《2022年上半年-全球DDoS威胁报告》-腾讯安全

第一章第一章:专家观点2022年ChapteroneExpertOpinions全球DDoS威胁报告章：专家观点TboS章：整体威胁月成威胁最大月份6.TCP反射和PUSHACK攻击持续肆虐P章：海外威胁2.海外最大攻击超过600G3.东南亚是海外攻击热点区域业与国内2年前情形趋同章：黑产视角2.敲诈勒索是主要攻击动机5.高危漏洞的利用率与僵尸网络活动正相关6.僵尸网络控制端多数分布在海外僵尸网络资源来源分析章：攻防对抗案例案例一：腾讯云客户遭受Tb级别攻击例二：中间盒TCP反射攻击第一章第一章:专家观点2022年ChapteroneExpertOpinions全球DDoS威胁报告Expert第一章:专家观点2022年ChapteroneExpertOpinions全球DDoS威胁报告DDoS高居第一，而且相比去SDDoS攻击次数也出现非常明显的对比。2东南亚成海外攻击热点区域第一章:专家观点2022年ChapteroneExpertOpinions全球DDoS威胁报告UDP倍DDoS除了大家熟知的NTP反射/DNS反射/LDAP反射等，3月份业界发现一部分配置存具有数十亿倍的放大倍数，超越几年前流行的Memcached反射手法，成为迄今为止放大倍数最大的UDP反以及缺陷设备的快速修复，并没有引起大规模的爆发。根据腾讯安全T-SecDDoS防护团队的监测数据，在Gbps监测到约20次攻击之后，此类前Tb级攻击还是较为罕见，每年超过1Tb的攻击在全球也基本屈指可数。但是近两年Tb级攻击开始变得更加频繁，今年上半年自4月份开始，连续3个月每个月都有Tb级攻击出现。在Tb级攻击最多的6月，腾讯第一章:专家观点2022年ChapteroneExpertOpinions全球DDoS威胁报告D新思路尽管当前的各国经济遭遇了不同的困难，但是工业互联网/大数据/云计算/AI/5G等数字经济产业丝毫没有放慢脚步，如火如荼高速发展。这些新兴产业本身会产生大量的设备接入以及带宽需求，而一旦这部分资源配会沦为黑客的攻击资源。另一方面，这些数字经济产业的发展，也让互联网深入到更广阔的空间，DDoS攻击威胁不仅会持续增长，而且会变同时由于成本预算或者技术能力的原因，本地很难建立与当前DDoS威胁相匹配的抗D能力。这部分部署在DDoS风险。作为脱胎于云计算的云原生安全产品，在海量业务驱动下完成了高性能高效率检验，各行各业各种规模用户下本优势海量带宽储备，在当前DDoS攻击威胁增长非常迅第一章:专家观点2022年ChapteroneExpertOpinions全球DDoS威胁报告DDoS造成的宕机时间从数小时至数天银行和金融机构，运营商以及通信，机场与港口等基础设施部门，一方面服务的人群较为广泛，和人们必要的DDoS易影响数万乃至数十万人的工作和生活。但是另一方面，业的企业频繁，因此很可能针对DDoS攻击威胁缺乏必要的一斑。DDoS第二章：整体威胁第二章：整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告OverallThreats第二章：整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告近4年新高，是去年同期的3倍，同比21年上半年增2100G以上大流量攻击每天超40次尽管攻击次数为历年新高，但是100G以上的攻击次数并未突破2019年的高峰值。根据电信安全近3年的数GGUDPSYN的大流PSHACKUDP显著增加。此外由于攻击者手里的攻击资源越来越富足，导致一些协议缺陷型攻击(如SYN小包和TCP反射)的攻击流量能够轻易超过100G，成为兼具协议缺第二章：整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告此外，前些年的规模最大的DDoS攻击记录，主要的攻击流量基本都是通过UDP反射发起，攻击者的初始攻击流量其实不足百G。但是上半年腾讯云上最大的Tb级别的攻击，攻击手法都是非反射型的UDPFLOOD，37成攻击持续时间不超过30分钟比大约三分之一，而持续时间小于5分钟的攻击和介于5分钟和10分钟的。第二章：整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告6月成威胁最大月份DDoS胁大增，背后的原因则是攻击者的攻击资源变得更为充裕。通过分析发现，5月份之00GS第二章：整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告UDPSYN击手法，只要防守为了进一步绕过防护方的防护策略，提升攻击效果，DDoSTCP致TCP反射攻击更加猖獗：成为攻击者目前使用较多的攻击手法。今年上半年，据监测发现攻击者对存在主动外连行为的目标发起攻击时，会特意选取TCP反射来发起攻击。此时外部的攻击流量和用户正常的主动外连的流量将难以区分，再加另外，攻击者也在不断将新的反射端口利用到攻击中，以提升攻击的威力和防护难度外，一些大于1024的非常见的服务端口，如TCP7547端口，TCP32768端口，TCP30010端口等，也被攻击者大量应用到实际攻CK据腾讯安全T-SecDDoS防护团队监测的结果，PSHACK攻击是近两年较为突出的威胁。一方面，发起此类攻击的黑产拥有丰富的攻击资源，因此此类攻击基本都是大流量攻击，最大的攻击流量接近900G，同时此类攻击的流量飙升极快，可以在数秒之内流量蹿升到500G以上。另一方面，PSHACK包也是业务流量中较为常见的数据报文，而且是TCP连接建立后的报文，不仅较难区分业务正常流量报文和攻击报文，很容易出现PSHACK挑战。第二章：整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告7扫描型扫段攻击每月攻击数以十万计的IP近年来，各种基础软件漏洞层出不穷，一旦一些广泛使用的基础软件爆出高危漏洞，意味着黑产人员迎来一次就可对数以十万计的IP完成扫描。黑客的暴力扫描除了会导致存在漏洞的服务器沦为肉鸡的潜在威胁，也会给机房网络带来冲击，演变成扫描型扫段攻击的现实威胁。根据腾讯安全T-SecDDoS防护团队统计，每月第二章：整体威胁第二章：整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告海外威胁第三章：海外威胁2022年ChapterthreeOverseasThreats全球DDoS威胁报告业务拓展到了海外，海外的DDoS攻击也持2海外最大攻击超过600G0G的大流量攻击在1月份较为集中，之后几个月则呈现大流量攻击次数和峰G第三章：海外威胁2022年ChapterthreeOverseasThreats全球DDoS威胁报告3东南亚是海外攻击热点区域S北美和欧洲则分居第三和第四位。除了上述区域之外的其他区域的攻击占比大约为一成左右。从时间上来看，相比去年，大部分区域的攻击峰值没有太多增长或者未超过200G，但是新加坡和美国区域的DDoS攻击峰值G区域。第三章：海外威胁2022年ChapterthreeOverseasThreats全球DDoS威胁报告DDoS均衡，1月份和4月份作为5海外攻击的热点行业与国内2年前情形趋同播等行业，其中游戏行业占比40%，蝉联攻击最多的行业。而游戏行业下的细分品类中，手游成为最主要的，也占据了相当比例的攻击份额。e2022年黑产视角IndustryPerspectiveDDoS攻击背后是完整复杂的黑色利益链，-20e2022年攻击团伙实力基本符合二八原则，接近3/4的DDoS攻击由一般团伙发起，他们本身没有攻击资源，依靠第近1/4。比2敲诈勒索是主要攻击动机敲诈勒索和行业内恶意竞争存在于各个行业。相对而言，敲诈勒索团伙的作案更为频繁和猖獗。对于国内企业来说，ACCN团伙是一个较为知名的敲诈勒索团伙，该团伙在今年上半年也较为活跃。大量国内游戏企业遭遇过该团队的勒索，日本、韩国、东南亚等地的企业也深受其害。该团伙惯用的手法就是潜伏到目标企业的玩家论坛或者玩家群内，在了解到游戏企业即将有新游戏上线或者在新区域发布时，对游戏企业发起数万元至数戏停运，遭受重大损失。BAFPS会频繁通过流量挂/炸房挂发起DDoS攻击，不仅影UDP发起根据上半年的数据统计，大约三分之二的攻击是基于UDP协议发起。此外SYN小包攻击和ACK/PSHACK类攻击占比均超过10%，分列第二位和第三位也较高。此外TCP反射攻击的占比则接近传统的ICMP攻击和e2022年UDP类攻击在整体攻击数量中占比65%，远远高于基于TCP协议的攻击。其中UDP反射类攻击的在整体的e2022年4Mirai僵尸网络上半年威胁最大与家族分布尸网络，发起的DDoS攻击活动大约占2成。值得注意的是前两年较为活跃的XoR.DDoS僵尸网络现在已经e2022年的利用率与僵尸网络活动正相关分布通过对近两年TOP20的Linux/IoT高危漏洞的利用情况进行统计后发现，漏洞利用率的高低与僵尸网络的活-24地域分布e2022年6僵尸网络控制端多数分布在海外DDoS攻击的溯源较为困难，其中一个重要原因就是相当大比例的DDoS攻击是黑产团伙租用僵尸网络发起，而僵尸网络的控制端往往位于万里之外的其他国家。比如今年上半年，92%的僵尸网络控制端都位于国外，其中北美和欧洲是僵尸网络控制端比较聚集的区域，二者合计占比接近9成。其中ColoCrossing、Des肉鸡的分布主要集中于远程办公设备和物联网设备，上半年由于疫情影响，大量民众居家办公，VPN、FamatechRadmin(远程控制软件)、NAS(数据存储服务器)、Kubernetes(开源容器集群管理系统)等办公相关的软件和应用占据了半壁江山，路由器和摄像头等常用的物联网设备超过四成，Windows主机的数量e2022年源分布e2022年攻防对抗案例AttackDefensees攻攻防对抗案例2022年112022年6月上旬，某腾讯云客户遭受了一系列的针对性DDoS攻击。客户累计被攻击超过20余次，涉及攻。SYNNTP手法，对客户的进行试探，期间攻击者也探均无功而返。CCCC攻击请求量走势2022年此外，针对用户的正常业务是基于TCP协议的特点，攻击者开始在CC攻击的间隙不断的穿插一些小流量PSHACK/TCP反射攻击，企图在防守方注意力集中在CC攻击时用这部分与用户业务流量非常接近的攻击流之后攻击者发现即便长时间发起CC攻击和PSHACK/TCP反射攻击仍被有效防护后，攻击者大幅增加攻击资11、攻击者资源非常丰富：峰值超过1Tb的攻击流量中，其中仅有约19%的流量是基于NTP反射，而其余的超过8成的攻击流量是非UDP反射发起的，这说明攻击者的攻击资源异常丰富，初始的攻击流量就超过了800G。2、流量蹿升极快：攻击流量从0蹿升到1Tb用时仅5秒。1、用户在业务迁入腾讯云之后，云原生安全下的DDoS防护产品，提供三层/四层/七层的一站式2、海量冗余带宽，对付此类拥塞带宽型攻击绰绰有余，客户节约了大量用于防护带宽拥塞型攻击的冗余2022年TCP反射的认知。TCP现。根据腾讯安全T-SecDDoS团队分析，最为常见的利用方式如下：1、攻击者伪造受害者源1、攻击者伪造受害者源IP，向受同一个安全设备防护的大量IP发送初始攻击包，攻击包一般是针对某些不允许访问的站点或者路径。2、尽管攻击包没有建立连接必需的三次握手过程，但是由于部分安全设备对80端口的HTTP协议访问进行阻断的功能实现存在缺陷，没有严格按照TCP协议检查会话有效性，同时初始攻击包里的payload可以触发安全设备的防护规则，引发这部分安全设备对初始攻击流量产生应答。3、由于应答报文中一般会包含一些HTML样式，因此反射产生的攻击报文的长度达到数百乃至上千字节，这意味着此类手法可以将初始攻击流量放大数倍乃至十几倍。2、存在缺陷的安全设2、存在缺陷的安全设备被大量滥用发起攻击，这部分设备的正常功能也会收到影响，危害到企业自身的2022年三：扫段攻击防护案例2022年6