 年全球 DDoS 威胁报告-6腾讯安全 T-Sec DDoS 团队监测数据显示：2022 年全年攻击峰值流量超过 1Tb 的攻击次数接近 40 次，不仅是历年之最，而且比 22 年之前所有的 Tb 级攻击的次数还要多。从数据看出，7 月至 8 月以及 11

6、月至 12 月是Tb 级攻击的高发月份，这四个月平均 4 天就会出现 1 次 Tb 级攻击。近年来 DDoS 攻击黑产获得了大量的攻击资源，攻击程序也有大幅进化，这导致攻击者的攻击手法不再拘泥于之前较为典型的 UDP 反射和 SYN 大包攻击，攻击手法五花八门，呈现越来越明显的多样性。但是在 Tb 级别的大流量攻击中，黑客们不约而同都选择了 UDP 类攻击。具体来看大约三分之一的 Tb 级攻击基于 UDP 反射，而另外的三分之二的攻击的主要流量是 UDP 非反射型攻击。Tb 级攻击的手法分布腾讯云 DDoS 攻击峰值（Tbps）2Tb 级攻击以 UDP 流量为主，次数超过 40 次除了攻击次数

7、大幅增长外，2022 年的攻击峰值也再创新高。2022 年的最大攻击峰值同比去年增长 15%，达到 1.45Tbps，2022 年也成为攻击峰值最大的一年。第一章:专家观点Chapter one:Expert Opinions2022 年全球 DDoS 威胁报告-73游戏行业是 DDoS 攻击重灾区，东南亚是海外攻击热点由于存在恶意玩家通过发起 DDoS 攻击、黑产团伙敲诈勒索，同行业 DDoS 攻击恶意竞争等多个攻击场景，游戏行业历来都是 DDoS 攻击的重灾区。2022 年游戏行业继续成为 DDoS 攻击最多的行业，不仅相比 21 年大幅回升，而且占比也遥遥领先于其他行业，占据所有行业 D

8、DoS 攻击的一半以上。一般来说，经济较为发达，互联网普及水平高的北美和欧洲是海外 DDoS 攻击比较高发的区域，但是今年以来，这个趋势出现了明显的变化。2022 年东南亚区域的经济高速发展，各个主要国家的 GDP 都出现大幅增长。而在 DDoS 攻击方面，得益于东南亚区域互联网发展迅猛，DDoS 攻击占比也水涨船高，在 2022 年高居海外各个区域第一。传统的经济发展水平较高，互联网发达的北美区域的 DDoS 攻击在海外各个区域中占比第二，此外日韩区域的 DDoS 攻击占比也较高，超过了欧洲区域，位居第三。游戏行业占比海外各个区域攻击分布第一章:专家观点Chapter one:Expert

9、Opinions2022 年全球 DDoS 威胁报告-84僵尸网络规模扩张迅猛，高危漏洞依旧是最大杀器DDoS 攻击是僵尸网络第一个有明确收益的攻击方式，在国家和安全人员不断对僵尸网络治理和打击的形势下，黑产团伙仍从未放弃任何一次扩张控制范围的机会。近年来，DDoS 僵尸网络不断利用漏洞扩张控制范围，2022 年被僵尸网络利用的在野漏洞已达 135 种，新漏洞在刚披露的几个小时内即被快速集成，脆弱主机漏洞还未修复之前就已被控制并植入木马。Mirai 作为最活跃的僵尸网络之一，今年发现其最高携带了 77 个中高危漏洞，如 Apache Log4j RCE 漏洞（CVE-2021-44228）、F

10、5 BIG-IP 未 授 权 RCE 漏 洞（CVE-2022-1388）、Spring4Shell RCE 漏 洞（CVE-2022-22965）等高危漏洞。从利用弱口令起家发展到利用漏洞进行大面积扩张，Mirai 寻找一切机会感染其他设备，扩张控制范围。由此可见，黑产团伙具备随时将高危漏洞用于扩张僵尸网络主机并用于 DDoS 攻击的能力，这给关键信息基础设施带来极大威胁，因此防御方需要提前做好防御准备。5以关键信息基础设施为目标的 DDoS 攻击与日俱增根据绿盟科技全球威胁狩猎系统监测，2022 年针对关键信息基础设施的 DDoS 攻击呈上升趋势，在 11 月攻击次数达到最高。疫情期间，全

11、球整体经济形势下滑，以勒索型 DDoS 攻击为代表的攻击者将目标转向停运成本较高的关键基础设施，尤其是公共通信和信息服务、金融、公共服务、电子政务、重要网络设施和信息系统等。DDoS 攻击者试图耗尽目标网络、应用程序或服务的可用资源，对高度依赖业务连续性的关键信息基础设施造成破坏，高昂的停运成本意味着它们常常更有可能支付赎金，这些行业一旦被攻击不仅会带来经济压力，还可能带来额外社会安全稳定性影响。受害关键基础设施月度分布第二章：整体威胁Chapter two:Overall Threats2022 年全球 DDoS 威胁报告-9第二章整体威胁Overall Threats第二章：整体威胁Cha

12、pter two:Overall Threats2022 年全球 DDoS 威胁报告-1016 个月攻击峰值超过 1Tb2022 年的攻击峰值为历年之最，同比 21 年增长幅度达到 15%。22 年最大的攻击发生在 12 月份，攻击峰值达到 1.45Tbps。按月来看，2022 年各个月的攻击峰值，在 2 月至 7 月以及 8 月至 12 月，呈现明显的逐月递增的态势。最大攻击流量 Gbps由于 2022 年全年的 Tb 级别的攻击接近 40 次，因此有 6 个月的攻击峰值超过 1Tb。但是从月份来看，Tb 级别的攻击的分布具有明显的聚集性，6 月至 7 月，11 月至 12 月是 Tb 级攻

13、击最聚集的月份，全年 94%的 Tb级攻击分布在这 4 个月。2022 年整体 DDoS 威胁呈上升趋势。攻击峰值方面，全年有 6 个月的攻击峰值突破 1Tb，12 月份则成为攻击峰值最大的月份。攻击次数方面，5 月份、8 月份、10 月份攻击次数最多，大流量攻击则在 8 月和 1月最为集中。攻击行业方面，游戏行业攻击最多，手游则成为攻击最多的细分品类。根据电信云堤监测，2022 年 11 月 1 日曾出现过一次最高攻击峰值超过 3Tb/s 的攻击，它发生在浙江电信，具体时间为 2022 年 11 月 1 日 8 点 08 分，共持续 1087 秒，这期间平均攻击峰值超过 167Gb/s，所属

14、类型为 UDP 型攻击；对比历年监控，攻击峰值流量超过 3Tb/s 级别属于较为罕见的超大流量攻击。Tb 级攻击的月份分布第二章：整体威胁Chapter two:Overall Threats2022 年全球 DDoS 威胁报告-11除了在时间分布上呈现聚集性外，在攻击手法方面，Tb 级攻击也都聚集在 UDP 类攻击手法。具体来说，有三分之一的 Tb 级攻击，是基于 UDP 反射发起。而剩余的三分之二的 Tb 级攻击，则是直接基于非反射的 UDP大包攻击，这说明 DDoS 攻击者控制的攻击资源异常充裕，已经不需要借助 UDP 反射放大流量，就能直接发起 Tb 级别的攻击。25 月、9 月、10

15、 月成全年攻击最多2022 年的 DDoS 攻击次数和 2021 同期相比，一个很显著的特点就是上半年的每个月的攻击次数都多于 21 年同期，而下半年每个月的攻击次数均少于 21 年同期。此外，整体来看相比 21 年，22 年的 DDoS 攻击次数分布较为均匀，5月是攻击次数最多的月份，在全年占比为12%。6月为攻击次数最少的月份在全年攻击占比为6%。5 月攻击次数约为 6 月攻击次数的 2 倍，而 21 年次数最多的月份是次数最少月份的 5 倍以上。根据电信云堤数据：截止 2022 年 11 月 30 日，DDoS 攻击总次数为 427815 次，其中 9 月攻击次数最多，为65458 次；

16、10 月的攻击次数其次，为 60468 次；9 月的攻击次数相比 8 月提升 35513 次，也是攻击次数提升最明显的月份；11 月相比 10 月下降了 27359 次，为攻击次数下降最明显的月份；截止 2022 年 11 月 30 日，DDoS 攻击次数在国内总计 79760 次，各月趋势波动较小，11 月的攻击次数最多，为 9215 次；Tb 级攻击的手法分布DDoS 攻击次数走势第二章：整体威胁Chapter two:Overall Threats2022 年全球 DDoS 威胁报告-123大流量攻击 8 月份最多2022 年全年 100G 以上的累计超过 1 万次，数量为历年之最。从时

17、间分布来看，从 2 月份开始，大流量攻击持续增长，8 月份则是百 G 以上大流量攻击的高峰，数量是百 G 以上大流量攻击最少的 2 月份的 3 倍左右。4网络游戏品类继续蝉联攻击最多应用网络游戏历来都是 DDoS 攻击较多，2022 年也不例外，网络游戏蝉联 DDoS 攻击最多的网络应用，而且占比相比 2021 年也有大幅提升。企业官网和 IT 通信行业的 DDoS 攻击占比则位于网络游戏之后，分列第二位和第三位。百 G 以上大流量攻击趋势DDoS 攻击行业分布第二章：整体威胁Chapter two:Overall Threats2022 年全球 DDoS 威胁报告-13尽管网络游戏的攻击占比

18、高居第一，但是不同品类下的攻击占比，差距也是非常明显。手机游戏的攻击最多，而且占据了游戏行业近三分之二的 DDoS 攻击，而端游占比则是仅次于手游。此外如游戏加速/游戏聊天等第三方游戏服务行业的 DDoS 攻击占比也较高，甚至远远超过页游这个游戏品类。游戏品类二级行业 DDoS 攻击分布5DDoS 攻击不受现实时间影响从攻击次数的周天分布来看，DDoS 攻击除在周中稍微密集一些外，在一周内的攻击次数比较均匀。据此可以看出，DDoS 攻击是持续不断发生的，与是否为休息日无关，攻击者每一天都可能对受害方发起攻击，DDoS防护人员应随时保持警惕。2022 DDoS 攻击次数周天分布第二章：整体威胁C

19、hapter two:Overall Threats2022 年全球 DDoS 威胁报告-146DDoS 攻击目标趋于明确，攻击持久性逐年加强从受害目标被攻击频次来看，2022 年被重复攻击的 IP 比 2021 年有明显上升。针对单个目标的 DDoS 攻击周期越来越持久，不同于2021年56.91%的受害者只遭受过一次DDoS攻击，今年受害者一旦被认定为攻击目标，则更容易遭受多次DDoS攻击，这种DDoS攻击持久性逐年加强的攻击趋势无疑给DDoS防护带来更大的挑战。2021-2022 年 DDoS 攻击持久性分布7新型攻击手段：Cloud9 恶意插件远程控制安全社区研究人员发现了一个新的名为

20、“Cloud9”的浏览器僵尸网络，使用恶意扩展来窃取在线账户、记录击键、注入广告和恶意 JS 代码，并让受害者的浏览器参与 DDoS 攻击。Cloud9 实际上是浏览器的远程访问木马(RAT)，其作用是允许攻击者远程执行命令。Cloud9 在官方网上商店中不可用，而是通过其他渠道传播，例如推送虚假播放器更新网站。Cloud9 由三个 JavaScript 文件组成，用于收集系统信息、使用主机资源挖掘加密货币、执行 DDoS 攻击以及注入运行浏览器漏洞的脚本。该恶意软件可以利用主机通过对目标域的 HTTP POST 请求执行应用层 DDoS 攻击。第二章：整体威胁Chapter two:Over

21、all Threats2022 年全球 DDoS 威胁报告-15第三章海外威胁Overseas Threats第三章：海外威胁Chapter three:Overseas Threats2022 年全球 DDoS 威胁报告-1617 月攻击最多、8 月攻击最大海外的 DDoS 攻击在前 3 个季度相邻月份间变化较大，4 季度则相对非常平稳。其中 2022 年 7 月份，海外的欧洲，北美，东南亚区域的 DDoS 威胁均达到 2022 年的高点，这也导致 7 月成为海外 DDoS 攻击最多的月份。海外 DDoS 攻击威胁呈现前三个季度波动较大，而 Q4 则较为平稳的态势。全年攻击峰值接近 700G

22、，正在快速逼近 1Tb 这个门槛。东南亚区域是海外攻击最多的区域，网络游戏也是海外黑客的最爱攻击目标。海外 DDoS 威胁趋势攻击峰值方面，海外的 DDoS 攻击在上半年呈逐月增长趋势，到了下半年则呈现 Q3 攻击峰值波动较大，而Q4 则较为平稳的态势。全年最大的攻击发生在 8 月份，峰值接近 700G，攻击手法为 UDP 大包攻击，海外的攻击者也控制着非常庞大的攻击资源，海外的 DDoS 攻击峰值也在快速逼近 1Tb 这个门槛。海外最大攻击流量走势第三章：海外威胁Chapter three:Overseas Threats2022 年全球 DDoS 威胁报告-172100G 以上大流量攻击集

23、中在 1 月尽管 22 年海外整体的 DDoS 攻击次数走势较为平稳，但是在 100G 以上大流量攻击方面，各个月份之间波动较大。根据腾讯安全 T-Sec DDoS 团队的数据，海外区域 1 月份的 100G 以上大流量攻击占全年比例接近三分之一，呈现大流量攻击集中在 1 月份的趋势，同时年尾的 12 月份 100G 以上大流量攻击次数则排名第二。海外百 G 以上大流量攻击趋势3东南亚主要攻击热点区域得益于区域经济高速发展，以及拥有庞大的年轻用户的互联网产业快速增长，2022 年东南亚区域的 DDoS 攻击也水涨船高，在海外区域的占比大幅增加至四成以上，而且几乎在所有月份，东南亚区域的 DDo

24、S 攻击在海外区域的占比都高居第一，成为海外 DDoS 攻击的热点区域。海外各个区域威胁走势第三章：海外威胁Chapter three:Overseas Threats2022 年全球 DDoS 威胁报告-184“短平快”攻击依然是主要攻击战法据绿盟全球威胁狩猎系统监测，全球近七成 DDoS 攻击不到 10 分钟，约两成的持续时间为 10-30 分钟，余下的攻击持续时间超过 30 分钟，高频瞬时攻击依旧是当前主要攻击手段。“短平快”这种攻击频率高，持续时间短，攻击收益高的 DDoS 攻击战法难以及时防护，这类攻击会在短时间内发送大量的攻击流量轰击目标，依赖于安全分析的 DDoS 防护人员无法快

25、速组织防护，只能在攻击发生后进行复盘，部署过滤该攻击指纹的防护规则，使下次发生攻击时能产生告警并及时拦截。这类短时间的 DDoS 攻击一旦成功，应用可能要花费数小时甚至数天才能恢复服务，造成极大的精力损耗。建议企业启用自动化 DDoS 防护服务，及时拦截高频瞬时攻击。而在峰值方面，2022 年欧洲区域的攻击峰值在在海外名列第一，东南亚区域则仅次于欧洲，这两个区域的峰值都超过 600G，北美区域的攻击峰值居于第三。其他区域的峰值相比 21 年也有不同程度增长，但是与上述区域的峰值差距则较大。各个区域攻击峰值DDoS 攻击持续时间分布第四章：黑产视角Chapter four:Underground

26、 Industry Perspective2022 年全球 DDoS 威胁报告-195攻击者重点关注远程登录与 WEB 应用服务从受害端口对应的攻击事件数来看，受害者遭受的 DDoS 攻击的服务以 telnet 远程登录服务(23/TCP)和HTTPs 服务(443/TCP)的为主。2022 年受疫情影响，民众居家办公成为常态，远程登录服务(23/TCP)和文件传输服务（21/FTP）成为遭受 DDoS 攻击的重灾区。此外，在一些对安全性要求较高的网站比如银行，购物，金融等行业都会采用HTTPS(443/TCP)服务，这类行业的网站若遭受 DDoS 攻击，可能会造成严重的经济损失。受害端口对应

27、攻击事件数统计6UDP Fragment Flood“异军突起”2022 年，UDP Flood，SYN Flood 和 UDP Fragement Flood 是 TOP3 网络层 DDoS 攻击。UDP Flood 攻击占比较 2021 年提升了 8.01%，SYN Flood 较 2021 年下降了 15.08%。需要注意的是，UDP Fragment Flood 攻击类型显著增多，在 UDP Fragment DDoS 攻击过程中，攻击者会传输伪造的 UDP 数据包，这些数据包看起来比最大传输单元 MTU 大，但实际上只发送了部分数据包，这些数据包无法重新组合，服务器的资源很快就会被消

28、耗掉，最终导致无法正常服务。2021-2022 网络层攻击类型分布第四章：黑产视角Chapter four:Underground Industry Perspective2022 年全球 DDoS 威胁报告-207北美洲为应用层 DDoS 攻击流量主要来源地与网络层 DDoS 攻击不同，应用层 DDoS 攻击过程中会发生完整的 TCP 连接，其攻击源 IP 无法伪造，若区域内应用层攻击源 IP 攻击的活跃度较高，也表明有僵尸网络在其境内较为活跃。北美洲是应用层 DDoS 攻击的主要来源地，其中美国占比高达 98.43%，表明美国是当前僵尸网络较为活跃的地区。应用层攻击源地域分布8秘鲁国内形势

29、紧张，沦陷为应用层 DDoS 攻击重灾区2022 年，秘鲁成为遭受应用层 DDoS 攻击最多的国家。攻击者“趁火打劫”对其进行大规模应用层 DDoS 攻击来篡取利益。美国和英国作为发达国家，受到应用层攻击的数量分列二三位。应用层攻击目标地域分布第四章：黑产视角Chapter four:Underground Industry Perspective2022 年全球 DDoS 威胁报告-21第四章黑产视角DDoS 攻击背后是完整复杂的黑色利益链，和不择手段、规模庞大的捞金团伙。与之对抗，既要在防御上推陈出新，不断引入新型技术，也要知己知彼，对黑客团伙的战术持续研究。Underground Ind

30、ustryPerspective第四章：黑产视角Chapter four:Underground Industry Perspective2022 年全球 DDoS 威胁报告-2212UDP 攻击手法最受黑客青睐大型攻击中 UDP 非反射攻击占据三分之一攻击手法方面，UDP 类攻击仍然是 DDoS 攻击团伙最青睐的攻击手法，合计占比达到全部攻击的 6 成左右。具体来说 UDP 反射攻击占比约 4 成，UDP 非反射攻击占比约 2 成左右。SYNFLOOD 攻击占比则跌落到 15%左右，其中 SYN 大包攻击占比已经不足一成。作为近两年攻击的热点手法，TCP 反射在全部攻击中的占比则为 3%。1

31、00G 以上的大流量攻击中，UDP 类攻击还是绝对主力，占比接近 6 成。但是与以往不同的是，今年的 UDP大包攻击的占比已经超过 UDP 反射的占比。SYN 大包攻击占比接近二成，名列第三位。此外，PSHACK 攻击的占比也较为可观。UDP 大包攻击在 100G 以上的大流量攻击中占比超过三分之一，背后的原因和僵尸网络的变迁有较大关联。历史上，100G以上的大流量攻击中基本都是UDP反射和SYN大包评分秋色。但是近两年但是根据腾讯安全T-Sec DDoS 团队的监测数据，Mirai 僵尸网络强势崛起，该僵尸网络的多个变种发起的攻击活动都以 UDP 大包攻击为主，而以 SYN 大包攻击位主要攻

32、击手段的 Xor.DDoS 僵尸网络持续式微。这一变迁不仅将 UDP 大包发起的大流量攻击的峰值推升到 Tb 级别，也将 UDP 非反射攻击占比大幅推升到 2 成以上。攻击手法分布100G 以上大流量攻击威胁场景分布第四章：黑产视角Chapter four:Underground Industry Perspective2022 年全球 DDoS 威胁报告-233僵尸网络攻击活动分布根据腾讯安全 T-Sec DDoS 团队的监测数据，2022 年攻击活动最活跃的僵尸网络是 Mirai 僵尸网络，占据所有僵尸网络活动的比例高达 54%。此外 Gafgyt 和 BillGates 僵尸网络的攻击活

33、动占比则分列第二和第三。而前两年大量发起 SYN 大包攻击的 XorDDoS 僵尸网络的占比则保持在低位，不足 1 成。僵尸网络攻击活动分布4僵尸网络肉鸡分布从肉鸡数量维度来看，Mirai 僵尸网络仍然是所有僵尸网络中的王者，占比超过四成，Gafgyt，BillGates 和XorDDoS 的肉鸡数量占比则较为接近，但是占比都不足 2 成。僵尸网络肉鸡数分布第四章：黑产视角Chapter four:Underground Industry Perspective2022 年全球 DDoS 威胁报告-24通过对 2022 年 TOP20 的 Linux/IoT 高危漏洞利用情况进行统计后发现，漏

34、洞利用率的高低与僵尸网络的活跃程度及规模正相关。Mirai 与 Gafgyt 僵尸网络对今年 TOP20 高危漏洞的利用率接近 100%，新秀 Mozi 僵尸网络亦接近 60%，而 XorDDoS 却呈下滑趋势。面世不久的 Keksec DDoS 团伙虽不足 3%，却也在更新迭代中逐渐扩宽攻击面。5僵尸网络控制端分析从控制端数量维度来看，Mirai 僵尸网络的控制端数量最多，占比接近 8 成。黑产团伙为规避法律法规风险，通常将控制端部署于境外云主机。2022 全年，94%的僵尸网络主控端位于境外，分布区域以北美及欧洲为主。其中 DigitalOcean 和 FranTech Solution

35、是涉及僵尸网络控制端最多的云服务厂商。僵尸网络对 top20 的 linux/IoT 漏洞利用率僵尸网络控制端数量分布第四章：黑产视角Chapter four:Underground Industry Perspective2022 年全球 DDoS 威胁报告-256僵尸网络攻击指令分析从攻击活跃度来看，Mirai 僵尸网络发起了接近一半的 DDoS 攻击，并于 7-8 月达到攻击高峰。XorDDoS 僵尸网络的攻击指令总数已然超过传统家族 Gafgyt，本年度发起的攻击活动占比接近 4 成。XorDDoS 僵尸网络家族于 2014 年 9 月底被首次监测到，它组建了能够发起 DDoS 攻击的

36、僵尸网络，XorDDoS 恶意家族主要特点是，用暴力猜解目标主机 SSH 弱密码的方式，入侵目标主机，然后执行相应的SHELL 脚本安装 XorDDoS 恶意家族以及恶意 RootKit 来感染客户主机。XorDDoS 僵尸网络家族的主要攻击目标为中国、美国等国家和地区。DDoS 攻击指令分布（万）僵尸网络控制端地域分布C&C 云服务厂商及运营商分布第四章：黑产视角Chapter four:Underground Industry Perspective2022 年全球 DDoS 威胁报告-267美国成为僵尸网络 DDoS 攻击首要目标僵尸网络攻击一般都是以谋取经济利益为最终目标，其活跃程度与

37、经济水平息息相关。美国作为世界第一大经济体，成为僵尸网络攻击的首要目标。2022 年全年最活跃的 Mirai 僵尸网络以及Gafgyt 和 XorDDoS 等知名僵尸网络的主要攻击目标都位于美国，此外，中国和德国也遭到了大量 Mirai 僵尸网络发起的 DDoS 攻击。僵尸网络 DDoS 攻击目标分布僵尸网络攻击指令与家族分布僵尸网络家族的主要攻击目标第四章：黑产视角Chapter four:Underground Industry Perspective2022 年全球 DDoS 威胁报告-27第五章：攻防对抗案例Attack Defense Cases第五章：攻防对抗案例Chapter f

38、ive:Attack Defense Cases2022 年全球 DDoS 威胁报告-281攻防对抗案例案例一：腾讯云客户遭受 Tb 级别攻击2022 年 12 月 2 日某腾讯云客户遭受超大流量 DDoS 攻击，攻击手法为 UDPFLOOD，攻击峰值达到 1.45Tbps，为腾讯云历史上最大的攻击。之后的一周内，该客户又被攻击超过 40 次。攻击手法：攻击者在短短一周之内，轮番动用了超过 9 种攻击手法，其中大部分攻击通过 UDP 大包攻击发起，ACK 大包和 PSHACK 攻击占比也较多。攻击手法分布攻击流量分布：针对该客户的攻击以超大流量攻击为主，7 成的攻击超过 100G，接近五成的攻

39、击超过 500G。攻击峰值区间分布第五章：攻防对抗案例Chapter five:Attack Defense Cases2022 年全球 DDoS 威胁报告-29攻防对抗案例攻击源来源：Mirai 僵尸网络的 1 个变种参与了此次攻击，捕获的 2 个控制端 IP 为 157.XXX.102.XXX（位于印度班加罗尔）和 138.XXX.65.XXX（位于德国法兰克福）。攻击者动用了超过 4 万台肉鸡发起攻击。其中来自国外的攻击源占比 6%，分布于海外 120 个国家。来自国内的攻击源占比 94%，国内的各个省份均有分布，其中江苏省，浙江省和广东省是攻击源数量较多的省份。防护建议一：自建超大带宽

40、机房通过带宽冗余的方式防范Tb级攻击，会导致机房建设和带宽成本居高不下，同时存在带宽利用率低等问题。建议企业应该储备大量防护带宽的云计算厂商来防范 Tb 级 DDoS 攻击威胁，或者借用云计算厂商的端云一体防护能力，在遭受攻击时借助云计算厂商的海量防护能力进行防护。防护困境一：Tb 级别 DDoS 攻击成为现实威胁，不仅会影响被攻击业务，还会导致运营商网络拥塞，导致整个机房业务受影响。国内攻击源来源省份分布防护建议二：云计算厂商依托海量客户的攻防对抗场景和专业的安全防护专家队伍，投入资源专注于安全防护，追踪业界最新的安全攻防态势，不断迭代安全防护策略，实现安全威胁一旦感知即能广泛防护的能力。防

41、护困境二：黑产团伙持续进化，攻击能力日新月异，攻击手法变化莫测。普通企业的安全团队资源有限，难以把握黑产最新攻击态势，在与高端团伙对抗时很容易陷入被动。第五章：攻防对抗案例Chapter five:Attack Defense Cases2022 年全球 DDoS 威胁报告-30案例二：基于 CVE-2022-26143 的反射放大攻击2022 年 3 月上旬，国际拉美地区某客户遭受了 UDP Flood 攻击，峰值期间攻击流量达到 66.9Gbps。绿盟IBCS 团队发现本次攻击的源端口为固定的 10074，经过深入分析，可以确定本次攻击是黑客利用 TP-240drv驱动程序存在漏洞（CVE

42、-2022-26143）发起的反射放大攻击。该漏洞可以使 tp240dvr 服务的一个公开命令遭到滥用，该命令旨在对其客户端进行压力测试，以便于调试和性能测试。攻击者可以使用自定义的命令使 tp240dvr 服务发送更大的信息状态更新数据包，从而显著提高放大率，放大比例理论为 4,294,967,294:1。在得出结论后，绿盟 IBCS 团队在 ADS 上将防护群组的 UDP 防护策略进行了调优，将来自 10074 的端口的UDP 流量进行限速处理，以保证客户业务的正常运转。第五章：攻防对抗案例Chapter five:Attack Defense Cases2022 年全球 DDoS 威胁报

43、告-312022 年下旬，国际某拉美地区客户遭受了三次规模较大的 UDP 泛洪 DDoS 攻击，峰值期间攻击流量一度高达 225.5Gbps，而清洗后回注给客户的流量为 3.7Gbps，清洗效率为 98.8%。绿盟 IBCS 团队在客户遭受攻击后迅速进行了响应，通过与客户沟通与抓包分析，我们了解到被攻击 IP 为在线游戏业务，使用的协议为 UDP，服务端口 27030 和 27055，且该攻击通过具有完整协议栈的随机源向服务器发起单次查询请求，payload 字段一致，且报文无异常。案例三：大规模 UDP 泛洪 DDoS 攻击7 月 15 日 UDP Flood 攻击，清洗率 98.87%10

44、 月 5 日 UDP Flood 攻击，清洗率 98.88%10 月 27 日 UDP Flood 攻击，清洗率 98.8%第五章：攻防对抗案例Chapter five:Attack Defense Cases2022 年全球 DDoS 威胁报告-32此攻击是利用随机源发起的 UDP 小包攻击，如果使用常规防护手段进行限速处理，正常用户的合法业务流量也会被误杀。因此针对该攻击必须要找到更加细节的攻击特征，在源头上将攻击进行封堵，才能不妨碍到正常客户的业务。通过进一步的分析讨论，绿盟 IBCS 团队发现该攻击所有 UDP 包其 TTL 均为251，而正常 Windows 或 macOS 操作系统

45、其默认 TTL 一般为 128 或 64，由此可以断定该攻击报文是由攻击工具构造而成。综合上述特征，我们立即为客户调整了防护策略，在攻击全程实现了较高的清洗效率，有效保证了客户业务的正常运转。第四章：黑产视角Chapter four:Underground Industry Perspective2022 年全球 DDoS 威胁报告-33第六章：全球DDoS大事记Global DDoS Events第六章：全球DDoS大事记Chapter 6:Global DDoS events2022 年全球 DDoS 威胁报告-341全球 DDoS 大事记2022 年 2 月2022 年 7 月腾讯云 T

46、-Sec DDoS 成功防护多次针对 DNS 业务超大型应用层 DDoS 攻击，其中最大的一次攻击峰值达 2.3 亿 qps，为腾讯云历史上最大的应用层 DDoS 攻击。绿盟科技伏影实验室高级威胁狩猎系统监测，巴西在 7 月和 8 月遭受大规模 DDoS 攻击，攻击目标范围广泛，包括政府机构、互联网公司、光纤运营商等等。绿盟科技伏影实验室高级威胁狩猎系统监测，2022 年 2 月 15 日下午开始，乌克兰 Privatbank（乌克兰最大的银行）和 Oschadbank 均遭到 DDoS 攻击。这些攻击导致政府网站的暂时瘫痪，另外，针对金融网站的攻击，致使银行无法正常提供服务。近年来随着以重要

47、信息系统为目标的 DDoS 攻击成为常态化手段，被攻击的系统分布到金融、能源、互联网、交通等各行各业；攻击者通常团伙作案，有组织、有目的针对性打击。DDoS 的安全威胁持续已久，在安全威胁日益增长趋势下每年都会有一些新的攻击手法增加、攻击带宽增大、攻击次数增多，天然的攻防不对等在 DDoS 威胁下体现的淋漓尽致，对于防御者来说通常要花费大量的成本进行抵御。2022 年 10 月2022 年 10 月底，绿盟科技伏影实验室联合 CNCERT 物联网威胁研究团队共同披露了“L33T”僵尸网络犯罪团伙，该团伙控制着 Mirai_L33T,Gafgyt_L33T 以及 BOAT_L33T 在内的多个僵

48、尸网络家族，这些僵尸网络家族中大部分是修改自开源代码，很难把它们从已知家族中区分出来，隐匿性强，检测难度大。该团伙攻击基础设施在荷兰，美国，越南等地均有分布，攻击范围涵盖了中国，德国，英国在内 78个国家和地区，攻击目标包含了游戏，私服，教育网站等行业，国内的广东，香港，四川，台湾等地均有受到影响，其运营的 Mirai_L33T 僵尸网络更是在 2022 年 7 月 29 日至 8 月 22 日期间下发了近 5000 条 DDoS 攻击指令，涉及攻击目标 3000 多个，其单日下发指令数最高达到 1000 条以上。从其布局可以判定其再次进入黑产行业且野心不小。第六章：全球DDoS大事记Chap

49、ter 6:Global DDoS events2022 年全球 DDoS 威胁报告-35全球 DDoS 大事记2022 年 12 月12 月 2 日，腾讯云某客户遭受多次大型 DDoS 攻击，最大攻击流量达到 1.45Tb，为腾讯云上历史最大攻击。12 月 6 日，俄罗斯国有银行 VTB 遭受其历史上最大规模的网络攻击，银行的技术基础设施受到了来自国外的前所未有的网络攻击访问其移动应用程序和网站会暂时出现困难。VTB 的发言人表示攻击者没有侵入银行基础设施的内部网络，银行客户数据受到保护，核心银行服务都运作正常。第一章:专家观点Chapter one:Expert Opinions2022 年全球 DDoS 威胁报告-36