网络安全观察DDoS 威胁

DDoS 威胁

重要观点

在稳步提升，攻击者在 DDoS 外存在更多获利选择1. **混合：**12.5% 的 DDoS 攻击事件使用了多种攻击手法，在 300Gbps 以上的超大规模攻击中逾 3 成攻击都采用了混合攻击模式，对清洗设备性能和清洗线路的稳定，以及防护运营提出了更大 的挑战。**惯犯：** 年全年 DDoS 惯犯（攻击次数大于 20 次）达 130 万，其中 7% 的惯犯承担了 78% 的攻击事件，惯犯行为值得持续关注。**团伙 ：**全年发现 DDoS团伙 60 个，攻击资源数量大于 1000

的团伙达 15 个，最大攻击团伙包含 8.8 万攻击源，月均活跃 3.5 万攻击源，团伙行为和攻击团伙的治理值得持续关注。1. **物联网

：**物联网设备参与 DDoS 攻击的情况值得持续关注，参与 DDoS 攻击的物联网设备逐年 增加，DDoS 团伙中单一团伙最高物联网设备占比达 31%1.恶意家族：IoT 平台家族攻击占比进一步

扩大，Gafgyt 和 Mirai 贡献了大部分攻击行为，但整体 上，在 DDoS 特征、攻击目标和 C&C分布等方面没有明显变化。1. **地域：**国内，香港取代浙江成为受 DDoS攻击最多的省份，其它依次是浙江、广东、北京、江苏。

5.3.2.1 攻击态势

本小节主要从攻击峰值、攻击次数和攻击流量多维度呈现 年 DDoS 攻击变化趋势。攻击峰值

年，100Gbps 以上的大型攻击发生了 2.14 万次（截止至 年 11 月），与 年同期的 2.2 万次基本持平。与此同时，300Gbps 以上的超大规模攻击在逐年递增，从 平均每月 30 次增长到 年平均每月 247 次后，在 年小幅增长到平均每月 262 次，超大规模攻击次数持续增长已经 成为常态。

Apr Jul Oct Apr Jul Oct Apr Jul Oct

300Gbps以上攻击次数 100Gbps以上攻击次数

图 5.10 大流量攻击的次数变化

数据来源：中国电信

云堤攻击次数和攻击流量

年（截止 年 11 月），我们监控到 DDoS 攻击次数为 16.74 万次，攻击总流量为 43.68 万 TB，与 年同期相比，攻击次数增加了 30.2%，攻击总流量下降了 26.4%，这是自 年攻击 总流量翻番后首次下降。

33

攻击次数 单位：万次 攻击次数 单位：万次

Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec

月 份 月 份

图 5.11 攻击次数与攻击流量

数据来源：中国电信云堤

2.攻击类型分析

年，主要的攻击类型为 UDP Flood，SYN Flood，ACK Flood，这三大类攻击占了总攻击次数 的 82％，反射类攻击占 10%。和 年相比，反射类型的攻击次数稍有增加但仍占比较小。

40.8% UDP Flood

42.2% 26.6%

SYN Flood 38.5%

ACK Flood 14.9%

0.8%

HTTPS Flood 4.4%

0.0%

4.3%

SSDP Reflection Flood 6.3%

4.2%

NTP Reflection Flood 11.7%

ICMP Flood 2.1%

0.1%

DNS Reflection Flood 1.3%

0.1%

0.8%

DNS Request Flood

0.1%

0.6%

other

0.1%

攻击次数占比 攻击流量占比

图 5.12 攻击类型的攻击次数分布

数据来源：绿盟科技威胁情报中心、绿盟黑洞云清洗服务

有 12.5% 的攻击事件使用了多种攻击手法。攻击者根据目标系统的具体环境灵动组合，发动多种攻 击手段，既具备了海量的流量，又利用了协议、系统的缺陷，尽其所能地展开攻势。对于被攻击目标来 说，需要面对不同协议、不同资源的分布式的攻击，分析、响应和处理的成本就会大大增加。

3种类型 1.3%

4种类型 单一类型 混合攻击 2种类型 0.3%

87.5% 12.5% 10.9%

5种及以上

0.0%

图 5.13 混合攻击分布

数据来源：绿盟科技威胁情报中心、绿盟黑洞云清洗服务

年 300G 以上的超大规模的攻击类型分布如下图所示，SYN攻击占比最高，其次是混合攻击， 占比 32%，大流量混合攻击对清洗设备性能和清洗线路的稳定，以及防护运营提出了更大的挑战。

other SSDP Reflection Flood

1% 12%

SYN Flood 混合攻击 55% 32%

图 5.14 300G 以上超大规模的攻击类型分布

数据来源：中国电信云堤

攻击团伙分析

在 年的 DDoS攻击中， 7%的惯犯 1 承担了 78%的攻击事件。说明惯犯的威胁程度大，不容忽视。 而 DDoS 惯犯们常常共同组合发起攻击，我们将这样的群体称为“IP 团伙”。全年发现团伙 60 个，攻 击资源数量大于 1000 的团伙达 15 个，最大攻击团伙包含 8.8 万攻击源，月均活跃 3.5 万攻击源，团伙 行为和攻击团伙的治理值得持续关注。以下为重要团伙的刻画分析。

攻击源规模第一大团伙

攻击源规模第一大团伙也是 年最为活跃的团伙。该团伙包含 8.8 万个惯犯。攻击源设备类型 特征明显，结合已知资产情报发现了 2.8 万物联网设备，占比 31%，其中 64% 都为路由器，路由器中 94% 的厂商都为 MikroTik。该团伙全年活跃，每个月平均活跃攻击源数量为 3.5 万，每个月平均针对 83 个目标发起攻击。

该团伙月度攻击源数量和攻击目标数量如下图所示。每个月平均活跃攻击源数量为 3.5 万，每个月 平均针对 83 个目标发起攻击。该团伙的攻击源数量是每个月动态变化的，原因是随着时间的推移，有 的成员会离开（可能是因为系统所有者移除了恶意软件并修补了攻击控制者入侵系统所利用的安全漏 洞），而同时又会有新成员加入（新系统被恶意软件感染并成为僵尸网络成员）。

60000 250 50000

200 40000

150 30000

100 20000

50 10000

0 0 -19 -19 19 -19 -19 19 -19 -19 -19 -19 -19

AN B AR- PR AY UN- L P T

J FE M A M J JU AUG SE OC NOV

攻击源数量 攻击目标数量

图 5.15 攻击源规模第一大团伙月度攻击目标和攻击源状况

数据来源：绿盟科技威胁情报中心、绿盟黑洞云清洗服务 1此处，“DDoS 惯犯”意指长期出现且发起 DDoS 攻击 20 次以上的 IP

38

下图为该团伙历史活跃热点图，横坐标是日期 ( 以天为粒度 )，纵坐标是攻击目标 IP，红点表示该 团伙在某天攻击了某 IP，红点的大小表示攻击源 IP 数量。红点越大越多，则表示该团伙经常发起团伙 性行为的 DDoS 攻击，表示该团伙活跃度越高。从图中可以看出，该团伙全年都保持活跃，最多一天同 时有 1.13 万个攻击源对同一目标发起攻击。

图 5.16 攻击源规模第一大团伙历史活跃热点图

数据来源：绿盟科技威胁情报中心、绿盟黑洞云清洗服务

在已知的资产情报数据中发现，攻击源中物联网设备占比高达 31%，其中 64% 都为路由器，路 由器中 94% 的厂商都为 MikroTik。近几年发布的 MikroTik 的漏洞有 CVE--14847 和 CVE-- 3924。IoT 设备因其在线时间长和漏洞修复周期较长，且易于入侵、控制，日渐成为黑客们热衷“抓取”

的“肉鸡”类型。

物联网设备 31%

其他 69%

图 5.17 攻击源规模第一大团伙设备类型分布

数据来源：绿盟科技威胁情报中心、绿盟黑洞云清洗服务

VoIP 2.4%

Printer

8.0% MikroTik 93.6%

Router

Camera 64.4%

25.2%

其他 6.4%

图 5.18 攻击源规模第一大团伙物联网设备类型分布

数据来源：绿盟科技威胁情报中心、绿盟黑洞云清洗服务

攻击源规模第二大团伙

攻击源规模第二大团伙也是攻击流量最大的团伙，该团伙包含 2.3 万个惯犯，惯用大流量 SYN Flood 攻击，历史攻击记录中 99.54% 都使用了 SYN Flood。该团伙在 1 到 10 月都有活跃，5 月为活跃 高峰期。

该团伙月度攻击源数量和攻击目标数量如下图所示。在 1 月 -10 月都有活跃，其中 1，4，5，6 月 活跃攻击源数量最多。每个月平均活跃攻击源数量为 6 千，每个月平均针对 7 个目标发起攻击。

20000 16 18000 14 16000

12 14000

12000 10 10000 8

8000 6 6000

4 4000

2 2000

0 0

-19 -19 19 -19 -19 19 -19 -19 -19 -19 AN B AR- PR AY UN- L P T

J FE M A M J JU AUG SE OC

攻击源数量 攻击目标数量

图 5.19 攻击源规模第二大团伙月度攻击目标和攻击源状况

数据来源：绿盟科技威胁情报中心、绿盟黑洞云清洗服务

下图为该团伙历史活跃热点图，横坐标是日期 ( 以天为粒度 )，纵坐标是攻击目标 IP，红点表示该 团伙在某天攻击了某目标 IP，红点的大小表示当天参与攻击该目标的成员数量。红点越大越多，则表 示该团伙经常发起团伙性行为的 DDoS 攻击，相应日期团伙活跃度越高。该团伙最多一天有 8639 个惯 犯攻击源对同一目标发起攻击。

图 5.20 攻击源规模第二大团伙历史活跃热点图

数据来源：绿盟科技威胁情报中心、绿盟黑洞云清洗服务

40

下图是该团伙攻击类型分布，可以看出，该团伙所使用的主要攻击手段为 SYN Flood。

其他 0.44%

SYN FLOOD 99.56%

图 5.21 攻击源规模第二大团伙攻击类型分布

数据来源：绿盟科技威胁情报中心、绿盟黑洞云清洗服务

流量峰值（Gbps）是衡量某一团伙的攻击能力和恶意程度的关键参数，了解它们的能力极限对于规 划防御非常重要。下图为该团伙 年的流量峰值趋势图，从图中可以看出该团伙在 年多次打 出超过 100Gbps 以上的大流量，特别是在 -5-19，-5-30，-6-11 打出了 300Gbps 以上的 超大流量，在 -8-15 更是打出了 780Gbps。说明该团伙具有强大的攻击能力，需持续关注。

参考资料

绿盟 网络安全观察

友情链接

CSA 云应用安全技术规范