《绿盟科技:2023年DDoS攻击威胁报告(45页).pdf》由会员分享,可在线阅读,更多相关《绿盟科技:2023年DDoS攻击威胁报告(45页).pdf(45页珍藏版)》请在三个皮匠报告上搜索。
1、关于绿盟科技绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000年 4 月,总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市,证券代码:300369。绿盟科技在国内设有 40 多个分支机构,为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司,深入开展全球业务,打造全球网络安全行业的中国品牌。版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法
2、保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。关于伏影实验室研究目标包括 Botnet、APT 高级威胁,DDoS 对抗,WEB 对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。天翼安全科技有限公司(中国电信安全公司,简称“电信安全”)是中国电信集约开展网络安全业务的科技型、平台型专业公司。作为中国电信建设安全型企业的主力军和骨干力量,电信安全承担中国电信网络安全关键核心技术创新的主体责任,是国家关基安全的重要科研力量。电信安全以研发运营一体化的方式,
3、整合全集团云网、安全、数据等优势资源和能力,进行统一运营,为内外部客户提供云网安全、数据安全、信息安全等各类安全产品和服务。电信安全秉承“传承红色基因,守护安全中国”的使命,致力于成为数字时代最可靠的网络安全运营商。CONTENTS01专家观点11.1DDoS 攻击已成为网络战中不可或缺的致瘫武器21.2继使用真实主机、僵尸网络、反射节点之后,攻击者逐渐青睐利用专用云服务器(VPS)作为攻击源31.3DDoS 攻击模式从简单粗暴的资源耗尽走向智能策略式攻击 31.4地毯式 DDoS 攻击浪潮席卷网络,背后或有国家级力量参入51.5利益驱动下的 DDoS 攻击联手,成为 APT 攻击前站502整
4、体威胁72.1整体攻击规模持续增长,大规模攻击频现82.2DDoS 攻击强度居高不下,峰值带宽和峰值包速率总量双增长92.3DDoS 攻击手段呈现多元化,应用层攻击占据主流102.4DDoS 攻击复杂度加剧,新兴攻击手段不断兴起112.5DDoS 攻击目标或与地缘冲突相关,互联网和关基成为重灾区1103DDoS 攻击态势143.1攻击手段153.2攻击强度183.3DDoS 攻击源20CONTENTS04黑灰产威胁视角224.1僵尸网络234.2黑客组织2505新型 DDoS 攻击手段325.1SLP 反射放大攻击335.2HTTP/2RapidReset 攻击3306攻防案例356.1202
5、3 年 3 月某国际客户遭受 UDP 扫段攻击3607年度 DDoS 大事件387.12023 年 2-4 月397.22023 年 5 月397.32023 年 6 月397.42023 年 8 月397.52023 年 10 月40专家观点0122023 年 DDoS 年报1.1 DDoS 攻击已成为网络战中不可或缺的致瘫武器2023 年,HTTP/2 Rapid Reset 和 SLP 反射放大攻击等新兴 DDoS 攻击手段不断涌现,攻击者和防御者都在持续提升自身技术水平以发掘新型攻击方法和有效防御策略。DDoS 攻击已不再局限于传统的网络层攻击,而是更加倾向复杂的应用层攻击和新型反射攻
6、击等手段。攻击者广泛利用物联网设备、虚拟专用服务器等媒介,提升了攻击的复杂性,使得检测和应对变得愈发困难。同时,随着攻击工具逐步走向商业化和服务化,攻击工具的获取变得更加容易,甚至无需攻击者具备高级技术能力,例如国外知名的 DDoS 攻击平台stress.ru,任何用户都可以通过付费服务发起自定义攻击。近年来,随着地缘政治紧张局势的升级,攻击者越来越倾向于利用 DDoS 攻击作为地缘政治争端中的前哨行动,DDoS 攻击成本低廉,可以迅速打击对手的关键基础设施和重要网络系统,制造恐慌和混乱,使政府声誉受损,甚至造成信息孤岛,最终导致巨大经济损失和极坏的社会影响。2023 年 10 月,巴以冲突爆
7、发,多方势力的黑客行动主义(Hacktivism)组织开始在双方网络空间区域内进行持续的博弈,攻击方式主要以 DDoS 攻击为主。据绿盟科技监测,以方被攻击目标主要为政府、司法、军事、电力等关基网站,另外还有邮件服务与 DNS 服务,巴方被攻击目标主要为政府、电信等网站。自 2022 年以来,俄乌冲突持续升级,双方在两国边境地区部署了大量军事人员和装备,彼此对峙的态势日益加剧。与此同时,在隐秘的网空战场中,也爆发着各种形式的攻防战。2022/6/12022/7/12022/8/12022/9/12022/10/12022/11/12022/12/12023/1/12023/2/12023/3/
8、12023/4/12023/5/12023/6/12023/7/12023/8/12023/9/12023/10/12023/11/12023/12/1攻击次数(次)攻击趋势图 1.1 乌克兰遭受 DDoS 攻击趋势3专家观点2022/6/12022/7/12022/8/12022/9/12022/10/12022/11/12022/12/12023/1/12023/2/12023/3/12023/4/12023/5/12023/6/12023/7/12023/8/12023/9/12023/10/12023/11/12023/12/1攻击次数(次)攻击时间点(天)攻击趋势图 1.2 俄罗斯遭
9、受 DDoS 攻击趋势1.2 继使用真实主机、僵尸网络、反射节点之后,攻击者逐渐青睐利用专用云服务器(VPS)作为攻击源长期以来,大型僵尸网络主要依赖路由器、打印机和摄像头等物联网设备来实施攻击,这些设备由于处理能力有限,通常需要汇聚大量设备产生的流量才能对目标造成实质性破坏。然而,如今攻击者的策略发生了显著变化,开始转向利用云服务厂商提供的虚拟专用服务器(VPS)进行攻击。VPS 因其低成本、高带宽、匿名性和快速部署等特性,成为攻击者扩大攻击规模、遮掩身份和灵活应对网络安全防护措施的理想攻击源。云计算服务商所提供的虚拟专用服务器,其初衷是为初创公司和企业提供一种成本效益高且性能卓越的应用程序
10、创建方案。这些虚拟服务器具备出色的计算能力和网络带宽,一些攻击者利用这一优势,通过购买或非法入侵控制多台 VPS,进而组建新型的僵尸网络,以达成其攻击目标。2023 年,绿盟科技共监测到了 61491 台独立 VPS 云主机作为 DDoS 攻击源,其中主要涉及谷歌、微软、亚马逊等主流云服务商。相较于 2022 年,该数据同比上升了 35.8%。针对这部分攻击源,需要对现有的安全防护策略进行调整和完善。通常情况下,受到攻击的服务主要是面向用户交互的,而非与机器交互的。防护策略可基于云服务商 IP 地址情报,直接对其流量进行封禁或者限速,从而更有效地应对此类攻击。1.3 DDoS 攻击模式从简单粗
11、暴的资源耗尽走向智能策略式攻击近年来,DDoS 攻击模式正经历着显著的转变,从简单粗暴的资源耗尽方式逐渐演变为更42023 年 DDoS 年报为智能和策略性的攻击形式。自 2018 年以来,脉冲攻击的出现成为这一转变的有力证明。脉冲攻击的特点在于,它能够在短时间内迅速产生巨大的流量峰值,然后突然停止,并在一段时间后再次发起攻击。这种攻击方式旨在避免攻击流量被检测和拦截,从而增加了防御的难度和复杂性。2021 年,扫段攻击开始出现,针对一段 IP 地址存在同时攻击和顺序攻击两种模式。同时攻击模式下,每个目标 IP 所受的攻击流量较小,但汇总在一起则形成巨大的攻击流量;顺序攻击模式下,逐个针对目标
12、 IP 发起大流量攻击,但攻击时间较短。这种攻击巧妙地规避了 DDoS 防御系统的检测与清洗策略,进而对整个 IP 段的用户业务造成显著影响。到了 2023 年,新型测试型 DDoS 攻击更是崭露头角。攻击者利用测试型 DDoS 攻击来确定目标防御范围、衡量防御强度,深入了解其网络架构和弱点,并评估后续所需施加的力量。在这种情况下,最初的 DDoS 攻击可能充当侦察攻击的角色,节省攻击资源,为后续更精确的攻击做好铺垫。绿盟科技监测到的测试型 DDoS 攻击如图所示,攻击者一开始对目标发起强度相对较小的试探性攻击,持续几天后突然发起猛烈的攻击,这种类型的攻击增加了防御的难度。2023/2/242
13、023/2/252023/2/262023/2/272023/2/282023/3/1攻击图 1.3 测试型 DDoS 攻击实例在防护手段上,传统基于 FLOW 的检测存在滞后性,当前某些局点已经采用 always online 的思路,流量一直经过清洗节点,同时采用双层清洗方案,第一层防护阈值配置较大,主要应对大攻击流量的清洗,第二层为本地清洗,主要负责清洗本地链路带宽内的攻击。由于流量一直经过清洗设备,对于单体设备与集群方案的稳定性要求较高,同时需要定制高精度算法以满足双层清洗的需要。5专家观点1.4 地毯式 DDoS 攻击浪潮席卷网络,背后或有国家级力量参入2023 年,地毯式 DDoS
14、 攻击崛起,与传统的小范围、针对单一目标或特定小区域的攻击形成鲜明对比。这些攻击往往由具备强大攻击实力和丰富攻击资源的组织或国家发起,其主要目的是通过大规模消耗目标网络的整体带宽和服务资源,干扰特定国家或地区的关键业务和通信能力,以达到对该区域造成最大程度的破坏和影响的目的。此类攻击不仅可能导致目标国家的网络拥堵,使民众无法正常访问关键系统和服务,从而影响对重要系统和设施的信心,而且可能对整个国家或地区的经济产生长期负面影响。2023 年 11 月和 12 月,绿盟科技监测到巴西遭受了大规模地毯式 DDoS 攻击。据统计,被攻击的目标数量约为 880 万个,占巴西 IP 地址总量的比例高达 1
15、2%。此次攻击事件中涉及的被攻击行业广泛,涵盖了政府网站、通信运营商、教育部门、金融机构等重要基础设施。1.5 利益驱动下的 DDoS 攻击联手,成为 APT 攻击前站近年来,DDoS 攻击已不再仅仅是个体行为,而是牵涉到有利益关联的国家以及黑客组织的联合行动。以 2023 年巴以冲突中的网络空间对抗为例,这些发起 DDoS 攻击的黑客组织并非孤立行动,而是基于共同利益形成互动,迅速构建所谓的“战时”利益联盟。这些组织在和平时期可能各自为战,但一旦面临冲突,因共同利益而迅速集结,极大提升了其攻击能力。例如,巴以冲突中的社区网络运营联盟机构(C.O.A)团队、Killnet 以及 Anonymo
16、us Sudan等黑客团体就展现了这种趋势。此外,还有部分黑客组织因自身利益需求,会临时组建并参与攻击行动。根据绿盟科技监测数据,巴以冲突期间共有 55 个团伙参与网络攻击活动。其中,亲巴勒斯坦的黑客组织占据绝大多数,达到 43 个,这些组织以 Killnet 为代表,主要对以色列的关键网络基础设施进行攻击,涉及政府、金融、通信等多个行业。相比之下,亲以色列的组织数量较少,共有 12 个,主要包括 India Cyber Force、UCC 等组织,他们的攻击目标主要是巴勒斯坦的关键网络基础设施。有线索显示,DDoS 攻击正逐渐演变成为 APT 和勒索攻击的前置行动,攻击者越来越频繁地利用 D
17、DoS 攻击来分散事件响应团队的注意力,以便掩盖背后更为严重的安全事件。值得警惕的是,DDoS 攻击本身可能仅是一个烟雾弹,其目的不再局限于简单的网络干扰,更可能借助这种方式混淆视听,误导防御人员的关注焦点,而在 DDoS 攻击的掩护下,实施更62023 年 DDoS 年报为隐蔽的 APT 攻击、数据窃取、恶意软件注入等恶意行为。所以在 DDoS 攻击来临之前就在本地和云端做好 DDoS 防御协同显得尤为重要,使用本地防御设备及云端防御服务做好应对网络攻击的第一道防线,不防 DDoS 何以防其他。02整体威胁82023 年 DDoS 年报2.1 整体攻击规模持续增长,大规模攻击频现2023 年
18、大规模 DDoS 攻击异常活跃,中国电信安全团队与绿盟科技共监测到超 500Gbps攻击 422 次,超 800Gbps 攻击 248 次,超 1Tb 级别的攻击事件达到了 52 起,相较于 2022年增长 25%。9 月和 10 月是 Tb 级别攻击最为集中的月份,占全年大流量攻击事件的 70%。级别攻击的次数图 2.1 不同月份 Tb 级别攻击的次数2023 年,DDoS 整体攻击事件数量呈现出显著的增长趋势,具体数量是 2022 年的 1.4 倍,2021 年的 2 倍。这些攻击主要集中在上半年,特别是在 3 月份,DDoS 攻击活动达到了顶峰,当月共监测到近 500 万次攻击事件,且攻
19、击目标多数位于巴西,其攻击频率的增加可能与巴西大选后的国内冲突存在某种程度的关联。4 月至 6 月,攻击次数呈逐渐下降趋势。相较于上半年,下半年的 DDoS 攻击数量明显减少,整体态势趋于稳定。9整体威胁攻击月度分布图 2.2 DDoS 攻击月度分布2.2 DDoS 攻击强度居高不下,峰值带宽和峰值包速率总量双增长2023 年 10 月 30 日 21:15:45,电信安全团队监测到年度最大带宽攻击。攻击者采用以SSDP 反射为主、叠加 UDP Flood 和 ICMP Flood 的混合攻击,攻击共持续 2 小时 31 分钟,峰值带宽 2.505Tbps,攻击目标 IP 位于江苏电信网络。月
20、度分布图 2.3 2023 年攻击峰值带宽月度分布(Gbps)2023 年 1 月 27 日 02:41:45,中国电信安全团队监测到年度最大包速率攻击,采用小报文 UDP Flood,攻击共持续 2 小时 44 分钟,峰值包速率 973Mpps,攻击目标 IP 位于四川电信网络。102023 年 DDoS 年报年攻击峰值包速率月度分布图 2.4 2023 年攻击峰值包速率月度分布(Mpps)2.3 DDoS 攻击手段呈现多元化,应用层攻击占据主流2023 年,HTTPS Flood、NTP 反射、UDP Fragment Flood 是最受攻击者偏爱的 DDoS攻击方式 TOP3,且均呈现逐
21、年上升的态势。值得注意的是,尽管 SYN Flood、ACK Flood 等传统网络层攻击手段在过去曾一度盛行,但在当前成熟的防护机制下,其影响力已逐渐减弱。攻击者正在不断调整其攻击手段,以应对当前的防御体系。2021年2022年2023年图 2.5 2023 Top10 攻击手段在 20212023 变化趋势11整体威胁2.4 DDoS 攻击复杂度加剧,新兴攻击手段不断兴起2023 年,攻击复杂度持续上升,DDoS 混合攻击在 2 至 5 种以上的攻击向量维度上均出现显著增长,相较于 2022 年,混合攻击事件激增 1.4 倍。随着企业和组织安全防护体系的逐步增强,攻击者越来越倾向于采用混合
22、攻击策略,利用系统中的多个脆弱点和漏洞进行攻击。攻击手段已从传统的单一泛洪攻击转变为结合虚假源攻击、会话攻击和应用层攻击等多向量的混合攻击,这一趋势加剧了攻防对抗的激烈程度。同时,新兴的攻击方式如 SLP 反射放大攻击、HTTP/2 Rapid Reset 攻击等不断涌现,特殊的攻击方式如脉冲、扫段攻击等依然保持强劲势头。据绿盟科技监测数据显示,2023 年全年扫段攻击次数超过 20 万次。0.00%2.00%4.00%6.00%8.00%10.00%12.00%14.00%2vector3vector4vector=5vector2022年2023年图 2.6 20222023 攻击矢量分布
23、2.5 DDoS 攻击目标或与地缘冲突相关,互联网和关基成为重灾区2023 年,由于地缘政治冲突和国际环境动荡,巴西和巴基斯坦成为遭受 DDoS 攻击最多的区域,合计占比超过五成。巴西国内发生多起抗议巴西大选结果的冲突事件,巴基斯坦与印度在边境地区频繁爆发冲突,DDoS 作为网络空间最强力的致瘫手段,往往是当今地缘政治冲突中敌对势力之间的开场白,攻击者会利用大规模 DDoS 攻击破坏对手国家/地区的关键基础设施,另一方面,政府也可以利用这种攻击来压制反对派力量。122023 年 DDoS 年报26.14%24.16%21.65%19.42%8.14%0.38%0.07%0.03%巴西巴基斯坦美
24、国中国新加坡秘鲁韩国其他图 2.7 DDoS 攻击区域分布攻击行业方面,2023 年互联网行业遭受 DDoS 攻击占比高达 64%,电子商务、游戏及直播等互联网领域,因涉及庞大的交易信息和用户数据而成为了攻击者主要的攻击目标。攻击者通过 DDoS 攻击扰乱或破坏竞争对手服务的正常运行,以此谋求直接或间接的经济利益。此外,全球政府部门的信息化系统、公共服务遭受 DDoS 攻击占比达到 18.61%,这与今年加强数字政府建设,对电子政务发展给予高度重视的整体趋势密切相关,攻击者或试图通过攻击获取相关的政治利益。金融行业遭受 DDoS 攻击为 16.07%,金融机构涉及大量的资金流动和敏感的金融交易
25、,攻击者利用 DDoS 攻击中断金融机构的网络服务,导致交易延迟或中断,从而实施市场操纵、勒索或其他金融欺诈活动。13整体威胁63.91%18.61%16.07%0.77%0.29%0.23%0.08%0.04%DDoS攻击行业分布互联网科技政府金融医学交通运输教育能源零售图 2.8 DDoS 攻击行业分布03DDoS 攻击态势15DDoS 攻击态势3.1 攻击手段3.1.1 UDP Fragment Flood 占据网络层攻击霸主地位在 2023 年,UDP Fragment Flood、UDP Flood 和 SYN Flood 是网络层攻击中数量最多的三种攻击手段。与 2022 年相比,
26、UDP Flood 攻击的占比略微下降,而 UDP Fragment Flood 攻击的占比上升了 30.86%,SYN Flood 攻击的占比下降了 20.97%。UDP Fragment Flood 在 2023 年成为攻击者的主流选择。攻击者通过向目标系统发送大量经过分片的 UDP 数据包,每个数据包均包含 UDP 头部及部分有效载荷,目标系统需要处理每个接收到的分片,并重新组装它们以还原原始数据包。当目标系统承受大量此类 UDP 分片数据包时,其处理资源将被大量消耗,进而引发网络拥堵、服务中断或合法数据包的丢失,相较于传统的 UDP Flood 攻击,此种攻击方式可以更有效地消耗网络带
27、宽及目标系统的处理能力。0.00%10.00%20.00%30.00%40.00%50.00%60.00%UDP Fragment FloodUDP FloodSYN FloodACK FloodICMP FloodFIN/RST FloodTCP Fragment FloodUDP Reflection202120222023图 3.1 网络层 DDoS 攻击类型分布3.1.2 HTTPS Flood 仍为最热门应用层攻击手法2023 年,HTTPS Flood 攻击继续在应用层攻击中占据主导地位,占比高达 55%。随着互联网的广泛普及,越来越多的网站和应用程序选择采用了 HTTPS 协议,
28、以确保用户数据的安全。HTTPS 协议通过加密通信机制保护用户在数据传输过程中的信息安全,防止敏感信息被窃取或篡改。然而,HTTPS Flood 攻击利用了 HTTPS 协议握手过程中服务器端的计算资源消耗,通过多个机器或僵尸网络发起大量合法的加密请求,致使服务器负载过高,无法正常响应合法用户的请求。162023 年 DDoS 年报另一方面,DNS 随机子域名攻击类型的占比达到了 18.03%。该攻击方式通过构造大量伪造的 DNS 请求,向目标服务器发送大量无效查询,这些请求拥有有效的高级域名,能够绕过防火墙和其他过滤器等大部分 DDoS 防御体系,导致服务器资源耗尽,最终使得合法用户无法正常
29、访问目标网站。防护手段上,由于 DDoS 清洗设备通常采用旁路部署或按需清洗的方式,因此无法获取到 DNS 授权服务器的正常业务流量。特别是对于运营商提供的清洗服务,只能在攻击开始时才能接入流量。在传统的 CNAME 等算法失效的情况下,设备无法通过特征自动区分正常流量和攻击流量,目前只能通过限速进行防护。目前,传统的防护思路仍然主要依赖于在方案层面进行弥补,例如通过镜像流量接入学习正常域名基线进行清洗。然而,由于部署和场景的限制,实施过程相对困难。未来,可以考虑提供大规模域名白名单,并基于自学习、用户主动提供或 DNS 情报等方式进行防护。同时,针对随机子域名的特征,也可以尝试利用机器学习算
30、法进行深入研究和应对。55.01%26.92%18.03%0.04%HTTPS FloodHTTP FloodDNS随机子域名SIP Flood图 3.2 应用层 DDoS 攻击类型分布3.1.3 NTP 反射攻击主宰 DDoS 反射攻击战场,新兴 SLP 反射攻击兴起根据绿盟科技监测,NTP 反射是 2023 年最主流的 DDoS 反射攻击手段,占比高达54%。由于 NTP 协议具有响应数据量远大于请求数据的特性,因此常被攻击者用来当做反射放大攻击的理想工具,攻击流量的放大效果可达数十甚至数百倍。而且,NTP 协议被广泛用于网络时间同步,在几乎所有的计算机和网络设备中都会使用 NTP 协议来
31、同步系统时间,攻击者可以轻易获取到许多可滥用的 NTP 服务器。另一方面,SLP 反射作为 2023 年新兴的攻击手段,目前占比较低,仅为 0.31%。然而,17DDoS 攻击态势SLP 协议具有更高的放大倍数,可将攻击流量放大数千倍,未来 SLP 反射很有可能成为新的热门攻击手段。54%13%11%7%6%4%2%2%1%NTP(网络时间协议)NetAssistant(网络调试助手)DNS服务Onvif(开放网络视频接口)CharGEN服务DHDiscover 服务SSDP(简单服务发现协议)CLDAP(轻量目录访问协议)其他图 3.3 DDoS 反射攻击类型占比3.1.4 WEB 服务备受
32、攻击者“青睐”,远程登录服务攻击下降从被攻击服务/端口对应的攻击事件数来看,被攻击者遭受的 DDoS 攻击的服务以 WEB服务(443 端口,80 端口)为主。80 端口和 443 端口分别作为 HTTP 和 HTTPS 协议的标准端口,承载着 Web 服务的核心功能。随着 Web 应用的广泛普及,众多网站、应用程序及 API 接口均通过这些端口处理关键业务和用户数据。同时鉴于其重要性,攻击者通常会将关基单位、金融机构以及电子商务平台的 Web 服务作为 DDoS 攻击的目标,企图从中获取经济利益或损害目标机构的声誉。值得注意的是,2023 年,针对 BGP 的 DDoS 攻击大幅增长,边界网
33、关协议(BGP)用于确保自治系统之间的可达性,特别是在大多数 ISP 之间建立路由连接。针对 BGP 的 DDoS攻击通常会影响整个自治系统,导致网络设备延迟或无法访问。与此同时可以看到,伴随着全球疫情逐渐趋于稳定,居家办公数量锐减,远程登录相关服务受攻击端口攻击事件也随之大幅下降。182023 年 DDoS 年报44323805317920222023图 3.4 2023 年受攻击端口趋势3.2 攻击强度3.2.1 攻击持久性不断增强,攻击者倾向于对单一目标多次攻击与前两年相比,2023 年重复攻击同一目标的案例数量呈现上升态势。全年仅被攻击一次的目标数量占比显著减少,攻击者更倾向于进行持久
34、性的 DDoS 攻击,而不仅仅是单次攻击。他们可能会持续发起多个攻击波,以持续地影响目标网络和系统的可用性和稳定性。特别是在 2023 年,全年单个目标被攻击 50100 次的趋势显著增加,占比高达49.96%。这意味着攻击者更加频繁地针对同一目标发起连续的攻击。出现这种趋势的部分原因是随着攻击工具的商业化和服务化趋势,发起DDoS攻击活动的难度和成本显著降低有关。19DDoS 攻击态势4.56%15.64%17.34%49.96%3.61%8.90%39.03%29.57%13.44%4.12%8.49%5.35%56.91%15.45%8.50%3.52%13.42%2.20%0.00%1
35、0.00%20.00%30.00%40.00%50.00%60.00%1次2-10次10-50次50-100次100-10001000次以上2021年2022年2023年图 3.5 DDoS 攻击持久性分布3.2.2 DDoS 攻击没有休息日通过对 2023 年攻击次数的周天分布的观察,可以看出一周内每天的攻击频率呈现相对平稳的态势,周四的攻击次数略高。这个统计结果表明 DDoS 攻击无时不刻的在进行,防御者需在一周内保持持续监测和防护。星期一星期二星期三星期四星期五星期六星期日攻击次数周天分布图 3.6 2023 年 DDoS 攻击次数周天分布202023 年 DDoS 年报3.3 DDoS
36、 攻击源3.3.1 北美洲依旧为全球应用层 DDoS 主要攻击来源2023 年,北美洲地区在应用层 DDoS 攻击方面表现出显著的增长,其所占比率高达69.54%。相较于 2022 年,这一比例上升了 26.94%。值得注意的是,应用层 DDoS 攻击与网络层攻击有所不同,其攻击过程中会建立完整的 TCP 连接,使得攻击源 IP 难以伪造。因此,如果某地区的应用层攻击源 IP 活跃度较高,这表示该地区存在活跃的僵尸网络。鉴于北美洲在应用层DDoS攻击源中的主导地位,可以推断北美洲是当前僵尸网络活动较为频繁的地区。69.54%20.36%7.66%1.31%1.12%42.60%34.16%15
37、.23%7.90%0.12%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%北美洲亚洲南美洲欧洲大洋洲2022年2023年图 3.7 应用层攻击源地域分布3.3.2 DDoS 攻击源复用率逐年攀升2023 年全年,单个 DDoS 攻击源对多个目标发起攻击的比例有显著增长,增幅接近10%。这揭示了一个明显的趋势,即攻击者的攻击资源不是一次性使用,更倾向于将攻击资源同时复用到多个目标中,重复发起多次 DDoS 攻击活动。这种策略反映了攻击者在攻击资源方面的限制,如攻击节点数量、带宽和计算能力等。通过合理分配有限的资源至多个目标,攻击者可以最
38、大化复用其资源,提高攻击的威力和持续时间。21DDoS 攻击态势0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%12101010010010001000以上20222023图 3.8 2023 年相同攻击源的攻击目标数量分布04黑灰产威胁视角23黑灰产威胁视角4.1 僵尸网络4.1.1 僵尸网络热衷于采用 UDP Flood 发起攻击2023 年,新型僵尸网络团伙涌现,大量僵尸网络团伙通过 Telegram、Twitter 等社交平台租售 DDoS 攻击服务。监测数据显示,中大型僵尸网络团伙所控制设备数集中在 3w 至 8w台之间,可发
39、起 1000Gbps 至 4000Gbps 的 DDoS 攻击流量。相同肉鸡数量的情况下,采用UDP 类型的攻击方式所能发起的攻击流量可达 ACK Flood 和 SYN Flood 类型攻击流量的 2 到3 倍。2024 绿绿盟盟科科技技 密级:请输入文档密级-16-图 3.8 2023 年相同攻击源的攻击目标数量分布 四四.黑黑灰灰产产威威胁胁视视角角 4.1 僵僵尸尸网网络络 4.1.1 僵僵尸尸网网络络热热衷衷于于采采用用 UDP Flood 发发起起攻攻击击 2023 年,新型僵尸网络团伙涌现,大量僵尸网络团伙通过 Telegram、Twitter 等社交平台租售 DDoS 攻击服务
40、,监测数据显示,中大型僵尸网络团伙所控制设备数集中在 3w 至 8w台之间,可发起 1000Gbps 至 4000Gbps 的 DDoS 攻击流量。相同肉鸡数量的情况下,采用UDP 类型的攻击方式所能发起的攻击流量可达 ACK Flood 和 SYN Flood 类型攻击流量的 2到 3 倍。12101010010010001000以上相同攻击源的攻击目标数量分布20232022图 4.1 僵尸网络团伙出售 DDoS 服务参数单个僵尸网络家族所控制的设备数量往往有限,UDP 类型的 DDoS 攻击方式因能产生较大的攻击流量而备受僵尸网络青睐。绿盟科技数据显示,2023 年度,IoT 平台主流
41、DDoS 型僵尸网络家族 Mirai,Gafgyt 及其变种累计发起 10 余万次 UDP 类型的 DDoS 攻击,该方式在所有攻击类型中占比最多,其次为SYN Flood和ACK Flood,对应攻击次数在2w至6w次之间。VSE攻击作为一种针对Source引擎游戏服务器的DDoS攻击,也受到僵尸网络攻击者的青睐。242023 年 DDoS 年报020000400006000080000100000120000UDP FloodSYN Flood ACK FloodVSEACKBypassmixSTDHEXGREIP方式图 4.2 攻击方式4.1.2 发起 DDoS 攻击的僵尸网络家族主要集
42、中在 IoT 平台Windows 平台僵尸网络家族通常以服务提供者的姿态出现,充当下载器的功能,用于传播勒索、挖矿等其他类型恶意软件;数量较少的跨平台僵尸网络家族通常兼具下载、挖矿与DDoS 攻击功能;发起 DDoS 攻击活动的僵尸网络家族则主要寄居在 IoT 平台,这与 IoT 平台通常很少部署安全设备、管理匮乏、易于攻陷等因素存在较大关联。绿盟科技监测数据显示,本年度下发 DDoS 攻击指令最多的僵尸网络仍以 IoT 平台的Mirai、Gafgyt 及 XorDDoS 等传统类家族及其变种为主,同时又有诸多具备 DDoS 功能的新家族相继涌现,这些新家族同样主要集中在 IoT 平台。本年度
43、 DDoS 攻击活动较为频繁的新型僵尸网络家族如下:表 4.1 新型活跃 DDoS 僵尸网络家族家族名称家族描述平台boat绿盟科技于 2022 首次披露。2023 年以来,该家族变种频出,活动频繁。该家族融合了开源僵尸网络 DDoS 攻击源代码,但又都具有全新的代码结构和通信协议。IoTYeskit绿盟科技于 2022 年 5 月中旬首次发现并命名。其最新版本引起安全社区广泛关注,被命名为 Chaos,最新研究确认了其背后的攻击团伙为 Ares。IoTRapperbot绿盟科技于 2022 首次披露,直至 2023 年,Rapperbot 经历了多次版本的更迭,新变种开始利用 xmrig 进
44、行挖矿活动。IoTRedGoBot2023 年首次出现,该家族最新版本最多支持十余种 DDoS 攻击方式,其背后攻击团伙的武器库也在持续更新,并开始转向暗网,即尝试通过 Tor 代理的方式通信,隐蔽性进一步增强。IoTFodcha2022 年首次出现,Fodcha 是一个商业驱动的僵尸网络家族,攻击指令下发频繁,并尝试实行攻击即勒索的商业模式。IoT25黑灰产威胁视角家族名称家族描述平台GooberBot2023 年首次出现,该家族归属 Scar 租赁僵尸网络,Scar 租赁网络价格低廉,最低仅 15$就可以获取长达一个月的 DDoS 攻击权限。IoTpeachy Botnet 绿盟科技于 2
45、023 首次披露,早期版本仅支持一种 DDoS 攻击方式,后面增加到了四种,在后期均有不同程度地传播。IoTXorbot绿盟科技于 2023 首次披露,xorbot 是从 0 开始构建的,采用了全新的架构。IoTRDDoS绿盟科技于 2023 首次披露,RDDoS 僵尸网络家族的主要功能为 DDoS 攻击,并且具备命令执行的能力。IoThailBot绿盟科技于 2023 首次披露,hailBot 基于 Mirai 源码开发而来。早期以金融和贸易机构为主要攻击目标,之后在 2022 年下半年开始面向 IoT 平台进行布局。IoTKiraiBot绿盟科技于 2023 首次披露,kiraiBot 是
46、一个借鉴了 Mirai 源码但又添加诸多个人设计的新型 Mirai 变种家族,其命名来源于样本中留有的字符串信息“kirai”。IoTCatDDoS2023 年首次出现,CatDDoS 家族在 Mirai 源码的基础上引入了 ChaCha20 算法,对一些关键信息加密存储。IoTKmsdBot该家族最早于 2022 年 9 月进入人们的视线,同年 10 月,KmsdBot 攻击了游戏公司 FiveM 的服务器。该家族于 V2 版本开始添加了 DDoS 模块,截至 2023 年 7 月份已更新至 V4 版本,DDoS 攻击模块更加完备,同时对代码做了优化,使得程序稳定性提高,代码风格也逐渐固定。
47、IoT/Windows4.2 黑客组织4.2.1 活跃 DDoS 黑客组织概况根 据 绿 盟 科 技 长 期 监 测,2023 年 期 间,活 跃 的 DDoS 黑 客 攻 击 事 件 主 要 源 自NoName057(16)、EXECUTOR DDOS、Anonymous Sudan、SYLHET GANG-SG、Russian Cyber Army Team、TEAM HEROX、Mysterious Team Bangladesh、Dark Strom Team、KillNet、India Cyber Force 等地缘政治冲突和宗教问题中选边站队的黑客组织,这些攻击主要涉及俄乌冲突、巴
48、以冲突等地缘政治问题,以及印度与印度尼西亚、孟加拉等国的宗教问题。2024 绿绿盟盟科科技技 密级:请输入文档密级-19-4.2 黑黑客客组组织织 4.2.1 活活跃跃 DDoS 黑黑客客组组织织概概况况 根据绿盟科技长期监测,2023 年期间,活跃的 DDoS 黑客攻击事件主要源自NoName057(16)、EXECUTOR DDOS、Anonymous Sudan、SYLHET GANG-SG、Russian Cyber Army Team、TEAM HEROX、Mysterious Team Bangladesh、Dark Strom Team、KillNet、India Cyber F
49、orce 等地缘政治冲突和宗教问题中选边站队的黑客组织,这些攻击主要涉及俄乌冲突、巴以冲突等地缘政治问题,以及印度与印度尼西亚、孟加拉等国的宗教问题。图 4.3 活跃 DDoS 黑客组织 2023 年度活跃的 DDoS 黑客组织在 10 月份的攻击活动异常频繁,该月发生的攻击事件占本年度总攻击事件的比重超过三分之一。攻击活动的加剧与 10 月 7 日发生的巴以冲突密切相关,导致了黑客组织对 DDoS 攻击的势头迅猛上升。受地缘政治因素的复杂影响,本年度 DDoS 攻击活动呈现出加剧的趋势。图 4.3 活跃 DDoS 黑客组织262023 年 DDoS 年报2023 年度活跃的 DDoS 黑客组
50、织在 10 月份的攻击活动异常频繁,该月发生的攻击事件占本年度总攻击事件的比重超过三分之一。攻击活动的加剧与 10 月 7 日发生的巴以冲突密切相关,这一事件导致了黑客组织发起 DDoS 攻击的势头急剧上升。受复杂地缘政治因素的影响,本年度 DDoS 攻击活动呈现出加剧的趋势。活跃度图 4.4 攻击组织活跃度通过对年度活跃的 DDoS 黑客组织发声渠道进行深入分析发现,Telegram 已逐渐成为攻击组织的主要通讯平台。3950400100020003000400050006000torPublic websitestelegram发声渠道图 4.5 黑客组织发声渠道27黑灰产威胁视角4.2.
51、2 DDoS 黑客组织攻击目标2023 年,以色列、印度、印度尼西亚、乌克兰和美国等国家遭受黑客组织 DDoS 攻击情况相对严重,特别是以色列,遭受黑客攻击的占比高达 22%。这些国家之所以成为 DDoS 攻击的主要受害者,与地缘政治、敌对关系和宗教冲突等因素密切相关。23%13%10%9%6%6%6%5%5%5%4%4%4%以色列印度印尼美国波兰乌克兰捷克共和国瑞典德国意大利法国西班牙英国图 4.6 黑客组织攻击国家2023 年,政府实体成为黑客组织攻击的高危领域,攻击比例高达 33%。政府实体遭受的DDoS 攻击增加表明民族主义黑客组织正在从事具有政治动机的攻击活动。33%16%12%7%
52、7%7%6%5%4%3%政府管理行业交通物流行业银行及按揭行业教育行业信息技术服务行业航空公司与航空行业政府及公营机构金融服务业报纸与新闻行业网络与电信行业图 4.7 黑客组织攻击行业282023 年 DDoS 年报4.2.3 2023 年典型黑客组织4.2.3.1 KillnetKillNet 是由网名为“Killmilk”的黑客领导的一支具有亲俄倾向的黑客组织,大概在 2022年 3 月成立,是俄乌网络战中最活跃的网络雇佣兵组织之一。KillNet 在俄乌冲突期间与XakNet Team 等黑客组织协同作战,对支持乌克兰的组织和国家进行了骚扰级 DDoS 攻击以及认知作战,其主要针对航空、
53、银行、政府、能源、交通物流等行业实施了 DDoS 攻击。KillNet 通过 Telegram 频道使用俄语、英语进行发声,并在 2023 年持续保持活跃,尤其在 2023 年 1 月以及 12 月活动频率较高。2024 绿绿盟盟科科技技 密级:请输入文档密级-22-与 XakNet Team 等黑客组织协同作战,对支持乌克兰的组织和国家进行了骚扰级 DDoS 攻击以及认知作战,其主要针对航空、银行、政府、能源、交通物流等行业实施了 DDoS 攻击。KillNet 通过 Telegram 频道使用俄语、英语进行发声,并在 2023 年持续保持活跃,尤其在 2023 年 1 月以及 12 月活动
54、频率较高。图 4.8 KillNet 组织活跃趋势 4.2.3.2 India Cyber Force India Cyber Force,简称 ICF,是一个致力于维护印度利益的非政府、非营利黑客组织,其成员主要信奉印度教。ICF 通过 Telegram 和 Twitter 进行宣传活动,英语是其主要宣传语言,偶尔也会使用印地语、乌尔都语和尼泊尔语。由于宗教信仰冲突、地缘政治问题以及他国对印度的网络攻击反击等因素,ICF 曾联合多个黑客联盟,如“ICN”“UNITED INDIAN HACKERS”“TEAM INDIAN CYBER”等组织,共同对他国发起以 DDoS 攻击和网站劫持为主要
55、手段的网络攻击活动。该组织在 2023 年主要针对孟加拉国、巴勒斯坦、印度尼西亚、巴基斯坦、卡塔尔等国家实施 DDoS 攻击,其中对孟加拉国的攻击强度尤为突出,攻击行业主要分布于政府及公共机构。India Cyber Force 组织在 2023 年保持活跃,尤其在 2023 年 8 月达到了高峰期。图 4.8 KillNet 组织活跃趋势4.2.3.2 India Cyber ForceIndia Cyber Force,简称 ICF,是一个致力于维护印度利益的非政府、非营利黑客组织,其成员主要信奉印度教。ICF 通过 Telegram 和 Twitter 进行宣传活动,英语是其主要宣传语言
56、,偶尔也会使用印地语、乌尔都语和尼泊尔语。由于宗教信仰冲突、地缘政治问题以及他国对印度的网络攻击反击等因素,ICF 曾联合多个黑客联盟,如“ICN”“UNITED INDIAN HACKERS”“TEAM INDIAN CYBER”等组织,共同对他国发起以 DDoS 攻击和网站劫持为主要手段的网络攻击活动。该组织在 2023 年主要针对孟加拉国、巴勒斯坦、印度尼西亚、巴基斯坦、卡塔尔等国家实施DDoS攻击,其中对孟加拉国的攻击强度尤为突出,攻击行业主要分布于政府及公共机构。India Cyber Force 组织在 2023 年保持活跃,尤其在 2023 年 8 月达到了高峰期。29黑灰产威胁
57、视角 2024 绿绿盟盟科科技技 密级:请输入文档密级-23-图 4.9 India Cyber Force 组织活跃度 4.2.3.3 NoName057(16)NoName057(16)也称为 NoName05716、05716nnm 或 Nnm05716,是一支具有亲俄倾向的黑客团队,自 2022 年 3 月起开始进入公众视野,与 Killnet 和其他亲俄组织属于同一阵营。NoName057(16)通过 Telegram 频道进行信息发布和行动协调,频繁宣布对各类攻击行动负责,同时利用 GitHub 平台进行 DDoS 工具网站和相关代码库的托管与维护。该团队还开发了一种名为 DDOS
58、IA 的 DDoS 攻击工具,并创建专门的 Telegram 频道用于 DDOSIA攻击工具的宣传与交流,通过不断向目标网站发送请求以实施 DDoS 攻击。该组织在 2023 年主要针对捷克共和国、波兰、西班牙、德国、立陶宛等北约成员国实施了 DDoS 攻击,其中对捷克共和国的攻击强度尤为显著,攻击行业主要分布于交通运输、政府部门、银行、金融等。NoName057(16)组织在 2023 年持续活跃,尤其是在 2023 年 7 月 31 日,该组织表现出较高的活跃度。图 4.9 India Cyber Force 组织活跃度4.2.3.3 NoName057(16)NoName057(16)也
59、称为 NoName05716、05716nnm 或 Nnm05716,是一支具有亲俄倾向的黑客组织,自 2022 年 3 月起开始进入公众视野,与 Killnet 和其他亲俄组织属于同一阵营。NoName057(16)通过 Telegram 频道进行信息发布和行动协调,频繁宣布对各类攻击行动负责,同时利用 GitHub 平台进行 DDoS 工具网站和相关代码库的托管与维护。该团队还开发了一种名为 DDOSIA 的 DDoS 攻击工具,并创建专门的 Telegram 频道用于 DDOSIA 攻击工具的宣传与交流,通过不断向目标网站发送请求以实施 DDoS 攻击。该组织在 2023 年主要针对捷克
60、共和国、波兰、西班牙、德国、立陶宛等北约成员国实施了 DDoS 攻击,其中对捷克共和国的攻击强度尤为显著,攻击行业主要分布于交通运输、政府部门、银行、金融等。NoName057(16)组织在 2023 年持续活跃,尤其是在 2023 年 7 月 31 日,该组织表现出较高的活跃度。302023 年 DDoS 年报 2024 绿绿盟盟科科技技 密级:请输入文档密级-24-图 4.10 NoName057(16)组织活跃度 4.2.3.4 Anonymous Sudan Anonymous Sudan 是一群自称来自苏丹,出于宗教和政治动机的黑客活动分子,自2023 年 1 月以来,一直对多个西方
61、国家进行出于宗教动机的 DDoS 攻击。该组织在 2023 年主要针对美国、法国、瑞典、阿联酋、以色列等国发起 DDoS 攻击,攻击行业主要分布于医疗、政府、新闻等。该组织在 2023 年保持活跃,尤其是在 2023 年 12 月该组织呈现出较高活跃度。图 4.11 Anonymous Sudan 组织活跃度 4.2.3.5 Russian Cyber Army Team Russian Cyber Army Team 是一个地缘政治驱使并致力于维护俄罗斯利益的黑客组织,主要在 Telegram 平台上通过俄语进行宣传,深度参与俄乌地缘政治冲突,通过建立社区在图 4.10 NoName057(
62、16)组织活跃度4.2.3.4 Anonymous SudanAnonymous Sudan 是一群自称来自苏丹,出于宗教和政治动机的黑客组织,自 2023 年1 月以来,一直对多个西方国家进行出于宗教动机的 DDoS 攻击。该组织在 2023 年主要针对美国、法国、瑞典、阿联酋、以色列等国发起 DDoS 攻击,攻击行业主要分布于医疗、政府、新闻等。该组织在 2023 年保持活跃,尤其是在 2023 年 12 月该组织呈现出较高活跃度。2024 绿绿盟盟科科技技 密级:请输入文档密级-24-图 4.10 NoName057(16)组织活跃度 4.2.3.4 Anonymous Sudan An
63、onymous Sudan 是一群自称来自苏丹,出于宗教和政治动机的黑客活动分子,自2023 年 1 月以来,一直对多个西方国家进行出于宗教动机的 DDoS 攻击。该组织在 2023 年主要针对美国、法国、瑞典、阿联酋、以色列等国发起 DDoS 攻击,攻击行业主要分布于医疗、政府、新闻等。该组织在 2023 年保持活跃,尤其是在 2023 年 12 月该组织呈现出较高活跃度。图 4.11 Anonymous Sudan 组织活跃度 4.2.3.5 Russian Cyber Army Team Russian Cyber Army Team 是一个地缘政治驱使并致力于维护俄罗斯利益的黑客组织,
64、主要在 Telegram 平台上通过俄语进行宣传,深度参与俄乌地缘政治冲突,通过建立社区在图 4.11 Anonymous Sudan 组织活跃度31黑灰产威胁视角4.2.3.5 Russian Cyber Army TeamRussian Cyber Army Team 是一个地缘政治驱使并致力于维护俄罗斯利益的黑客组织,主要在 Telegram 平台上通过俄语进行宣传,深度参与俄乌地缘政治冲突,通过建立社区在Telegram 频道、Github 平台发布各平台 DDoS 工具以及教程的方式对乌克兰以及北约成员国发起 DDoS 攻击。该组织在 2023 年主要针对乌克兰、波兰、摩尔多瓦、罗马
65、尼亚、阿尔巴尼亚等国发起DDoS 攻击,攻击行业主要分布于政府、电信业、新闻、教育等。Russian Cyber Army Team 组织在 2023 年持续活跃,尤其是在 2023 年 12 月份表现出较高的活跃度。2024 绿绿盟盟科科技技 密级:请输入文档密级-25-Telegram 频道、Github 平台发布各平台 DDoS 工具以及教程的方式对乌克兰以及北约成员国发起 DDoS 攻击。该组织在 2023 年主要针对乌克兰、波兰、摩尔多瓦、罗马尼亚、阿尔巴尼亚等国发起DDoS 攻击,攻击行业主要分布于政府、电信业、新闻、教育等。Russian Cyber Army Team 组织在
66、2023 年持续活跃,尤其是在 2023 年 12 月份表现出较高的活跃度。图 4.12 Russian Cyber Army Team 组织活跃度 五五.新新型型 DDoS 攻攻击击手手段段 5.1 SLP 反反射射放放大大攻攻击击 SLP 是一个服务发现协议,允许计算机或设备可以找到其他设备,包括打印机、文件服务器等。2023 年 4 月,研究人员 Pedro Umbelino 和 Marco Lux 在 Curesec 上发表博客公开了 SLP 协议中存在的漏洞 CVE-2023-29552,该漏洞允许在未经授权的情况下使用 SLP协议注册新的服务。攻击者可以利用这一漏洞发起 DDoS
67、攻击,首先通过该漏洞注册新服务直到 SLP 服务器拒绝为止,以此来增大反射倍数,然后伪造源 IP 为目标 IP,使用服务条目请求接口来进行 DDoS 反射放大攻击。据绿盟科技监测,攻击者已经将该攻击方法武器化。2023 年 12 月共监测到 5322 起利用 SLP 反射放大攻击的事件,攻击目标主要以巴基斯坦、美国、中国为主,其中针对巴基斯坦的攻击均使用扫段攻击,涉及 395 个被攻击目标。另外,攻击者已利用该攻击方式实施了针对医疗行业的攻击,攻击目标为爱尔兰 wellevate 在线问诊平台。图 4.12 Russian Cyber Army Team 组织活跃度05新型 DDoS攻击手段3
68、3新型 DDoS 攻击手段5.1 SLP 反射放大攻击SLP 是一个服务发现协议,允许计算机或设备可以找到其他设备,包括打印机、文件服务器等。2023 年 4 月,研究人员 Pedro Umbelino 和 Marco Lux 在 Curesec 上发表博客公开了 SLP 协议中存在的漏洞 CVE-2023-29552,该漏洞允许在未经授权的情况下使用 SLP 协议注册新的服务。攻击者可以利用这一漏洞发起 DDoS 攻击,首先通过该漏洞注册新服务直到SLP 服务器拒绝为止,以此来增大反射倍数,然后伪造源 IP 为目标 IP,使用服务条目请求接口来进行 DDoS 反射放大攻击。据绿盟科技监测,攻
69、击者已经将该攻击方法武器化。2023 年 12 月共监测到 5322 起利用 SLP 反射放大攻击的事件,攻击目标主要以巴基斯坦、美国、中国为主,其中针对巴基斯坦的攻击均使用扫段攻击,涉及 395 个被攻击目标。另外,攻击者已利用该攻击方式实施了针对医疗行业的攻击,攻击目标为爱尔兰 wellevate 在线问诊平台。2024 绿绿盟盟科科技技 密级:请输入文档密级-26-5.2 HTTP/2 Rapid Reset 攻攻击击 HTTP/2 协议在 HTTP/1.1 基础之上增加了二进制分帧,实现了 HTTP 流传输,客户端可以在单个 TCP 连接上打开多个并发流,当然也可以通过 RST_STR
70、EAM 帧来取消流。而且客户端可以在与服务端不进行任何方式协调的情况下发送 RST_STREAM 帧取消流。HTTP/2 Rapid Reset 正是利用了这一缺陷来实现攻击,研究人员发现该缺陷并提交漏洞 CVE-2023-44487。攻击者在攻击时,通过 HTTP/2 请求打开大量流,然后立即取消每个请求,而不会等待服务器对每个请求进行响应,攻击者可以无限做此操作,虽然服务器没有响应,但还是会为取消的请求分配资源,大量的请求会将服务器资源消耗殆尽,造成服务不可用。据绿盟科技监测,2023 年 8 月,攻击者利用该攻击方式攻击了 Cloudflare、AWS、Google 主流云厂商的部分客户
71、,攻击强度最高达到每秒 2.01 亿次请求的峰值,这导致请求吞吐量超过了 Cloudflare 解析 TLS 流量的 TLS 代理服务器的处理能力,许多用户访问出现“502BadGateway”错误,最高时受影响客户比率约占 12%。5.2 HTTP/2 Rapid Reset 攻击HTTP/2 协议在 HTTP/1.1 基础之上增加了二进制分帧,实现了 HTTP 流传输,客户端可以在单个 TCP 连接上打开多个并发流,当然也可以通过 RST_STREAM 帧来取消流。而且客户端可以在与服务端不进行任何方式协调的情况下发送 RST_STREAM 帧取消流。HTTP/2 Rapid Reset
72、正是利用了这一缺陷来实现攻击,研究人员发现该缺陷并提交漏洞 CVE-2023-44487。攻击者在攻击时,通过 HTTP/2 请求打开大量流,然后立即取消每个请求,而不会等待服务器对每个请求进行响应,攻击者可以无限做此操作,虽然服务器没有响应,但还是会为342023 年 DDoS 年报取消的请求分配资源,大量的请求会将服务器资源消耗殆尽,造成服务不可用。据绿盟科技监测,2023 年 8 月,攻击者利用该攻击方式攻击了 Cloudflare、AWS、Google 主流云厂商的部分客户,攻击强度最高达到每秒 2.01 亿次请求的峰值,这导致请求吞吐量超过了 Cloudflare 解析 TLS 流量
73、的 TLS 代理服务器的处理能力,许多用户访问出现“502BadGateway”错误,最高时受影响客户比率约占 12%。06攻防案例362023 年 DDoS 年报6.1 2023 年 3 月某国际客户遭受 UDP 扫段攻击某国际客户在 2023 年 3 月遭受了 UDP 扫段攻击,最大攻击规模约为 500Gbps。一开始,我们采取 UDP 速率限制的防护方式保障客户业务稳定运行,一段时间后,客户反映部分 UDP 业务异常,确认后发现是由于 UDP 速率限制设置的阈值过小导致的。提高限速阈值后,业务恢复正常,泄漏流量也提升至 10Gbps-20Gbps 左右。对捕获的数据包进行分析后,发现大多
74、数 UDP 流量没有明显特征,但其数据包长度在1302 到 1442 之间。2024 绿盟科技 密级:请输入文档密级-29-由于模式匹配只支持最大/24前缀作为目的 IP,其不适用于实际场景。我们对每个保护组采取 UDP 数据包长度校验的方式,这种方式将所有不在该范围内的 UDP 数据包丢弃,对业务的影响最小。七.年度 DDoS 大事件 7.1 2023 年 2-4 月 2 月 16 日,作为对德国政府决定向乌克兰派遣豹 2 坦克的回应,亲俄罗斯黑客 KillNet对德国机场、行政机构和银行的网站发起的一系列大规模 DDoS 攻击。攻击导致德国的杜塞尔多夫、纽伦堡、多特蒙德机场网站骤然间全部瘫
75、痪。且遭遇攻击的当天晚上,全德 7 座主要机场的员工开始 24 小时罢工,导致超过 2300 架次航班取消,影响近 30 万乘客出行。由于模式匹配只支持最大/24 前缀作为目的 IP,其不适用于实际场景。我们对每个保护组采取 UDP 数据包长度校验的方式,这种方式将所有不在该范围内的 UDP 数据包丢弃,对业务的影响最小。37攻防案例07年度DDoS 大事件39年度 DDoS 大事件7.1 2023 年 2-4 月2 月 16 日,作为对德国政府决定向乌克兰派遣豹 2 坦克的回应,亲俄罗斯黑客 KillNet对德国机场、行政机构和银行的网站发起的一系列大规模 DDoS 攻击。攻击导致德国的杜塞
76、尔多夫、纽伦堡、多特蒙德机场网站骤然间全部瘫痪。且遭遇攻击的当天晚上,全德 7 座主要机场的员工开始 24 小时罢工,导致超过 2300 架次航班取消,影响近 30 万乘客出行。3 月份,黑客组织 Killnet 异常活跃,连续对表示支持乌克兰的政府发动了 DDoS 攻击,受害者主要包括意大利、罗马尼亚、摩尔多瓦、捷克共和国、立陶宛、挪威和拉脱维亚等国。4 月份,该黑客组织再度出手,先是通过其 Telegram 频道呼吁对欧洲空中交通管理局(EUROCONTROL)采取行动,随后正式对其发起了大规模 DDoS 攻击。7.2 2023 年 5 月2023 年 5 月 31 日,希腊教育部遭受了该
77、国有史以来最严重的攻击,攻击旨在瘫痪希腊高中考试平台,导致高中考试中断和延迟。根据绿盟科技监测,5 月 29 日和 5 月 30 日,攻击者利用 netAssistant、DHDdiscover 等反射器对希腊教育政策研究所发起数万次 DDoS 反射放大攻击,攻击导致全国考试被干扰,甚至引发了政治动荡。7.3 2023 年 6 月6 月 14 日,亲俄黑客组织 Killnet、复兴的 REvil 和匿名苏丹宣布,他们已联手对包括欧洲和美国银行以及美国联邦储备系统在内的西方金融体系进行“大规模”DDoS 网络攻击。这个被称为“暗网议会”的组织宣称其首要目标是瘫痪 SWIFT(全球银行间金融电信协
78、会)。7.4 2023 年 8 月8 月份,绿盟科技监测到利比亚遭受大规模 DDoS 攻击,攻击目标极为广泛,包括政府部门、教育行业、金融行业、能源行业等均遭到攻击。监测结果显示,利比亚投票网遭受多次 DDoS 攻击,这可能会破坏选民对选举过程的信任,并对 8 月份进行的利比亚主席选举的结果产生一定的影响;在此次大规模 DDoS 攻击中,现实世界中的武装部队冲突时间点与网空战场的 DDoS 攻击趋势基本吻合。DDoS 攻击的流量变化趋势与利比亚复杂的政治环境息息相关。402023 年 DDoS 年报7.5 2023 年 10 月2023 年 10 月,巴以冲突爆发后,多方势力的黑客行动主义(H
79、acktivism)组织开始在双方网络空间区域内进行持续的博弈,攻击方式主要以 DDoS 攻击为主。绿盟科技在双方冲突发生 1 天后的 10 月 8 日至 10 月 9 日监测到多起针对双方的 DDoS 攻击事件,以方 DDoS受攻击网站主要包括政府官网网站、国防军邮件系统、电力公司 DNS 服务、耶路撒冷邮报等,巴方受攻击网站主要包括哈马斯组织官方网站、电信公司网站等。整个冲突前期共有 55 个团伙参与 DDoS 攻击,包括 Killnet、Anonymous Sudan 在内的 43 个亲巴勒斯坦黑客组织和India Cyber Force、UCC 等为主的 12 个亲以色列黑客组织,双方均以政府、金融、军事、通信类关基系统为目标,甚至涉及以色列铁穹系统(一套全天候的机动型防空系统,由以色列拉斐尔先进防御系统公司研发,主要用于拦截 5 至 70 公里范围内的火箭弹)。