2024年DDoS攻击趋势白皮书.docx

CONTENTSm01摘要OOl2023年全球DDOS攻击情况1.1 全球攻击情况0041.2 攻击规模0051.3 攻击类型0061.4 攻击源分布0061.5 目标行业007022023年国内DDOS攻击情况2.1 国内攻击情况0102.2 攻击目标地域分布0102.3 瞬时攻击速度攀升0122.4 归段攻击01303快快网络DDoS态势观察3.1 攻击情况0163.2 攻击类型0163.3 攻击来源0173.4 攻击行业01904典型攻防对抗案例4.1 接口攻防案例0214.2 大流量攻防案例022052024年可操作性策略5.1 2023年总结0255.2 2024年DDoS攻击趋势0255.3 防护策略027结语029012023年全球DDOS攻击情况1 .2023年全球DDoS攻击情况1.1 全球攻击情况2023年DDOS攻击总次数1246.61万次，同比增长18.1%o快快网络监测数据显示，2023年中国遭受DDOS攻击次数达146万,占全球11.74%,排名第三，第一为美国占比41.22%,第二为荷兰。在欧洲、中东、非洲（EMEA）和亚太（APAC）地区，DDoS攻击的数量和规模已经与北美不相上下。GlobalDDoSattacksin2023hlllllltenMarACNMWkmMAug*pOctNo*0«图I2023年全球DDOS攻击情况数据显示，攻击者越来越多地瞄准关键基础设施和服务，包括物流服务、支付处理中心和银行系统，试图影响更多的用户。平均攻击强度达到1.4TbPS的峰值，最长的攻击持续了7天。越来越多的DDoS攻击开始使用假厂网络，超过38%的DDoS攻击利用了感染僵尸网络的设备。此外，与上一年相比，作为多向量攻击的烟幕弹/诱饵的DDoS攻击增加了28%。更具破坏性的HTTP攻击正变得越来越容易实施。82.3%的DDoS攻击针对OSl模型的应用层（1.7）,11.7%针对OS【模型的传输（1.4）和网络（1.3）层。2.3%的攻击针对DNS,其余3.7%针对其他目标。1.2 攻击规模DDoS攻击的规模和复杂程度都在不断增长，但2023年以不11J预见的速度加速了这一趋势。甚至连安全供应商及其各自的网站也受到了攻击。2023年7月，出现高达1990GbpS(1.99Tbps)和710Mpps的超大规模DDoS攻击。9月份，快快网络发现并阻止了一场大规模DDoS攻击。在这起攻击中，网络犯罪分子使用了ACK、PUSH、RESET和SYN洪水攻击向量的组合,峰值为1.6Tbps。事实证明，这些攻击与2022年开始的“震慑式”DDOS攻击趋势非常一致。图22023年全球DDoS攻击峰值GlobalDDoSattackspeedin2023图32023年全球DDOS攻击速度2023年，快快网络就曾检测到一起创纪录的DDOS攻击,其最高攻击速度为704.8Mppse快快网络缓解的10次最大DDOS攻击中有8次都发生在过去18个月内。1.3 攻击类型在主要攻击类型中，UDPnOOd继续占据主导地位，占DDoS攻击的62%.TCPflood和ICMP攻击也仍然很流行,分别占总数的16%和12%0所有其他DDoS攻击类型，包括SYN、SYN+ACKFlood和RSTFlood,合计仅占10%。虽然一些攻击者可能会使用这些更夏杂的方法，但大多数攻击者仍然专注于提供大量数据包来摧毁服务器。TypesofDDoSattacksTCPflood.UDPflood1ICMP,12%Other,10%图4DDoS攻击类型1.4 攻击源分布攻击源的全球传播表明了网络威胁的无国界性质，攻击者可以跨越国界进行操作。其中美国位居第一，占53.4%。德国（26%）、英国（25.8%）、荷兰（24.8%）、法国（23.9%）位列前5。Sourceoftheattack图5攻击源地理位置占比DDoS攻击源的地理分布为制定有针对性的防御策略，以及制定旨在打击网络犯罪的国际政策提供了重要信息。然而，由于使用【P欺骗等技术以及分布式偎尸网络的参与，确定攻击者的真实位置具有一定难度。1.5 目标行业与2022年游戏行业占据第一不同的是，2023年，金融机构经历了近30%的攻击活动，排在第一。但互联网依然是DDoS攻击的重灾区，占所有DDOS攻击的22.2%。其他成为DDoS攻击目标的行业包括医疗保健(14.2%)、政府(11.5%)、运输和物流(8.64%)以及游戏(3.09%)oDistributionofaffectedindustriesOthef.W.37%(M11W.109%fimce.30K图6受影响行业占比分布022023年国内DDOS攻击情况2 .2023年国内DDoS攻击情况2.1 国内攻击情况2023年，攻击频次逐年增长，大流量攻击频次保持高位，2023年全年DDoS攻击次数同比2021年增长80%,以关键信息基础设施为目标的高烈度DDOS攻击已跃升成为国家级网络安全威胁之首。AM*4<rKIfigG收缶次冷gT<M11MIK图7国内攻击情况2.2 攻击目标地域分布密集型扫段攻击导致攻击目标地域发生聚集。2023年中国遭受DDOS攻击最多的地域为浙江，占全国33.17%,其次为广东、湖南、江苏、福建、山东、湖北、河南、陕西、四川。攻击H标中国大砧地域分布图8攻击目标中国大Pft地域分布2.3 瞬时攻三一场有G0*江澳攻击舞量餐升后劣图9超百G瞬时泛洪攻Ji沂3代开T级瞬时泛洪攻击流域爬升越势(善9制能SH-:金图IoT爆照时泛洪攻击流Wfe开后势231。2320283"：2023年，从攻击时长来看，短时攻击依然常见。86%的攻击持续时间不到1小时，1-2分钟的攻击占全年攻击的23.44%。攻击者倾向于在短时间内，以极大的流量导致目标服务用户掉线、延时和抖动。从瞬时泛洪攻击速度来看，近几年瞬时泛洪攻击爬升速度持续攀升。瞬时泛洪攻击2秒流量即可爬升至近500G,10秒即可爬升至T级，大流量攻击爬升速度再创新高，挑战防御系统响应速度。2.4 扫段攻击图Il扫段攻击频次快速增长2023年H2扫段攻击频次激增，攻击手法持续演进，成为网络基础设施最大威胁。从扫段速率来看，低速扫段占比73.91%,低速扫段单IP流量低，挑战传统检测算法有效性；单个C段攻击持续时间占比中，扫段攻击多采用“短平快''战术5分钟的攻击占比43.26%,挑战防御系统响应速度；扫段攻击手法中，86.96%的扫段攻击采用混合攻击手法，防御困难；从扫段攻击类型分布来看，反射攻击提升带宽拥塞威胁，虚假源泛洪攻击加大防御难度。扫段攻击因威胁范围广，扫段攻击的频次、复杂度持续攀升，攻击者惯用“短平快”战术，导致检测难、引流难、防御难、防御成本高，己成为攻击网络基础设施的惯用手段。03快快网络DDOS态势观察3 .快快网络DDoS态势观察通过分析快快网络所保护的各个行业和地区的客户所经历的多个威胁检测，整体DDoS威胁呈上升趋势，且增长惊人。3.1 攻击情况2023年，快快网络共计成功防护58.4万起DDOS网络攻击，同比塔长151.7%。I月-3月DDOS网络攻击次数较低，6月份、8月份攻击次数最多，占全年22.7%。2023年，攻击流量峰值QI-Q2季度增至800Gbps,2023年Q3-Q4季度增至1600GbPS(1.6Tbps),越来越多的DDOS攻击开始使用僵尸网络，超过38%的DDOS攻击利用了感染假厂网络的设备。此外，与上一年相比，作为多向量攻击的烟幕弹/诱饵的DDoS攻击增加了28%.快快网络2023年攻击波盘终值图12快快网络2023年攻击流量峰值3.2 攻击类型UDP是迄今为止在大流量DDOS攻击中利用最多的协议。由于其无状态特性，UDP允许合法服务被滥用，通过反射和放大攻击向受害者发送大量未经请求的流量。TCPSYN和状态外数据包也被用于大容量攻击，但TCP协议通常作用是旨在耗尽设备和服务器上资源的攻击。在流量攻击中，使用最多的攻击向量是UDPfraginentfloo<i(43%),其次是UDPflood。9.2%)和TePilood(14.4%)o图13DDOS攻击类型3.3 攻击来源攻击源的全球传播表明了网络威胁的无国界性质，攻击者可以跨越国界进行操作。其中美国位居第一，占24%。印度尼西亚(17%)、荷兰(12%)、泰国(10%)、哥伦比亚(8%)、俄罗斯(8%)、乌克兰(5%)、墨西哥(3%)、德国(2%)和巴西(2%)位列前十，这说明全球面临着广泛的威胁。攻击来源图14攻击东海DDoS攻击源的地理分布为制定有针对性的防御策略，以及制定旨在打击网络犯罪的国际政策提供了重要信息。然而，由于使用IP欺骗等技术以及分布式僵尸网络的参与，确定攻击者的真实位置具有一定难度。3.4 攻击行业图15受影响行业占比分布游戏行业仍然是受影响最严重的行业，遭受了46%的攻击。金融行业位居第二，占22%o电信（18%）、基础设施服务行业（7%）和计算机软件公司（3%）也成为市点目标。攻击者对游戏和金融领域特别感兴趣，这些行业一般具有较好的经济收益和用户基础，同时凸显了在受打击最严重的行业中需要有针对性网络安全策略的必要性。04典型攻防对抗案例4 .典型攻防对抗案例4.1 接口攻防案例快快网络安全团队接到某数藏平台应急响应请求，平台存在流量访问异常，用户无法登录或无法在平台进行购买下单操作现象，导致客户资产流失和声誉受损。陟越该平台遭受有组织、有预谋的DDOS攻击，攻击目标主要是平台的APl接口，支付接口等，攻击者通过SYNF100d、ACKFkMxi、CC等多种类型攻击技术手段不断变换攻击形式。针对以上情况，快快网络提供以下解决方案：图16DDOS安全防护架构制署图1、建立完善的监测预警机制，部署使用快快网络DDoS安全防护产品。结合快快网络自研ADS系统，加持机器学习及特征处置联动能力，扩大攻击可能性的捕捉范围，实时检测阻断各类DDOS攻击，并启动应急预案及时刻攻击行为进行防护，为客户成功抵御125G的DDoS攻击及百万级CC攻击。2、快快网络安全专家与该公司深度沟通配合和优化。定制CC防护策略与智能防刷策略，实时检测并拦截攻击，终端用户无感知。4.2 大流攻防案例某知名游戏公司在其运营期间遭受了大型DDOS流量攻击，导致游戏玩家在游玩过程中频繁遇到掉线、延迟、卡顿等问题，网络波动严重，严重影响了玩家的游戏体验。不仅如此，长时间的网络不稳定还可能导致玩家数据丢失、账号被盗等更严重的后果。的越，DDOS流量攻击规模高达1.6T,攻击者使用了ACK、PUSH、RESET和SYN洪水攻击向量的组合。面对如此大规模复杂攻击时,快快网络安全团队快速响应，为其定制相应的DDoS防护解决方案，提供全方位保护。针对以上情况，快快网络提供以下解决方案：G一管，域笈CNAME记.eY站j三UWV三miSAMlftP万QpSa隔'WKDNSftnmft日定义总/黔.用Q1.ouIDNS图17游戏厩架构部狎图1、提供游戏盾SDK产品。通过SDK接入到客户的游戏APP中，采用分布式高防御节点作为防御网关，抵御大流量DDoS攻击,可牵引至云堤清洗防御更大攻击。SDK端与安全网关建立加密通信隧道，仅放行经过SDK和游戏安全网关鉴权的流量，彻底解决TCP协议层的CC攻击。在CC攻击期间，CC流量直接被防御网关拦截，未透到客户的源服务器，查看防御网关节点CPU使用率为25-30%,并未达到警戒线60%。CC新建连接并发量达到30W时，无玩家反馈异常。2、基于SDK的网络链路诊断功能，智能选取优质网络传输路线，保证游戏时延最低，并创建断线重连机制，哪怕玩家本地4Gw市网络异常，也不会导致游戏掉线。052024年可操作性策略5. 2024年可操作性策略5.1 2023年总结从所有指标来看，情况正在迅速恶化.自2020年初以来，全球DDoS攻击增加了130%。.每3秒就会发生一次新的网络攻击。.全球每天大约发生34153次DDOS攻击。.DDoS攻击对任何企业来说都是昂贵的，但未受保护的企业每次攻击的平均成本为20万美元。.即使是小型企业也受到了严重的打击均一次DDoS攻击的恢复成本为12万美元。全球数字化程度的不断提高、政治动荡以及居家工作的广泛采用，都导致了一个容易受到DDoS攻击的环境。随着攻击数量和频率的增加，它们的规模、其杂程度以及最终的成功程度也在增加。当DDoS攻击成功时，会给企业带来时间、金钱、客户和声誉损失。5.2 2024年DDoS攻击趋势趋势一：DDoS攻击持续增长通过近几年从快快网络监测中心记录的大量DDoS攻击事件中可以发现：针对关键基础设施的攻击呈现数字化发展的特点，以DDoS为代表的网络攻击预计会与口俱增，同时新型DDoS攻击从开始到攻击顶峰的时间已大幅缩短。攻击流量在短时间内达到峰值，而不是持续指数级增长。由于非常快地投放攻击载荷，这种“增强版攻击”会在常规保护措施发挥功效前就已导致网络系统瘫痪。这个趋势仍会持续，这类迅速爆发的DDoS攻击会越来越多。同时,DDoS攻击继续会有更大的体量（每秒比特数和每秒数据包数）、持续时间也更长，这主要是由于物联网设备数量激增，加上网络犯罪分子可以调用托管云上更多不安全的计算能力和容量。趋势二，恶意生成式Al将进一步加剧攻防不对等2024年，恶意生成式Al或将引发大规模网络攻击活动。生成式Al全面降低网络攻击的门槛，并更广泛地用于提高钓鱼邮件和社会工程攻击的专业化水平，使得勒索软件更容易进到企业。同时，生成式AI的攻击内容更加难以被辨别，尤其是借助BotFl动化攻击手段，让攻击者可以更快速、准确地扫描漏洞或对网络发起攻击，大幅增加网络攻击的波及面和有效性。这给原本处于攻防弱势的防护方以更大的管理和技术挑战，安全企业、厂商、服务商需要更多的创新、共享、协同，来应对这一巨大挑战。趋势三：构建整体全面的网络安全韧性将是企业重要战略之一随着地缘政治、新冠疫情、技术变革等诸多因素的演变，“韧性”成为高频词，出现在各种复杂问题解决方案中。网络安全韧性是指企业组织在面临包括网络安全攻击、服务中断等在内的各种网络安全事件不利影响的局面下，能够继续企业业务运营并保持增长的能力。换句话而言，网络安全韧性是数字连续性在网络安全方面的具体展现，是属于企业整体数字连续性（以及业务连续性）的其中一部分。塑造一个既能够有效抵御风险，又可以实现快速恢复，具有更强韧性的网络安全架构事关重大。企业组织应该在战略层面上思考如何加强其关键系统、IT基础设施和数据中心的数字连续性，以便在面对业务中断、网络安全威胁攻击、人为错误等不利局面时保持韧性。5.3 防护策略如果说2023年是企业、政府机构和关键公共基础设施被高度复杂的网络攻击无情锁定的一年，那么可以肯定的是，网络犯罪分子将在2024年设定更高的目标。可被感染并变成僵尸网络的数字设备的激增，EMEA和APAC地区数字基础设施的快速普及，以及欧洲和中东地区持续的地缘政治紧张局势，将继续营造一个混乱的环境，这对有动机的网络罪犯来说无疑是有利的。在这种情况卜.，快快网络建议企业采取以卜三个可行策略：积极准备DDOS防护态势发动DDoS攻击的成本相对较低，特别是随着DDOS服务的普及,这使它们成为恶意行为者手中强有力的网络犯罪武器。虽然无法阻止DDoS攻击，但采取以下步骤可以最大限度地保护组织的数字资产免受此类攻击：.检查组织所有的关健子网和IP空间，确保具备适当的缓解控制措施。.以“始终在线”的防护态势部署DDOS安全控制措施作为第一层防御，以避免紧急集成场景，并减轻事件响应者的负担。.主动指定一个危机响应小组，并确保运行手册和事件响应计划是最新的。当真的受到攻击时，不至于感到猝不及防。.使用混合保护平台备份本地DDOS保护，该平台可防止使本地设备过我的攻击。.通过网络云防火墙设置主动安全控制，将组织的安全态势扩展到基本DDoS保护之外。.最后，利用知名和久经考验的DDoS团队的专业知识和经验来减轻来自关键内部资源的压力。三>DNS三B设施DNS基础设施重新成为DDoS攻击的主要目标。如果组织的DNS出现故障，那么在线状态也会出现故障。攻击可能并不总是以使DNS名称服务器瘫痪为目标。相反地，它可能只是希望实现资源耗尽，并降低全局服务器负载平衡性能，从而致使合法请求受到账响。在某些情况下，保护DNS基础架构的安全性和性能可能具有挑战性。很多时候，传统的DNS防火墙不能提供足够的保护。最优的解决方案应该走具备以下特征的混合平台：.保护本地和云中的DNS区域免受各种攻击，包括DNS水刑(DNSwatertorture)、DNS洪水等：.直观、轻松地管理策略和IP允许列表，并实时提供可操作的分析，帮助组织采取主动的安全态势；.通过使用高度分布式的物理访问点(POinI-Of-PreSenee)基础设施来从最近的位置响应用户，从而提高DNS性能。结语在当前互联网形势下，DDOS攻击呈现出攻击威力逐渐增强、攻击频率不断上升、攻击方式口趋多样化等趋势，在可预见的未来，DDOS依然是流行的网络犯罪手段，为保障网络环境的安全性,急需采用有效的防御策略，不断加强网络安全意识教育，提高设备管理和容灾能力，以应对日益增长的DDoS攻击威胁。