《2021上半年全球DDoS威脅報(bào)告》：DDoS攻擊手法進(jìn)階，黑產(chǎn)威脅有增無減

對此,騰訊安全聯(lián)合綠盟科技正式發(fā)布《2021上半年全球DDoS威脅報(bào)告》(以下簡稱《報(bào)告》),基于對2021上半年監(jiān)測到的數(shù)據(jù)情況進(jìn)行統(tǒng)計(jì)分析,全面盤點(diǎn)了過去半年中DDoS攻擊的發(fā)展態(tài)勢。《報(bào)告》指出,在疫情影響下,各類企業(yè)業(yè)務(wù)持續(xù)線上遷移,DDoS攻擊次數(shù)已連續(xù)4年高速增長,且量級強(qiáng)度、手段方式、攻擊來源相較以往都有明顯的升級變化。針對越發(fā)復(fù)雜的網(wǎng)絡(luò)安全環(huán)境,《報(bào)告》還結(jié)合實(shí)際案例為企業(yè)DDoS攻擊防護(hù)提供了實(shí)用性建議。

黑產(chǎn)猖獗,DDoS攻擊次數(shù)保持高速攀升

后疫情時(shí)代,數(shù)字技術(shù)正在加速與實(shí)體經(jīng)濟(jì)融合,大量經(jīng)濟(jì)活力持續(xù)向線上遷移,游戲、直播、電商、線上教育等行業(yè)繁榮發(fā)展,引來黑產(chǎn)團(tuán)伙覬覦。在這背景下,DDoS攻擊次數(shù)連續(xù)四年呈高速增長的趨勢,并且這一趨勢在中國以外的其他國家區(qū)域更為明顯,增長率甚至達(dá)到了50%,DDoS攻擊在全球范圍內(nèi)日益蔓延,互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展程度較高的東南亞、北美、歐洲成為中國以外受DDoS威脅最嚴(yán)重的三大區(qū)域。

與此同時(shí),云計(jì)算、5G、AI等技術(shù)迅猛發(fā)展,推動著網(wǎng)絡(luò)帶寬持續(xù)高速增長。而隨著物聯(lián)設(shè)備的不斷增多,越來越多存在安全缺陷的IoT設(shè)備淪為了黑客攻擊資源,百G以上大流量攻擊呈現(xiàn)出高發(fā)態(tài)勢。據(jù)《報(bào)告》顯示,2021上半年的百G以上大流量攻擊次數(shù)達(dá)2544次,同比2020年H1增加了一半以上,高于整體攻擊次數(shù)的增長幅度。可以看出,隨著T級攻擊事件越來越多,大流量攻擊已成為常態(tài)。

手段多變,OpenVPN、DVR反射等新型攻擊手法層出不窮

在黑產(chǎn)手法上,UDP-FLOOD仍然是DDoS攻擊的首要場景。其中,由于具有大量攻擊資源且絕大多數(shù)為高配服務(wù)器,并且對于初始流量攻擊的放大效果非常可觀,使得NTP反射成為最常見的UDP反射攻擊手法,占比達(dá)到整體分布的59%。
 

但在百G大流量攻擊領(lǐng)域,局勢發(fā)生翻轉(zhuǎn),過往UDP反射的主導(dǎo)優(yōu)勢盡無,SYP大包超越UDP反射成為最主要的攻擊手法,同時(shí)TCP反射也擠入前三,分別占比53%、28%、15%。

數(shù)字技術(shù)的蓬勃發(fā)展不僅促進(jìn)產(chǎn)業(yè)的繁榮,也讓黑產(chǎn)團(tuán)伙有機(jī)可乘,借此更新資源配置、增長技術(shù)能力。今年上半年,OpenVPN反射、DVR反射、WS-DD反射等一批新型DDoS攻擊手法“異軍突起”,其中,OpenVPN反射出現(xiàn)的頻率遠(yuǎn)超其他手法,且攻擊源的數(shù)量也超過NTP反射等傳統(tǒng)UDP反射手法,突破百萬,進(jìn)入前三。這些新型攻擊手段和技術(shù)的出現(xiàn),加劇了網(wǎng)絡(luò)黑產(chǎn)問題,把企業(yè)推向了更加危險(xiǎn)的邊緣。

在攻擊資源上,由于互聯(lián)網(wǎng)上大量開放的TCP端口和大量家庭網(wǎng)絡(luò)的暴露,導(dǎo)致 TCP服務(wù)器成為數(shù)量最大的DDoS反射攻擊資源,受攻擊次數(shù)、規(guī)模雙雙增長。根據(jù)《報(bào)告》,2021年以來,百G以上的TCP攻擊屢見不鮮,包速率動輒數(shù)以億計(jì),對上下游網(wǎng)絡(luò)設(shè)備、防護(hù)設(shè)備以及云端清洗服務(wù)的性能造成了嚴(yán)峻挑戰(zhàn)。
 

另一方面,研究表明,挖礦活動和DDoS攻擊活動對于肉雞資源存在競爭關(guān)系,而上半年比特幣/以太坊等虛擬貨幣的價(jià)格處于歷史高位,導(dǎo)致大量肉雞資源流入挖礦領(lǐng)域。參與DDoS攻擊的肉雞數(shù)量雖出現(xiàn)明顯下降,但表現(xiàn)卻更加活躍,僅靠去年一半的數(shù)量就實(shí)現(xiàn)了4倍以上的攻擊次數(shù)。

利益驅(qū)動,游戲行業(yè)仍是DDoS攻擊“重災(zāi)區(qū)”

據(jù)《報(bào)告》分析,在行業(yè)低門檻、高競爭性、高利益特性的持續(xù)影響下,2021年上半年游戲仍然是DDoS攻擊最集中的行業(yè),占整體分布的39%。值得一提的是,受疫情影響,在線醫(yī)療、在線教育、在線會議等新興產(chǎn)業(yè)的興起,使網(wǎng)絡(luò)服務(wù)行業(yè)受攻擊次數(shù)的占比逐年增加,直播、電商等行業(yè)也成為DDoS攻擊的新目標(biāo),游戲行業(yè)的占比正在持續(xù)下降。

從攻擊動因來說,黑產(chǎn)團(tuán)伙發(fā)起攻擊的原因大多數(shù)都是金錢驅(qū)動。一部分,在巨額傭金的刺激下,通過對企業(yè)發(fā)起DDoS攻擊,幫助企業(yè)競爭對手搶奪市場和用戶;另一部分,則利用攻擊對企業(yè)敲詐勒索來獲得酬金�！秷�(bào)告》指出,2021年1月,由于比特幣價(jià)格飆升,國外黑客團(tuán)伙利用DDoS攻擊發(fā)起大規(guī)模敲詐勒索活動,部分團(tuán)伙單次勒索的贖金甚至高達(dá)10個(gè)BTC,折合人民幣超過200萬元。此外,惡意玩家為了作弊發(fā)起DDoS進(jìn)攻也成了游戲行業(yè)揮之不去的陰影。
 

今年春節(jié)前后,某知名游戲廠商遭遇不正當(dāng)競爭,業(yè)內(nèi)競爭對手雇傭黑產(chǎn)團(tuán)伙對其旗下多款游戲發(fā)起“打卡式”針對攻擊。在近1個(gè)月的時(shí)間里累計(jì)攻擊數(shù)千次,多次攻擊的攻擊流量峰值接近500G,且選擇的攻擊手法都是現(xiàn)網(wǎng)防護(hù)難度大的TCP反射、TCP四層CC攻擊、HTTP CC攻擊等手法�；�于此,騰訊DDoS防護(hù)團(tuán)隊(duì)利用大數(shù)據(jù),結(jié)合深度學(xué)習(xí)AI防護(hù),對攻擊行為模式進(jìn)行統(tǒng)計(jì)分析,通過自研TCP反射防護(hù)算法和流量指紋防護(hù)算法等,精準(zhǔn)識別、區(qū)分攻擊流量,并實(shí)現(xiàn)自動化、智能化的清洗。
 

數(shù)字化升級浪潮下,數(shù)字經(jīng)濟(jì)融合趨勢正在逐漸凸顯,通過企業(yè)上云,打造數(shù)字化、互聯(lián)網(wǎng)化、智能化的產(chǎn)品服務(wù)將成為企業(yè)新的核心競爭力。然而,上云之路,危機(jī)四伏。正如《報(bào)告》中指出,DDoS攻擊在持續(xù)帶來安全挑戰(zhàn)的同時(shí)也在“進(jìn)化升級”,不斷增加的攻擊量級、強(qiáng)度,以及各類新型攻擊手法的涌出,都在加大企業(yè)的安全風(fēng)險(xiǎn)。同時(shí),DDoS攻擊團(tuán)伙還會想方設(shè)法“動歪腦筋”,通過現(xiàn)有手法對防護(hù)薄弱點(diǎn)進(jìn)行攻擊,兩種最為典型的手段就是對平臺發(fā)起掃段攻擊以及針對IP網(wǎng)關(guān)發(fā)起攻擊,這導(dǎo)致云平臺自身的DDoS防護(hù)成為一個(gè)非常重要的防護(hù)場景。
 

面對現(xiàn)下嚴(yán)峻的網(wǎng)絡(luò)安全形勢,騰訊安全基于20年海量業(yè)務(wù)安全實(shí)踐和黑灰產(chǎn)對抗經(jīng)驗(yàn),打造騰訊DDoS 防護(hù)(Anti-DDoS)解決方案,集成安全大腦,根據(jù)行為模式分析、AI智能識別等實(shí)現(xiàn)自動化調(diào)整防護(hù)策略,在保證業(yè)務(wù)不受影響的情況下,將清洗準(zhǔn)確度提高至99.995%。同時(shí),依托遍布全球的T級防護(hù)能力,騰訊安全將DDoS防護(hù)能力拓展到海外重點(diǎn)國家,保障企業(yè)海內(nèi)外業(yè)務(wù)安全高效、順利運(yùn)行;此外,騰訊DDoS 防護(hù)還具備一鍵接入、智能識別、實(shí)時(shí)監(jiān)控、自動查殺等功能,為用戶提供極簡的全流程使用體驗(yàn)。