DDoS，分布式拒絕服務(wù)攻擊，是一種從未缺席的網(wǎng)絡(luò)攻擊。在新技術(shù)快速發(fā)展的背景下，DDoS和挖礦活動(dòng)高居攻擊者選擇榜首，攻擊手段有效性和獲利便利性是DDoS攻擊經(jīng)久不衰的主要原因。

近日，國(guó)內(nèi)老牌的網(wǎng)絡(luò)安全廠商綠盟科技發(fā)布“2018 DDoS攻擊態(tài)勢(shì)報(bào)告”。報(bào)告不僅對(duì)比了2017年和2018年DDoS攻擊的情況差異，而且還總結(jié)了五大DDoS攻擊趨勢(shì)。比如，2018年3月，著名代碼托管網(wǎng)站 GitHub 遭受到峰值達(dá)到 1.35Tbps 的 DDoS 攻擊，讓反射式DDoS攻擊備受攻擊。

報(bào)告重要觀點(diǎn)一覽：

2018年DDoS攻擊規(guī)模持續(xù)普遍增大，DDoS即服務(wù)增長(zhǎng)迅速

DDoS攻擊活動(dòng)受政策監(jiān)管、國(guó)家治理和利益驅(qū)動(dòng)的影響明顯

DDoS反射型攻擊放緩，綜合利用多種攻擊手段的DDoS攻擊值得關(guān)注

物聯(lián)網(wǎng)威脅日漸增強(qiáng)，惡意軟件利用的漏洞涵蓋多種物聯(lián)網(wǎng)設(shè)備

DDoS攻擊多發(fā)生于業(yè)務(wù)使用高峰期，以實(shí)現(xiàn)對(duì)目標(biāo)的精準(zhǔn)打擊

攻擊目標(biāo)的行業(yè)排名前三的是云服務(wù)/IDC、游戲、電商、行業(yè)內(nèi)惡意競(jìng)爭(zhēng)是主要攻擊動(dòng)機(jī)

僵尸網(wǎng)絡(luò)控制端主要分布在美國(guó)和中國(guó)

中國(guó)仍是首要攻擊源與攻擊目標(biāo)

一、DDoS攻擊趨勢(shì)

1. 攻擊規(guī)模擴(kuò)大，攻擊能力普遍提高

報(bào)告稱，在總流量與2017年持平的情況下，2018年的攻擊規(guī)模普遍擴(kuò)大。其中，攻擊峰值20-200Gbps以上的中大型DDoS攻擊有所增加，200Gbps以上超大規(guī)模攻擊比例成倍增加。

2. 反射式攻擊放緩

2018年，平均每個(gè)月反射攻擊下降了0.93萬(wàn)次，非反射攻擊增加了0.35萬(wàn)次。DDoS攻擊活動(dòng)受政策監(jiān)管和國(guó)家治理的影響明顯。

3. 利益驅(qū)動(dòng)

DDoS 流量與比特幣價(jià)格，呈一定的負(fù)相關(guān)性。在DDoS攻擊和挖礦活動(dòng)中，攻擊者傾向在不同時(shí)期選擇投入產(chǎn)比更高的獲利方式。

4. 多發(fā)于高峰期，打擊精準(zhǔn)

攻擊者傾向于在短時(shí)間內(nèi)，以極大的流量導(dǎo)致目標(biāo)服務(wù)的用戶掉線、延時(shí)、抖動(dòng)。

5. 物聯(lián)網(wǎng)威脅不容小覷

2018年，參與DDoS攻擊的物聯(lián)網(wǎng)設(shè)備總量超過(guò)23萬(wàn)，惡意軟件利用的漏洞涵蓋多種物聯(lián)網(wǎng)設(shè)備。

二、攻擊對(duì)比2017 VS 2018

1. 與2017年相比，2018年攻擊次數(shù)14.8萬(wàn)次，下降28.4%

2. 攻擊總流量64.31萬(wàn)TB，與2017年基本持平

3. 單次攻擊最高峰值1.4Tbps，與2017年基本持平

4. 平均攻擊時(shí)長(zhǎng)42分鐘，比2017年下降了17%

三、DDoS攻擊現(xiàn)狀

4.1 DDoS 攻擊次數(shù)和攻擊流量

2018 年，DDoS 攻擊次數(shù)為 14.8 萬(wàn)次，攻擊總流量 64.31 萬(wàn) TB，與 2017 年相比，攻擊次數(shù)下降了 28.4%，攻擊總流量沒(méi)有明顯變化。這主要是因?yàn)?DDoS 攻擊規(guī)模逐年增大，即中大型規(guī)模的攻擊有所增加。從全年來(lái)看，2018 年 DDoS 攻擊次數(shù)明顯下降，得益于對(duì)反射攻擊有效的治理。

同時(shí)，DDoS 攻擊峰值以 20-50Gbps 為主，攻擊峰值 20Gbps 以下的小規(guī)模攻擊減少，攻擊峰值 20-200Gbps 以上的中大型DDoS 攻擊有所增加，200Gbps 以上的超大模型攻擊比例基本上成倍增加。

4.2 DDoS攻擊類型

報(bào)告稱，2018年，主要的攻擊類型為SYN Flood，UDP Flood，ACK Flood，HTTP Flood，HTTPS Flood，這五大類攻擊占了總攻擊次數(shù)的 96%，反射類攻擊不足 3%。

其中，從攻擊流量來(lái)看，ACK Flood 占了全部流量的 42.6%。SYN Flood 依然是 DDoS 的主要攻擊手法，UDP Flood 是長(zhǎng)期活躍的流量型 DDoS 攻擊，HTTP Flood/HTTPS Flood 是針對(duì) Web 服務(wù)在應(yīng)用層發(fā)起的攻擊。

4.3 DDoS攻擊時(shí)間

2018 年，DDoS攻擊的平均時(shí)長(zhǎng)為42 分鐘，和2017年相比，下降了 17%。2018年，短時(shí)攻擊增加，攻擊時(shí)長(zhǎng)在30分鐘以內(nèi)的DDoS攻擊占了全部攻擊的77%，而持續(xù)時(shí)間最長(zhǎng)的DDoS 攻擊在 12 天左右。

4.4 攻擊資源行為分析

在所有的DDoS攻擊中，DDoS 慣犯數(shù)量不容小覷，所有攻擊類型中，25%的慣犯(“DDoS慣犯”意指發(fā)起過(guò) DDoS 攻擊且被威脅情報(bào)平臺(tái)標(biāo)記的攻擊源 IP)承擔(dān)了40%的攻擊事件。

報(bào)告稱，“無(wú)論哪種攻擊類型，慣犯產(chǎn)生的攻擊占比往往是其數(shù)量占比的將近 2 倍，其威脅程度較大，不容忽視?！?/p>

4.5 物聯(lián)網(wǎng)攻擊

根據(jù)監(jiān)測(cè)結(jié)果，異常物聯(lián)網(wǎng)設(shè)備主要被利用進(jìn)行 DDoS 攻擊。從地域來(lái)看，參與 DDoS 攻擊的物聯(lián)網(wǎng)設(shè)備 IP最多國(guó)家為中國(guó)，高達(dá) 9 萬(wàn)余 IP，其主要原因可能在于部署在國(guó)內(nèi)的物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)收集探針與國(guó)外相比較多。參與程度前五名國(guó)家還包括俄羅斯、越南、美國(guó)和巴西。

4.6 攻擊目標(biāo)行業(yè)分布

從受攻擊行業(yè)來(lái)看，最高是云服務(wù)/IDC，其次是游戲、電商。因?yàn)樵品?wù) /IDC 為各行各業(yè)提供網(wǎng)絡(luò)基礎(chǔ)設(shè)施，受到 DDoS 攻擊的比例是最高的。

游戲和電子商務(wù)這兩個(gè)行業(yè)，同行業(yè)之間的競(jìng)爭(zhēng)激烈，且每天的流量大，變現(xiàn)快，成為攻擊者眼中的“肥肉”，DDoS 攻擊的重災(zāi)區(qū)。攻擊者往往受雇于行業(yè)惡意競(jìng)爭(zhēng)者，對(duì)競(jìng)爭(zhēng)對(duì)手發(fā)起攻擊，以此獲得報(bào)酬，而競(jìng)爭(zhēng)者則通過(guò)降低對(duì)手的服務(wù)質(zhì)量來(lái)爭(zhēng)搶用戶資源。

4.7 DDoS攻擊地域分布

報(bào)告顯示，2018 年中國(guó)依然是 DDoS 受控攻擊源最多的國(guó)家，占比為 72%，其次是美國(guó)和越南。其中，國(guó)內(nèi) DDoS 受控攻擊源數(shù)目前三的省份是浙江，山東，河南。

同樣，2018 年，受攻擊最嚴(yán)重的國(guó)家是中國(guó)，約占全部攻擊國(guó)家的 36%;其次是美國(guó)，占全部攻擊的 32%。在國(guó)內(nèi)，浙江是受 DDoS 攻擊最多的省份，其它依次是廣東，江蘇，福建，北京。

五、建議

報(bào)告認(rèn)為，DDoS攻擊有著見(jiàn)效快和獲利便捷等優(yōu)勢(shì)，將會(huì)長(zhǎng)期受到攻擊者的青睞。因此，DDoS的防護(hù)，要充分利用大數(shù)據(jù)和人工智能技術(shù)，提供更有效的預(yù)警和檢測(cè)方案，充分利用云清洗服務(wù)和威脅情報(bào)，在監(jiān)管機(jī)構(gòu)和安全廠商之間共享威脅信息，協(xié)同防御，合作共贏。