国家计算机网络应急技术处理协调中心：2020年上半年我国互联网网络安全监测数据分析报告（17页）.pdf

1、(二)境内大流量攻击情况在监测发现境内峰值流量超过10Gbps的大流量攻击事件中主要攻击方式仍然是TCP SYN Flood.NTP Amplification、sSDP Amplification、DNS Amplification和UDPFlood，以上五种攻击占比达到82.9%。为躲避溯源，攻击者倾向于使用这些便于隐藏攻击源的攻击方式,并会根据攻击目标防护情况灵活组合攻击流量，混合型攻击方式占比为16.4%。此外，随着近年来“DDoS即服务”黑产模式猖獗，攻击者倾向于使用大流量攻击将攻击目标网络瞬间瘫痪，DDoS攻击时长小于半小时的攻击占比达 81.5%，攻击目标主要位于浙江省、江苏省、

2、福建省、山东省、广东省、北京市等，占比高达81.1%。(三)主流攻击平台活跃情况通过持续监测和跟踪DDoS攻击平台活跃情况发现,网页DDoS攻击平台以及利用Gafgyt、Mirai、Xor、BillGates. Mayday等僵尸网络家族发起攻击仍持续活跃,发起 DDoS攻击事件较多。作为“DDoS即服务”黑产模式之一的网页DDoS攻击平台因其直接面向用户提供服务，可由用户按需自主发起攻击，极大降低了发起DDoS攻击难度,导致DDoS攻击进一步泛滥。监测发现，由网页DDoS攻击平台发起的 DDoS攻击事件数量最多，同比2019年上半年增加32.2%。当前互联网上大量活跃的缺乏安全防护的物联网设备，为DDoS攻击平台猖獗发展提供了大量被控资源，导致DDoS攻击事件一直高居不下。Gafgyt和 Mirai恶意程序新变种不断出现，使得利用其形成的僵尸网络控制端和攻击事件数量维持在较高水平,而Xor恶意程序家族有明显特征显示其在对外提供“DDoS 即服务”黑产业务，表现出以少量控制端维持较高攻击频度。