《中国电信：2024年全球DDoS攻击态势分析报告（39页）.pdf》由会员分享，可在线阅读，更多相关《中国电信：2024年全球DDoS攻击态势分析报告（39页）.pdf（39页珍藏版）》请在三个皮匠报告上搜索。

1、态势分析攻击DDoS年全球中国电信安全公众号2024、清华大学、电子科技大学、华为联合发布Nexusguard百度安全、天翼安全科技有限公司、联通数科安全、中国移动卓望公司、2024年全球DDoS攻击态势分析目录目录关键信息摘要 021.1 专家观点 021.2 DDoS攻击态势 021.3 DDoS僵尸网络态势 031.4 典型攻击案例 04攻击态势 052.1 DDoS攻击态势 052.1.1 攻击频次 052.1.2 攻击强度 062.1.3 攻击速度 112.1.4 攻击复杂度 122.1.5 攻击发生时段 222.1.6 攻击持续时间 232.1.7 攻击持久性 242.1.8 攻击

2、目标行业分布 242.1.9 攻击目标地域分布 272.2 DDoS僵尸网络态势 282.2.1 僵尸家族分布 282.2.2 C2地域分布 292.2.3 DDoS肉鸡地域分布 30典型攻击案例 313.1 持续性高速T级扫段 313.2 针对某云手机业务的强对抗型攻击 33专家观点 35数据来源 3701关键信息摘要2024年全球DDoS攻击态势分析1.1 专家观点观点1：瞬时泛洪攻击与复杂向量攻击对检测系统提出双重挑战。一方面，攻击秒级加速，要求检测系统具备秒级响应，实现快速识别与攻击处置；另一方面，瞬时泛洪攻击与复杂向量攻击结合，涉及多种攻击手法叠加，要求检测系统具备多维度检测能力，降

3、低误报率，提升检测准确率。观点2：攻防对抗进入自动化、智能化新阶段。当前攻击工具已高度集成，演变为自动化攻击平台，防御系统亦需具备自动化、智能化能力，通过实时分析与策略调整，有效应对动态变化的复杂攻击，避免被动防御失效。观点3：扫段攻击呈现两极化态势，进一步威胁网络基础设施。低速扫段通过攻击大量C段躲避传统检测，而高速扫段则利用传统检测时延缺陷使防御系统难以快速响应。这一趋势促使防御体系升级：中小企业倾向于将业务迁移至具备原生安全防护能力的公有云，而专线接入企业则通过运营商安全专线或On-premise防御+近源防御的分层协同架构，提升整体安全防护能力。1.2 DDoS攻击态势攻击频次继续呈增

4、长态势。2024年攻击频次是2023年的1.3倍，是2022年的1.8倍。攻击频次地域分布看，APAC攻击最活跃，全年占比67.12%。超大规模攻击激增。2024年，T级攻击激增。超800Gbps攻击共计771次，是2023年的3.1倍，2022年的3.3倍，挑战防御成本。互联网史上最大带宽和最大包速率攻击均被刷新，攻击峰值带宽高达5.6Tbps1，攻击峰值包速率高达2,100Mpps2。中国境内，年度最大攻击峰值带宽为1.9Tbps，共发生2次；最大攻击包速率为943Mpps。此外，扫段攻击强度提升至1.7Tbps。瞬时泛洪攻击持续呈秒级加速态势，挑战防御系统响应速度。瞬时泛洪攻击爬升至30

5、0Gbps-400Gbps区间只需2秒；爬升至800Gbps-1Tbps区间，仅需10秒。关键信息摘要0102关键信息摘要2024年全球DDoS攻击态势分析攻击复杂度持续提升，威胁加剧。2024年，针对语音业务和游戏的攻击活跃，且扫段攻击频发，对网络层攻击频次占比产生较大影响。UDP反射、UDP分片、UDP Flood、ACK Flood（包括网络层CC）、SYN Flood均维持TOP5网络层攻击类型，依次占比24.77%、16.44%、13.14%、12.88%、10.64%。2024年，DNS反射更加活跃，占比提升至62.07%。为增加防御难度，DNS反射和NTP反射经常采用小报文，攻击

6、报文长度和业务报文长度区间重叠。随着应用加密常态化，HTTPS Flood攻击占比持续处于高位，2024年占比62.11%。2024年，扫段攻击持续呈现多样化态势。46.83%的扫段攻击呈现低速态势，挑战传统检测算法有效性；28.29%的单个C段攻击持续时间小于30分钟，挑战防御系统自动化处置能力；95.68%的扫段攻击采用混合攻击手法，挑战防御成功率。2024年，应用层攻击复杂度持续演进，攻击者利用HTTP/2 Continuation Frame漏洞3，仅使用少量资源即可导致攻击目标资源耗尽；为寻求更高效的防御，业界经常采用JA3指纹防御加密攻击，而攻击者借助加密套件或扩展项顺序随机化，致

7、使JA3指纹失效，轻易躲避安全设备识别。传媒和互联网、政府和公共事业、金融、教育依然是TOP4攻击目标行业。中国大陆，传媒和互联网、政府和公共事业、金融、教育依然是TOP4攻击目标行业，攻击频次占比依次为71.23%、7.29%、7.13%、4.81%；传媒和互联网、文化旅游、工业互联网、能源受攻击频次占比连续两年增长；金融行业攻击频次连续三年呈现增长态势。扫段攻击影响攻击目标地域分布。全球攻击目标地域分布依次为APAC、LATAM、NA、EMEA，中国TOP3攻击目标地域分布依次为吉林、广东和山东。全球攻击目标地域分布依次为APAC、LATAM、NA、EMEA，占比分别为58.81%、19.

8、20%、12.12%、9.87%。APAC和LATAM攻击目标占比较高，主要源于这两个地域的扫段攻击活跃；中国TOP3攻击目标地域分布为吉林、广东和山东，占比依次为25.97%、22.54%、11.02%。1.3 DDoS僵尸网络态势僵尸家族分布：DDoS僵尸家族以IoT和Linux平台为主，按C2数量排名的TOP5僵尸家族分别是Mozi、Mirai、Dofloo、Gafgyt和BazarLoader，占比依次为65.66%、17.59%、9.78%、5.03%、1.93%；按DDoS攻击次数排名的TOP5僵尸网络家族依次为Mirai、HailBot、Xorddos、KamruBot和Infe

9、ctedSlurs，占比依次为47.20%、26.34%、10.42%、6.82%、3.89%。僵尸网络C2地域分布：C2全球地域分布依次为EMEA、NA、APAC、LATAM，占比依次为57.91%、22.98%、16.68%、2.43%；C2中国TOP3地域分布为河南、山东、广东，占比依次为43.28%、15.98%、7.21%。肉鸡地域分布：肉鸡全球地域分布依次为APAC、NA、EMEA、LATAM，占比依次为65.33%、20.46%、10.81%、3.40%；肉鸡中国TOP3地域分布为广东、江苏、浙江，占比依次为11.60%、9.23%、6.77%。03关键信息摘要2024年全球DD

10、oS攻击态势分析1.4 典型攻击案例案例1：攻防对抗愈演愈烈2024年9月30日至10月18日期间，亚太地区某云手机业务遭遇了持续性的高强度对抗型DDoS攻击。攻击期间，攻击者共采用了17种不同的攻击手法，给防御系统的自动化应对能力带来了严峻的挑战。案例2：扫段攻击强度再创新高2024年10月17日至30日，中国江苏省某数据中心发生持续性的高强度T级扫段攻击。共4个C段被殃及，单IP攻击流量峰值5Gbps-20Gbps。采用由ACK Flood、NTP反射、DNS反射、UDP FIood、UDP分片、ICMP Flood组成的混合攻击，攻击流量峰值在930Gbps-1.7Tbps区间，导致数据

11、中心链路长时间拥塞，引发持续性丢包。04攻击态势2024年全球DDoS攻击态势分析攻击态势02从攻击频次地域分布来看，APAC攻击活跃，2024年占比67.12%。2.1.1 攻击频次DDoS攻击频次呈持续增长态势。2024年攻击频次是2023年的1.3倍，2022年的1.8倍。2.1 DDoS攻击态势2022-2024年攻击频次月度分布数据来源于电信安全&联通数科&中移卓望&Nexusguard&华为2022年2023年2024年6月8月9月10月11月12月7月5月4月3月2月1月05攻击态势2024年全球DDoS攻击态势分析数据来源于Nexusguard2024年攻击频次地域分布（不包括

12、中国大陆）100%60%80%40%90%50%70%30%10%0%20%1月3月5月2月4月6月7月8月9月10月11月12月LATAMEMEAAPACNA2.1.2 攻击强度近五年全球最大DDoS攻击态势2020202120222023202461,0202,30017.25253,470468613,1893989722,5052,1005,600HTTP峰值请求速率Mrps峰值包速率Mpps峰值带宽Gbps06攻击态势2024年全球DDoS攻击态势分析攻击成本的不断降低，促使攻击规模持续增长，挑战防御成本。从全球范围来看超大规模攻击激增，2024年，互联网史上最大带宽和最大包速率攻击

13、记录均被刷新，攻击峰值带宽高达5.6Tbps1，是2021年创记录的3.47Tbps1的1.61倍；攻击峰值包速率高达2,100Mpps2，是2023年创纪录的972Mpps的2.16倍。扫段攻击强度亦创历史记录，2024年10月，华为监测到峰值带宽为1.7Tbps的扫段攻击。数据来源于Nexusguard2024年攻击峰值带宽分布（不包括中国大陆）（Gbps）NAEMEAAPACLATAM6月8月9月10月11月12月7月5月4月3月2月1月963 64 36 8941 296 272 249 2426 66 213 303 259 193 49277 128 63 80 311168 19

14、 50 26248146 89 576 297 222 60 327178 79 29 236 190 220 23 82 28 30588 241 224137 117 数据来源于Nexusguard2024年攻击峰值包速率分布（不包括中国大陆）（Mpps）NAEMEAAPACLATAM6月8月9月10月11月12月7月5月4月3月2月1月64 22 28 2 109 44 38 12 68 51 27 9 59 29 15 41 53 12 7 2 27 24 17 15 80 31 11689 45 24 2316 36 34 11313 38 540 107 12 3 7 183826

15、 14 07攻击态势2024年全球DDoS攻击态势分析从攻击强度地域分布看，APAC攻击强度远超其他地域。数据来源于电信安全&联通数科&中移卓望&Nexusguard&华为2022-2024年攻击峰值带宽月度分布（Gbps）2023年2022年2024年6月8月9月10月11月12月7月5月4月3月2月1月814 1,100 1,070 1,086 1,120 1,330 934 1,342 1,190 985 1,258 1,076 1,518 1,209 1,213 3,189 1,930 1,014 2,505 1,220 1,300 1,593 1,520 939 2,210 1,36

16、0 830 1,078 1,083 1,360 715 1,301 1,930 999 1,090 1,291 2024年，中国境内每个月均有T级攻击发生，全年最大攻击峰值带宽为1.9Tbps，共发生2次。第一次攻击发生在2月2日00:34:45，电信安全团队监测到攻击者采用SYN Flood、UDP Flood、DNS反射、SSDP反射的混合攻击，攻击持续12分钟，攻击目标IP位于江苏电信网络；第二次攻击发生在11月22日01:41:00，联通数科团队监测到攻击者采用SSDP反射、UDP Flood、UDP Malformed、SYN Flood和ACK Flood的混合攻击，攻击持续10小

17、时29分钟，攻击目标IP位于山东联通网络。2024年，超500Gbps攻击共发生3,637次，4月份超500Gbps攻击最活跃，共发生1,432次，占全年39%。数据来源于电信安全&联通数科&中移卓望&Nexusguard&华为2022-2024年超500Gbps攻击频次月度分布2022年2023年2024年1月3月5月2月4月6月7月8月9月10月11月12月15217161170336228237605156770651963732243533924162489995187563663758828580654117149143217589125232437208攻击态势2024年全球DDo

18、S攻击态势分析2024年，超800Gbps攻击激增，全年共计发生771次，是2023年的3.1倍，2022年的3.3倍。9月份和12月份超800Gbps攻击最活跃，分别发生187次和174次。数据来源于电信安全&联通数科&中移卓望&Nexusguard&华为2022-2024年超800Gbps攻击频次月度分布2022年2023年2024年1月3月5月2月4月6月7月8月9月10月11月12月33251121412556271744035527627187612611051598935172842611082024年3月31号，华为监测到中国浙江发生年度最大包速率攻击，攻击流量峰值包速率为943

19、Mpps，采用SYN Flood，攻击持续1分钟57秒。数据来源于电信安全&联通数科&中移卓望&Nexusguard&华为2022-2024年攻击峰值包速率月度分布（Mpps）2023年2022年2024年6月8月9月10月11月12月7月5月4月3月2月1月443 438 391 943861 446326525294 488404 681348383 722652368558506534 687299578285316 553384 515632668 759669 580 384973 423 09攻击态势2024年全球DDoS攻击态势分析年度攻击平均峰值带宽和年度攻击平均峰值包速率同比

20、均有所降低，说明绝大部分攻击的攻击强度有所降低，低强度攻击活跃。2024年，月度平均峰值带宽最大值为74Gbps，出现在12月份，说明12月份大流量攻击较集中。年度攻击平均峰值带宽为43Gbps，相比2022年的56Gbps和2023年的75Gbps有所降低。数据来源于电信安全&联通数科&中移卓望&Nexusguard&华为2022-2024年月度平均攻击峰值带宽2022年2023年2024年攻击流量带宽Gbps1401006012080402001月3月5月2月4月6月7月8月9月10月11月12月33 30 36 62 566442 31 18 40 35 52 44 31748884 6

21、4 8250735775627760 6365 69 58 7164 12153 62 2024年，月度平均攻击包速率最大值为18Mpps，出现在10月份。年度攻击平均峰值包速率为9Mpps，相比2022年的13Mpps和2023年的16Mpps均有所降低。数据来源于电信安全&联通数科&中移卓望&Nexusguard&华为2022-2024年月度平均攻击峰值包速率2022年2023年2024年攻击流量包速率Mpps1月3月5月2月4月6月7月8月9月10月11月12月6 981919 1713128635 6101088131418 16 18 91510181516 13151417 15

22、2113 1710攻击态势2024年全球DDoS攻击态势分析从攻击流量峰值带宽区间分布亦可以看出，2024年，攻击强度态势向两极集中，低强度攻击聚集，T级攻击频次同比3倍增长。小于5Gbps的攻击占比58.9%，主要由会话层、应用层及低速扫段攻击组成，攻击强度降低，但攻击复杂度提升，挑战防御成功率。数据来源于华为2022-2024年攻击流量峰值带宽区间分布=500G2022Q12022Q22022Q32022Q42023Q12023Q22023Q32023Q42024Q12024Q22024Q32024Q41.22%0.36%0.29%1.79%0.59%0.62%2.35%0.77%1.50

23、%2.18%1.05%2.92%2.87%0.95%1.46%0.65%0.43%0.09%1.18%0.62%0.13%1.38%0.25%0.21%0.58%0.20%0.60%0.34%0.63%3.13%0.11%0.04%0.08%0.42%0.12%0.42%4.95%11.75%8.13%12.47%23.14%17.24%17.21%3.25%6.10%18.02%4.98%6.52%19.39%26.03%11.03%4.94%5.06%17.49%18.40%13.13%6.26%5.76%22.72%6.56%18.09%19.34%11.92%7.60%13.84%12

24、.01%5.05%6.00%3.90%14.62%9.39%10.73%24.75%16.91%9.92%4.50%1.20%24.75%11.03%13.42%13.86%13.09%16.00%5.48%34.47%15.83%8.54%9.76%10.80%8.20%7.52%2.94%3.75%5.92%7.82%12.68%15.32%18.97%26.43%7.26%11.19%55.04%7.77%6.28%7.50%6.54%3.02%1.28%32.53%25.04%11.76%6.51%9.84%5.28%4.21%0.74%22.11%30.39%14.27%12.31%

25、5.64%13.03%1.86%0.15%19.29%40.05%13.29%9.52%13.07%2.12%1.28%0.43%2.1.3 攻击速度瞬时泛洪攻击继续呈秒级加速态势，爬升至300Gbps-400Gbps区间只需2秒，爬升至800Gbps-1Tbps区间，仅需10秒，挑战防御系统响应速度。数据来源于华为2024年瞬时泛洪攻击2秒即可爬升至近400G攻击峰值带宽Gbps样本7样本1样本3样本5样本2样本4样本64502503501504002003001000500秒3秒2秒1秒3933833673563483273192701771676637328037835935732732

26、428923611攻击态势2024年全球DDoS攻击态势分析2.1.4 攻击复杂度1.网络攻击类型分布近三年，UDP反射、UDP分片、UDP Flood、ACK Flood（包括网络层CC）、SYN Flood均维持TOP5网络层攻击类型，2024年依次占比24.77%、16.44%、13.14%、12.88%、10.64%。UDP反射因攻击成本低，是攻击者发起大流量攻击的主要手段，有些UDP反射尤其是大报文DNS反射又引发UDP分片攻击。2024年，ACK Flood活跃度排第四。主要原因有二，一是，针对TCP游戏的网络层CC攻击（即真实源ACK Flood）效果明显，防御困难，网络层CC一

27、直被作为攻击TCP游戏服务器的杀手锏；二是，虚假源ACK Flood亦是扫段攻击惯用手法。2024年，针对基于UDP协议的应用，尤其是语音业务、UDP游戏和云手机的UDP Flood活跃。数据来源于华为T级瞬时泛洪攻击10秒即可爬升至峰值2022年2024年2023年攻击峰值带宽Gbps1200100080060040020000秒50秒40秒30秒20秒10秒6818618706819689238590512攻击态势2024年全球DDoS攻击态势分析数据来源于Nexusguard&华为2022-2024年网络层攻击类型分布2023年2024年2022年UDP ReflectionUDP Fr

28、agment FloodUDP FloodACK FloodSYN FloodDNS FloodTCP ReflectionFIN/RST FloodICMP FloodTCP Fragment Flood13.86%16.44%13.14%14.62%14.81%12.88%10.64%7.42%4.81%5.09%3.94%3.12%2.56%0.40%0.42%2.44%1.61%3.03%1.53%3.22%1.58%0.60%21.41%23.33%26.19%41.59%3.78%5.92%14.87%24.77%TOP5 UDP反射中，DNS反射呈持续增长态势，占比从2022年的

29、5.62%提升至62.07%；SSDP反射占比连续三年保持稳定；NTP反射、CLDAP反射和Memcached反射呈现出降低态势。数据来源于电信安全&联通数科&中移卓望&Nexusguard&华为2022-2024年TOP5 UDP反射类型分布2023年2024年2022年MemcachedCLDAPNTPSSDPDNS5.62%45.15%28.41%26.23%23.97%18.24%13.32%3.60%3.04%3.85%0.19%7.33%0.45%62.07%58.51%13攻击态势2024年全球DDoS攻击态势分析2.应用层攻击类型分布随着应用加密常态化，近两年，HTTPS Fl

30、ood攻击占比持续处于高位，2024年占比62.11%。近三年，HTTP异常会话和TLS异常会话占比较高，主要源于华为DDoS防御系统依靠应用层特征识别网络层CC，将针对80端口的网络层CC归类到HTTP异常会话，将针对443端口的网络层CC归类到HTTPS异常会话。数据来源于Nexusguard&华为2022-2024年应用层攻击类型分布2023年2024年2022年HTTPS FloodHTTP FloodHTTP异常会话TLS异常会话22.66%20.15%17.73%14.52%7.39%8.81%5.63%32.55%23.98%20.81%63.65%62.11%2024年，DNS

31、反射和NTP反射经常采用小报文，攻击报文长度和业务报文长度区间重叠，导致防御困难。2024年，TOP10 TCP反射源端口依次为：80/443、7547、8080、689、3389、5060、81、1723、58000。2022-2024年典型TCP反射攻击源端口分布212223695381445506075478080300105800080/443689143317231900330633890%20%50%80%10%40%70%30%60%90%100%2024年2023年2022年14攻击态势2024年全球DDoS攻击态势分析3.攻击矢量分布2024年，攻击仍然以混合攻击为主，混合攻

32、击占比58.92%。2022-2024年攻击矢量分布数据来源于联通数科&Nexusguard&华为2023年2024年2022年1 Vector2 Vectors3 Vectors4 Vectors=5 Vectors36.53%30.76%17.25%11.43%12.79%9.14%6.32%15.15%19.55%0.77%4.95%2.48%46.09%45.71%41.08%4.扫段攻击多样化华为统一将单IP峰值攻击流量小于500Mbps的扫段攻击归类为低速扫段。低速扫段发生时，到单个攻击目标IP的攻击流量小，难以触发检测阈值。数据来源于华为2024年扫段攻击强度分布46.83%53

33、.17%低速高速15攻击态势2024年全球DDoS攻击态势分析2024年，从全球范围看，46.83%的扫段攻击呈现低速态势，挑战传统检测算法有效性。中国大陆的数据中心通常具备较高的带宽，但IP地址资源相对稀缺，攻击者主要采用高速扫段；海外地区IP地址资源丰富，在网络带宽成本较高的区域，攻击者主要采用低速扫段。数据来源于华为2024年单个C段攻击持续时间分布1-12小时10-30分钟12小时4.52%23.77%12.87%29.27%29.58%28.29%的单个C段攻击持续时间小于30分钟，挑战防御系统自动化处置能力。数据来源于华为2024年扫段攻击矢量分布4.32%95.68%单一混合16

34、攻击态势2024年全球DDoS攻击态势分析攻击者通过使用UDP反射攻击提升扫段攻击对被攻击企业的带宽拥塞威胁，通过使用虚假源泛洪攻击和TCP反射加大防御系统的防御难度。针对ACK Flood扫段攻击，华为监测到如下三种攻击报文特征，针对这类具有明确特征的扫段攻击，可以采用特征匹配的方式过滤攻击流量，提高防御效率。特征1：ACK扫段报文Payload有特征，全为0，多次出现在攻击互联网企业事件报文Payload特征固定的ACK扫段攻击抓包95.68%的扫段攻击采用混合攻击手法，即一次攻击事件采用多种攻击类型，挑战防御算法的有效性。数据来源于华为2024年扫段攻击类型分布UDP FloodUDP

35、ReflectionICMP FloodSYN FloodACK FloodFIN/RST FloodTCP Reflection22.97%17.74%14.66%12.66%12.14%11.06%8.76%17攻击态势2024年全球DDoS攻击态势分析 特征3：ACK扫段报文Payload是随机字符，多次出现于攻击互联网企业案例报文Payload是乱码的ACK扫段攻击抓包 特征2：ACK扫段报文Payload是固定载荷，多次出现在攻击金融企业事件报文Payload有特征的ACK扫段攻击抓包18攻击态势2024年全球DDoS攻击态势分析根据HTTP/2协议定义，当客户端发送HTTP/2流时

36、，如果HTTP Header超过单个帧允许的大小，HTTP头会被分隔成多个Header Block Fragment，然后通过多个CONTINUATION帧持续发送。当服务器接收数据流帧时，会在内存中将多个CONTINUATION帧重组，直到收到携带END_HEADERS标记的CONTINUATION帧，才认为本条流的HTTP Header内容结束。2024年Q1，“HTTP/2 CONTINUATION Frame”（CVE-2024-27983）漏洞被披露3，当被攻击目标服务器的HTTP/2协议实现未对单个数据流中发送的CONTINUATION帧数量做限制或异常处理，攻击者可通过向目标服务

37、器发送大量不设置END_HEADERS标志位的CONTINUATION帧流，导致被攻击目标服务器内存耗尽或CPU崩溃。由“HTTP/2 CONTINUATION Frame”漏洞引发的DDoS攻击被称为HTTP/2 Continuation Flood。5.应用层攻击复杂度持续演进 HTTP/2 CONTINUATION Frame漏洞披露加剧应用层攻击风险HTTP/2 Continuation Flood攻击原理图持续接收并缓存HTTP/2请求头内存耗尽HEADERSEnd Headers:0CONTINUATIONEnd Headers:0CONTINUATIONEnd Headers:0

38、HEADERS未结束HEADERS未结束正常接收请求，解析后缓存释放内存健康HEADERSEnd Headers:1DATAexample.htmlHEADERSEnd Headers:1HEADERS已结束19攻击态势2024年全球DDoS攻击态势分析当服务器和客户端采用HTTPS协议进行通信时，在完成TCP握手后，客户端要通过发送Client Hello消息与服务器协商通信中使用的TLS版本和加密算法等参数。通常情况下，客户端的TLS版本和加密算法相对稳定。早在2017年，一些安全设备（如WAF）为了通过解析传输层协议高效地区分HTTPS访问来源是正常用户还是机器人，提出了一种基于TLS指

39、纹的识别方法。具体来说，将Client Hello消息中的TLS版本、加密套件（Cipher Suites）、扩展信息（如elliptic curves和ec_point_formats）等值按顺序连接并计算MD5哈希值，从而得到TLS指纹，即JA3指纹。在很长一段时间里，JA3指纹在不解密的情况下有效识别机器人加密攻击方面表现出了较高的实用性。攻击通过加密套件或扩展项顺序随机化技术躲避检测加密攻击躲避JA3指纹技术原理图Client HelloCipher Suites:ECDHE;AES;RSA;JA4：指纹XClient HelloCipher Suites:RSA;AES;ECDHE;

40、JA4：指纹XClient HelloCipher Suites:AES;RSA;ECDHE;JA4：指纹XClient HelloCipher Suites:RSA;ECDHE;AES;JA4：指纹X加密套件顺序随机化匹配黑指纹X，攻击被拦截Client HelloCipher Suites:ECDHE;AES;RSA;JA3：指纹CClient HelloCipher Suites:RSA;AES;ECDHE;JA3：指纹DClient HelloCipher Suites:AES;RSA;ECDHE;JA3：指纹AClient HelloCipher Suites:RSA;ECDHE;A

41、ES;JA3：指纹B加密套件顺序随机化无固定指纹，攻击漏过20攻击态势2024年全球DDoS攻击态势分析然而，从2024年现网攻防对抗结果来看，为了躲避防御，攻击者通过将TLS Client Hello扩展的顺序随机化，导致JA3指纹不再固定，使得基于JA3指纹的机器人识别技术失效。为此，2023年Q3业界推出了JA4指纹。JA4指纹的基础思想是将TLS指纹按版本号、加密套件和扩展属性分别格式化成JA4_a、JA4_b和JA4_c三部分。如此一来，无论客户端如何将这三部分内容的顺序随机化，JA4指纹的结果均能保持一致。此外，JA4指纹相比JA3指纹，可读性也得到了增强，能够更方便地快速识别浏览

42、器类型和版本。下图所展示的就是现网某次加密攻击，JA3指纹发生变化，但JA4指纹保持稳定不受影响：21攻击态势2024年全球DDoS攻击态势分析攻击频次周天分布显示，周末攻击频次最低，周一开始上升，周四达到顶峰。从攻击带宽区间分布看，1-5Gbps攻击较活跃。300G200-300G50-100G5G-10G1-5G300G200-300G50-100G5G-10G1-5G1G10G-20G20-50G100-200G2322212019181716151413121110987654321022攻击态势2024年全球DDoS攻击态势分析2.1.6 攻击持续时间2024年，“瞬时泛洪”依然是网

43、络层攻击的典型特点，77.82%的网络层攻击持续时间不超过5分钟，挑战防御系统的自动化程度和运维团队的响应速度。数据来源于华为2022-2024年网络层攻击持续时间分布2023年2024年2022年12小时57.40%77.82%38.38%14.65%12.76%6.87%4.61%17.60%18.50%4.13%20.42%1.09%16.92%1.36%0.11%0.94%5.75%0.71%对比近三年应用层攻击持续时间可发现，持续1-12小时的应用层攻击占比逐年增加。这表明应用层攻击的成本在持续降低，为了增大攻击目标的损失或增加防御成本，攻击者通常会选择延长攻击时间。数据来源于华为2

44、022-2024年应用层攻击持续时间分布2023年2024年2022年12小时40.49%29.63%29.20%26.67%19.27%29.54%44.17%4.05%6.73%6.58%8.80%1.47%1.68%0.85%6.39%4.41%12.53%26.44%23攻击态势2024年全球DDoS攻击态势分析2.1.7 攻击持久性2024年，遭受过10次以上攻击的IP数量占比从10.96%提升至29.46%，说明恶意竞争引发的持续性攻击占比增加。数据来源于华为2022-2024年攻击持久性分布2023年2024年2022年1次2-5次5-10次10-50次50-100次100次以上

45、33.90%30.47%30.07%38.62%28.60%11.26%11.47%12.34%18.82%8.38%5.46%5.18%1.42%2.00%1.88%1.16%9.49%49.49%2.1.8 攻击目标行业分布2024年，传媒和互联网、政府和公共事业、金融、教育依然是TOP4攻击目标行业，攻击频次占比依次为71.23%、7.29%、7.13%、4.81%。数据来源于联通数科2022-2024年行业攻击频次分布2023年2024年2022年传媒和互联网政府和公共事业教育能源医疗卫生交通生态环境文化旅游其他金融工业互联网51.57%59.88%71.23%18.90%11.75%

46、7.29%3.87%2.85%7.13%9.62%2.98%4.81%0.38%0.72%3.65%2.83%1.31%1.30%0.18%0.70%0.87%0.22%0.43%0.48%0.13%0.11%0.19%1.74%0.07%12.31%17.52%2.98%24攻击态势2024年全球DDoS攻击态势分析2022-2024年行业攻击频次分布显示，传媒和互联网、文化旅游、工业互联网、能源受攻击频次占比连续两年增长。数据来源于联通数科2022-2024年行业攻击频次趋势分布2023年2024年2022年传媒和互联网生态环境教育金融文化旅游医疗卫生其他能源交通政府和公共事业工业互联网7

47、1.23%59.88%51.57%7.29%11.75%18.90%7.13%2.85%3.87%3.65%0.72%0.38%1.30%1.31%2.83%0.87%0.70%0.18%0.07%1.74%02.98%17.52%12.31%0.19%0.11%0.13%0.48%0.43%0.22%4.81%2.98%9.62%2024年中国金融行业攻击频次快速增长，2024年全年共发生21,017次攻击，是2023年的4.27倍，2022年的5.24倍。数据来源于联通数科2022-2024年中国金融行业攻击频次月度分布2024年2023年2022年1月3月5月2月4月6月7月8月9月10

48、月11月12月239 294 2,536 332 482 1,379 127 320 2,401 255 489 2,029 396 585 793 659 549 1,088 350 413 2,675 205 486 2,246 241 347 2,048 169 577 1,504 317 370 626 270464 1,692 25攻击态势2024年全球DDoS攻击态势分析2024年，最大攻击峰值带宽为167Gbps，采用DNS反射，大报文DNS response诱发UDP分片，攻击持续5分钟。2022-2024年行业最大攻击峰值带宽分布显示，竞争激烈的传媒与互联网行业受攻击强度远大

49、于其他行业，最大攻击峰值带宽始终维持在T级；金融行业受攻击强度一直居高不下，近三年攻击峰值带宽均超过100Gbps，远超金融数据中心实际网络链路带宽。数据来源于电信安全&联通数科&华为2022-2024年行业攻击强度分布（Gbps）2023年2024年2022年传媒和互联网政府和公共事业教育能源医疗卫生交通行业生态环境文化旅游其他金融工业互联网55 33 1 11113,189 2,5051,930 196 116 16722 845 93 35 661216 275 222 62 近三年针对中国金融行业的最大峰值带宽攻击均发生在11月。数据来源于联通数科2022-2024年中国金融行业攻击峰

50、值带宽月度分布（Gbps）2024年2023年2022年1月3月5月2月4月6月7月8月9月10月11月12月0 467 217620249 22137133116 1671961 331 2 47411132 01 11629 5426攻击态势2024年全球DDoS攻击态势分析2.1.9 攻击目标地域分布2024年攻击目标地域分布显示，攻击目标主要集中在APAC和LATAM，分别占比58.80%和19.20%，主要源于这两个地域的扫段攻击活跃，直接拉升了APAC和LATAM攻击目标地域占比。数据来源于电信安全&中移卓望&Nexusguard&华为2024年攻击目标全球地域分布EMEALATA

51、MAPACNA58.80%19.20%12.12%9.87%2024年，中国TOP3攻击目标地域分布为吉林、广东和山东。吉林连续两年成为中国大陆攻击目标TOP1地域，源于扫段攻击聚集。数据来源于电信安全&联通数科&中移卓望&华为2022-2024年攻击目标中国大陆地域分布2023年2024年40.00%0.00%10.00%20.00%30.00%5.00%15.00%25.00%35.00%吉林广东山东江苏北京上海浙江河南湖北安徽辽宁河北江西山西云南四川福建陕西湖南黑龙江重庆内蒙甘肃贵州天津广西青海海南新疆宁夏西藏34.38%25.97%0.19%0.00%0.05%0.04%0.41%0.

52、05%0.09%0.07%0.02%0.09%0.28%0.17%0.62%0.24%0.40%0.25%0.04%0.27%1.44%0.28%0.92%0.48%0.30%0.57%2.17%0.73%1.08%0.80%1.81%0.90%2.37%1.00%0.50%1.06%0.30%1.10%0.24%1.26%1.66%1.50%2.39%1.71%0.71%1.89%3.50%1.93%1.42%2.22%6.53%3.52%3.95%4.95%6.39%5.54%6.89%7.86%9.86%11.02%9.10%22.54%27攻击态势2024年全球DDoS攻击态势分析2.

53、2.1 僵尸家族分布DDoS僵尸家族以IoT和Linux平台为主。其中Mozi、Mirai、HailBot是典型的IoT平台僵尸网络，Xorddos是典型的Linux平台僵尸网络，BazarLoader则是典型的Windows平台僵尸网络，Dofloo则是典型的跨Linux、IoT、Windows等多平台僵尸网络。2024年，按C2数量排名的TOP5僵尸网络家族分别是Mozi、Mirai、Dofloo、Gafgyt、BazarLoader。2.2 DDoS僵尸网络态势数据来源于百度安全2024年僵尸网络家族TOP5分布（按C2数量）GafgytMiraiMoziDoflooBazarLoade

54、r65.66%17.59%9.78%5.03%1.93%2024年，按DDoS攻击次数排名，TOP10僵尸网络家族依次为Mirai、HailBot、Xorddos、KamruBot、InfectedSlurs、Moobot、Masjesu、Mayday、Catddos、Gafgyt。其中，InfectedSlurs、Moobot和Catddos是Mirai变种。2024年僵尸网络家族TOP10分布（按攻击次数）数据来源于电信安全0.29%0.33%0.31%1.58%10.42%6.82%3.89%2.80%2.52%47.20%26.34%XorddosMoobotKamruBotInfec

55、tedSlursMiraiHailBotMaydayMasjesuGafgytCatddos28攻击态势2024年全球DDoS攻击态势分析2.2.2 C2地域分布2024年，DDoS僵尸网络C2全球地域分布依次为EMEA 57.91%、NA 22.98%、APAC 16.68%、LATAM 2.43%。数据来源于电信安全&百度安全2024年DDoS僵尸网络C2全球地域分布LATAMNAEMEAAPAC57.91%22.98%16.68%2.43%2024年，DDoS僵尸网络C2中国TOP5地域分布依次为河南、山东、广东、江苏和山西。数据来源于百度安全2024年DDoS僵尸网络C2中国地域分布5

56、0.00%0.00%5.00%10.00%15.00%20.00%25.00%30.00%35.00%40.00%45.00%河南山西湖南云南河北广西陕西广东辽宁台湾湖北安徽重庆内蒙青海山东香港吉林中国北京江西天津西藏江苏浙江上海福建四川黑龙江甘肃贵州29攻击态势2024年全球DDoS攻击态势分析2.2.3 DDoS肉鸡地域分布2024年，DDoS肉鸡全球地域分布依次为APAC 65.33%、NA 20.46%、EMEA 10.81%、LATAM 3.40%。数据来源于百度安全&华为2024年DDoS肉鸡全球地域分布LATAMNAAPACEMEA65.33%20.46%10.81%3.40%肉

57、鸡中国TOP5地域分布为广东、江苏、浙江、河南和山东。数据来源于百度安全&华为2024年DDoS肉鸡中国地域分布14.00%0.00%2.00%4.00%6.00%8.00%10.00%12.00%广东山东四川北京上海重庆甘肃浙江安徽福建江西山西新疆海南香港宁夏青海西藏江苏河北广西辽宁云南台湾内蒙天津河南湖南湖北陕西贵州黑龙江吉林澳门0.06%0.31%0.39%0.64%0.82%1.00%1.01%1.09%1.11%1.25%1.39%1.58%1.59%1.84%2.16%2.19%2.50%2.54%2.56%2.76%2.77%2.86%3.16%3.17%3.56%3.73%3.

58、92%4.17%4.34%5.76%6.16%6.77%9.23%11.60%30典型攻击案例2024年全球DDoS攻击态势分析典型攻击案例03本次攻击中出现了大量不可达的ICMP报文，这主要是由于DNS反射器作为攻击资源被广泛共享，当部分DNS反射器被关闭，诱发DNS反射的请求报文被发送到已关闭的端口，从而产生了大量的53端口不可达报文，最终引发ICMP Flood。2024年10月17日-30日，中国江苏省某数据中心发生持续性的高强度T级扫段攻击。共4个C段被殃及，单IP攻击流量峰值5Gbps-20Gbps。攻击由ACK Flood、NTP反射、DNS反射、UDP FIood、UDP分片、

59、ICMP Flood组成，攻击流量峰值在930Gbps-1.7Tbps区间，导致数据中心链路长时间拥塞，引发持续性丢包。3.1 持续性高速T级扫段2024年T级扫段某时间段攻击流量分布数据来源于华为攻击带宽Gbps1,20002004006008001,0002024/10/22 21:452024/10/22 21:502024/10/22 21:552024/10/22 22:002024/10/22 22:052024/10/22 22:102024/10/22 22:152024/10/22 22:202024/10/22 22:252024/10/22 22:302024/10/22

60、 22:352024/10/22 22:402024/10/22 22:452024/10/22 22:502024/10/22 22:552024/10/22 23:552024/10/22 23:502024/10/22 23:452024/10/22 23:402024/10/22 23:352024/10/22 23:302024/10/22 23:252024/10/22 23:202024/10/22 23:152024/10/22 23:102024/10/22 23:052024/10/22 23:0031典型攻击案例2024年全球DDoS攻击态势分析诱发DNS反射的请求报文因

61、为端口关闭引发端口不可达ICMP Flood抓包报文Payload是乱码的ACK扫段攻击抓包ACK扫段采用的攻击报文Payload随机变化，增加了防御难度。32攻击态势分析DDoS年全球2024典型攻击案例数据中心一般会有DNS和NTP流量，本次扫段采用了大量小报文的DNS反射和NTP反射，攻击报文长度和业务区间重叠，再次增加了防御难度。小报文DNS反射攻击抓包2024年9月30日-10月18日，亚太某云手机业务遭受持续性、高强度对抗型DDoS攻击，攻击期间，攻击者共采用了17种不同的攻击手法，包括VSE Flood、UDP分片、UDP Flood、UDP Malformed、SYN Floo

62、d、ACK Flood、TCP空连接、TCP Malformed、TCP反射、STUN反射、SSDP反射、DNS反射、NTP反射、QUIC Flood、ICMP Flood、IGMP Flood、DNS Query Flood，给防御系统的自动化应对能力带来了严峻的挑战。3.2 针对某云手机业务的强对抗型攻击数据来源于华为2024年某云手机业务攻击流量分布VSE FloodTCP MalformedUDP MalformedSSDP反射DNS反射UDP Fragment FloodSYN FloodIGMP FloodTCP空连接QUIC FloodDNS Query FloodUDP Flo

63、odSTUN反射ICMP FloodTCP反射NTP反射ACK Flood攻击带宽Mbps120,000020,00040,00060,00080,000100,0002024/10/10 9:002024/10/10 20:252024/10/10 14:202024/10/10 16:052024/10/10 15:102024/10/10 16:552024/10/10 18:052024/10/10 18:552024/10/10 14:302024/10/10 16:152024/10/10 15:202024/10/10 17:052024/10/10 18:152024/10/1

64、0 19:052024/10/10 19:452024/10/10 14:402024/10/10 16:252024/10/10 15:302024/10/10 17:152024/10/10 18:252024/10/10 19:152024/10/10 19:552024/10/10 14:502024/10/10 16:352024/10/10 17:452024/10/10 15:452024/10/10 17:252024/10/10 18:352024/10/10 19:252024/10/10 20:052024/10/10 15:002024/10/10 16:452024/

65、10/10 17:552024/10/10 15:552024/10/10 17:352024/10/10 18:452024/10/10 19:352024/10/10 20:1533攻击态势分析DDoS年全球2024典型攻击案例从攻击类型看，攻击云手机业务多次采用非业务应用的应用层攻击，包括针对Steam游戏的VSE Flood、针对DNS服务器的DNS Query Flood、针对HTTP/3.0应用的QUIC Flood，且攻击过程攻击手法变化繁复，说明攻击者采用了发包工具集成度非常高的自动化攻击平台实施攻击。只有防御系统同样具备自动化甚至智能化能力，才能灵活应对此类强对抗型攻击。QU

66、IC2024年，针对UDP业务尤其是云手机、VOIP和UDP游戏的攻击活跃。这三类业务共同特点是业务端口范围较大，攻击者会随机挑选几个业务端口作为攻击目标端口，并频繁变换目标端口。若缺乏自动化的防御机制，安全团队将不得不依赖手工配置过滤规则，疲于应对。在本次攻击中，攻击者还对已关闭的53端口发起了用于诱发DNS反射的请求，从而引发了目的端口不可达的ICMP Flood。同时，攻击中还大量使用了小报文的DNS反射和NTP反射，进一步增加了过滤的难度。此外，被攻击业务系统不支持QUIC协议，可见本次攻击事件中采用大报文的QUIC流量回放提升攻击带宽。回放攻击抓包34攻击态势分析DDoS年全球202

67、4专家观点专家观点04观点1：瞬时泛洪攻击与复杂向量攻击对检测系统提出双重挑战。一方面，攻击秒级加速要求检测系统具备秒级响应，实现快速识别与攻击处置；另一方面，瞬时泛洪攻击与复杂向量攻击结合，涉及多种攻击手法叠加，要求检测系统具备多维度检测能力，降低误报率，提升检测准确率。从2021年以来，华为在跟踪攻击流量上升速度的过程中发现，瞬时泛洪攻击呈现秒级加速态势，攻击流量在2秒内可迅速攀升至300Gbps-400Gbps区间，攀升至800Gbps-1Tbps区间仅需10秒。然而，传统基于xFlow的检测技术存在分钟级延迟，难以快速响应超高速DDoS攻击。因此，提升防御系统攻击检测灵敏度、缩短TTM

68、（Time to Mitigation）成为DDoS防御技术重要发展方向。近年来，网络安全厂商不断优化逐包检测和路由器随路检测技术，力求将攻击检测时延缩短到秒级甚至毫秒级。在新游戏公测、电商大促销、纪念币抢购、直播等场景下，业务流量同样呈现出突发式增长，若检测技术缺乏多维度的业务流量建模与综合判定能力，极易将业务流量突增误判为攻击，导致大量误告警。此外，近五年的攻击矢量统计分析表明，超过50%的DDoS攻击为多矢量攻击，即单次攻击事件叠加多种攻击手法，攻击矢量全量识别难度高；为躲避防御，攻击呈现低速化、拟人化，攻击行为更加隐蔽，攻击检测难度进一步提升。因此，先进的DDoS攻击防御系统需具备精准

69、的业务突发与攻击突发甄别能力，在实现秒级检测的同时，将攻击误告警率控制在5%以下，确保防御的精准性与业务的连续性。观点2：攻防对抗进入自动化、智能化新阶段。当前攻击工具已高度集成，演变为自动化攻击平台，防御系统亦需具备自动化、智能化能力，通过实时分析与策略调整，有效应对动态变化的复杂攻击，避免被动防御失效。近三年，80%以上的网络层攻击持续时间不超过30分钟，对防御系统的自动化响应能力和运维团队的应急响应速度提出了更高要求。通过对多次典型攻击事件的跟踪分析发现，非业务应用的应用层攻击被反复采用，比如攻击云手机采用VSE Flood（VSE Flood是针对Steam游戏的应用层攻击）；且攻击过

70、程手法频繁变化，表明攻击者采用了集成度极高的自动化攻击平台实施攻击。2024年，针对VOIP、云手机等UDP业务的攻击频发，攻击者往往随机选择多个业务端口作为目标端口，并通过高频变换攻击目标端口的方式绕过传统静态防御策略。如果防御系统缺乏自动化攻击识别和策略调优机制，安全团队将被迫依赖手动配置过滤规则，导致响应滞后疲于应对。可见，处置攻击手法持续变换的复杂攻击时，要达到95%以上的防御成功率，则要求防御系统具备自动化甚至智能化的攻击处置能力。在“和平时期”，防御系统能够自主学习并建立业务流量模型基线；在“战时”，则能实时分析攻击特征，动态调整防御策略，从而摆脱传统依赖安全团队人工调整规则的被动

71、防御模式，转向基于机器学习的主动防御机制，有效应对不断变化的复杂攻击。35攻击态势分析DDoS年全球2024专家观点观点3：扫段攻击呈现两极化态势，进一步威胁网络基础设施。低速扫段通过攻击大量C段躲避传统检测，而高速扫段则利用传统检测时延缺陷使防御系统难以快速响应。这一趋势促使防御体系升级：中小企业倾向于将业务迁移至具备原生安全防护能力的公有云，而专线接入企业则通过运营商安全专线或On-premise防御+近源防御的分层协同架构，提升整体安全防护能力。2024年，95.68%的扫段攻击采用多矢量混合攻击手段，同时对网络带宽与会话资源造成威胁，使攻击检测和处置难度大幅提升，攻击影响范围广，已成为

72、网络基础设施的主要安全威胁。攻击态势分析显示，46.83%的扫段攻击呈现低速态势，到单个目标IP的攻击流量小，导致基于单IP流量统计与阈值相比对的传统检测算法失效，漏检率显著提升。当采用高速扫段时，到单个目标IP的攻击流量呈现“瞬时泛洪”态势，且28.29%的单个C段的攻击持续时间不超过30分钟。传统防御技术依赖单IP维度检测，采用32位主机路由引流，检测延迟与引流速度慢问题叠加，进一步加剧了攻击漏过的风险。对于长期受扫段攻击侵扰的企业，业务可能出现频繁卡顿，甚至长时间瘫痪，促使企业寻求更优的防御方案。中小企业由于缺乏安全能力，更倾向于将业务迁移至具备原生安全防护能力的公有云。采用专线接入的中

73、小企业，则优先选择运营商安全专线增强抗攻击能力。大型企业则倾向于采用On-premise防御+运营商近源清洗的分层协同防御架构，在On-premise快速缓解攻击恢复业务访问的同时，借助网络上游运营商防御扩大防护带宽，降低网络带宽拥塞风险。名词解释：1.瞬时泛洪攻击：也叫Fast Flooding，形容大流量攻击发生时如决堤的洪水一样倾泻而下，攻击流量断崖式上升，在几秒内即可达到几百Gbps。2.TTM：是Time to Mitigation的缩写，指从攻击开始到启动清洗需要的时长，用于描述防御系统对攻击响应的速度。3.“脉冲”攻击：也叫Pulse Wave attack，在攻击持续时间段内，

74、攻击流量以相似的时间间隔反复冲高又迅速降落，且每次攻击流量冲高后形成的流量峰值相似，形成一个个规律的“脉冲”波形。4.网络层CC：主要包括真实源SYN Flood、真实源ACK Flood，多数情况下，网络层CC攻击指的是真实源ACK Flood，即攻击者利用僵尸网络和被攻击目标服务器建立大量TCP连接后，不断发送垃圾ACK Flood，以消耗服务器连接资源或带宽资源。5.应用层CC：难防御的HTTP、HTTPS应用层攻击被统称为应用层CC，即攻击者利用僵尸网络和被攻击目标服务器建立TCP连接，对目标服务器发起应用层请求，以消耗服务器资源甚至是网络链路带宽资源，按应用协议不同又可分为HTTP

75、CC、HTTPS CC等。6.低速CC：一般采用低速CC攻击时，僵尸多为低性能的IoT终端，僵尸数量较多，单个僵尸的攻击速率较低，企图绕过安全系统基于源请求速率的检测，挑战防御系统的检测灵敏度。7.高速CC：一般采用高速CC攻击时，僵尸多为高性能的服务器或云主机，僵尸数量较少，单个僵尸的攻击速率较高，挑战防御系统的响应速度。8.加密CC：属于应用层CC范畴，即加密的应用层CC。9.扫段攻击：也叫Carpet bombing attack，属于一种新型攻击，攻击目标不再是单个服务器IP地址，同时针对1个或者多个C类IP地址段内多个IP地址进行攻击。10.低速扫段：到攻击目标C段内的单个IP的攻击

76、流量较小，挑战防御系统检测灵敏度。但因被攻击的C段数量多，同时被攻击的IP地址数量庞大，导致整体的攻击流量较大，挤占被攻击网络带宽或消耗网络会话资源，达到DDoS攻击效果。11.高速扫段：相对低速扫段，到攻击目标C段内的单个IP的攻击流量较大，基于目的IP的攻击可以发现攻击，但因同时被攻击的IP数量多，挑战防御系统并发主机防御规格，同样能达到DDoS攻击效果。12.攻击矢量：用于描述一次攻击事件采用几种攻击类型，采用一种攻击类型的攻击也叫single-vector attack，采用多种攻击类型的攻击也叫Multi-vector attack。13.混合攻击：也叫Multi-vector at

77、tack，即一次攻击事件采用多种攻击类型。14.低速扫段：单IP峰值攻击流量小于500Mbps的扫段攻击。引用：1.https:/ 05本报告中所涉及的数据来源于电信安全、联通数科安全、中国移动卓望公司、百度安全、Nexusguard、华为云及华为客户授权的DDoS攻击数据。在此特别鸣谢北京海御科技有限公司、杭州速联信息科技有限公司、金华米粒网络技术服务有限公司、宿迁蒲公英网络有限公司、优云科技有限公司给与报告的数据支持。5.1 数据来源37免责条款免责条款电信安全不对因使用本报告内容而产生的任何直接或间接损失承担责任。读者在使用本报告内容时，应自行评估信息的适用性，并在必要时咨询专业顾问。未

78、经电信安全书面许可，任何机构或个人不得以任何形式复制、分发或引用本报告的全部或部分内容，也不得对报告的部分或者全部主张知识产权或者其他权利。电信安全有权随时更新或修改文档内信息，且不另行通知。天翼安全公司简介天翼安全公司简介天翼安全科技有限公司（中国电信安全公司，简称“电信安全”）是中国电信集约开展网络安全业务的科技型、平台型专业公司，以研发运营一体化方式，整合全集团云网安全、数据等优势资源和能力，为内外部客户提供云网安全、数据安全、信息安全等各类安全产品和服务。北京总部：北京市朝阳区朝阳门外大街1 6 号中国人寿大厦南区7 层苏州总部：苏州市相城区高铁新城青龙港路2 8 6 号长三角国际研发社区启动区7 幢服务热线：4 0 0-9 2 5-9 1 2 0w w w.c t c t.c n