华为网络安全官网2019年全球DDoS攻击 现状与趋势分析报告 未然实验室2019年全球DDoS攻击现状与趋势分析报告目录 目录 关键信息摘要 02 1.1 专家观点 02 1.2 DDoS攻击态势 02 1.3 DDoS僵尸网络态势 031.4 DDoS攻击源态势 041.5 典型攻击事件 04 现状与趋势 05 2.1 DDoS攻击态势 05 2.1.1 攻击强度 05 2.1.2 攻击频率 08 2.1.3 攻击流量爬坡速度 08 2.1.4 攻击复杂度 09 2.1.5 攻击发生时段 16 2.1.6 攻击持续时间 17 2.1.7 攻击持久性 18 2.1.8 攻击行业分布 18 2.1.9 攻击资源共享性 18 2.2 DDoS僵尸网络态势 19 2.2.1 僵尸家族分布 19 2.2.2 C2地域分布 212.2.3 C2运营商分布 222.2.4 C2存活时间分布 22 2.3 DDoS攻击源态势 23 2.3.1 肉鸡地域分布 23 2.3.2 肉鸡运营商分布 24 2.3.3 肉鸡类型分析 25 2.3.4 UDP反射源分布 26 2.4 典型攻击事件 27 2.4.1 大规模移动终端攻击 27 2.4.2 史上最大扫段攻击 27 2.4.3 单IP持续时间最长的大流量“Hit and Run”攻击 28 2.5 专家观点 28 数据来源 30 3.1 数据来源 30 3.2 意见反馈 30 01 2019年全球DDoS攻击现状与趋势分析报告观点1： 5G时代，万物互联，IoT终端数量呈指数增长，海量IoT僵尸形成的慢速攻击使传统防御技术失效，这 就要求防御系统的检测技术更加智能和高效。采用AI 技术实现多维度检测算法的芯片级加速是DDoS 防御技术发展的新方向。 观点2： 海量智能移动终端成为新型 DDoS僵尸网络快速发展的温床，攻击源为移动网络用户公共地址池 IP，其 具有数量大、性能强、带宽高和实时在线的特点，对DDoS防御技术带来全新的挑战，也对移动核心 网提供可信服务提出更高要求。 观点3： 行业内恶性竞争导致扫段攻击成常态，防御不及时极易造成整网瘫痪，攻击频发的高防节点需要选择 具备多IP高并发防护能力的防御系统，同时采用Inline模式才能实时保障网络可用性。 观点4： T级攻击时代已经到来，混合攻击占主流，单点防御失效，分层防御或者专业的DDoS防护服务成为 刚需。 观点5： 大流量攻击呈“Fast Flooding ”1的特点，要求防御系统“零”延迟。1.1 专家观点 关键发现1 ：T级攻击时代到来，超500Gbps攻击异常活跃；攻击包速率呈大幅上升趋势，防御成本明显提升。 »2018年华为监测到超800Gbps攻击3 次，2019年 10次：1月份1次，4月份2次，5月份7次。 »2018年华为监测到超 500Gbps攻击 94次， 2019年 1468次，其中 1232次发生在 Q2；且 Q2发生 2次 史上最大SYN Flood攻击，4 月份发生峰值包速率最大攻击879Gbps/887Mpps， 5月份发生峰值带 宽最大攻击1.039Tbps/805Mpps。 »相比2018 年，2019 年最大及平均攻击峰值包速率均大幅提升，主要源于超大速率组合型SYN Flood频发。2019年最大攻击峰值包速率是887Mpps，而2018年是653Mpps； 2019年平均攻 击峰值包速率是22Mpps，而2018年是9Mpps； 2019年和2018年平均攻击峰值带宽一致，均为 24Gbps。 »2019年DDoS攻击两极分化明显，聚集在10Gbps以下和超100Gbps两个流量带宽区间。主要源于 2019年慢速会话攻击及扫段攻击频繁，同时超大流量SYN Flood及 UDP反射攻击异常活跃。相比 2018年，2019年大流量攻击占比明显提升，2018年超100Gbps攻击全年平均占比6%，而2019年 高达25%。其中Q2尤为突出，超500Gbps攻击占比高达1.98%。1.2 DDoS攻击态势 01 关键信息摘要关键信息摘要 02 2019年全球DDoS攻击现状与趋势分析报告关键信息摘要 关键发现2 ： DDoS攻击频率与比特币行情密切相关。6-10 月比特币价格上涨，僵尸网络从风险高且收益相对 小的DDoS攻击转向收益高的挖矿，DDoS攻击频率明显降低。 关键发现3 ：大流量攻击呈现明显的“Fast Flooding”特点，要求防御系统必须具备毫秒级攻击响应能力。 »大流量攻击峰值带宽爬坡速度大于47Gbps/秒。 »爬坡速度快的攻击一般采用组合型SYN Flood，源于超大流量SYN Flood主要由性能高且自动化程 度高的攻击平台实施。 关键发现4 ： 小报文SYN Flood大幅提升攻击速率，多种新型UDP 反射被挖掘，攻击者惯用多种攻击混合且叠 加分片、脉冲、扫段等攻击手法，扩大威胁范围，提升防御成本。 »SYN Flood、 UDP反射、SYNACK反射、UDP分片和UDP Flood是 Top5攻击类型，占比分别为 31.36%、 25.05%、 10.13%、 8.5%和 6.83%。 »组合型SYN Flood因同时具备威胁网络带宽和会话的双重功效成为攻击首选，且随着攻击平台性 能提升，2019年小报文SYN Flood 占比高达53%，攻击包速率大幅提升，直接挑战防御系统小包 处理性能。 »UDP反射放大因攻击成本低，是攻击网络带宽常用的攻击手法；Top5 UDP 反射攻击依次是 SSDP、 LDAP、 DNS、 Memcached 和NTP；越来越多 UDP反射攻击被挖掘，且反射攻击趋于多种 形态混合。 2019年华为未然监测到6 种新型 UDP反射攻击；攻击者最多使用5 种UDP反射形成混 合攻击。SYNACK反射攻击直接挑战防御系统的会话防御能力，尤其是使用SYNACK反射结合扫段攻击甚至构造同一网段内的反射，形成网络风暴。 »2019年 UDP分片攻击占比大幅提升，源于攻击者频繁使用DNS和 LDAP反射诱发大量超大的回应报 文，报文超过网络MTU引发分片，加剧了具有分片重组功能的网络设备传输压力，提升攻击效果。 »59%以上的攻击采用混合攻击手法，以期同时攻击网络带宽、会话资源及服务器处理性能，加大 攻击威胁，提升防御成本。 »大流量攻击惯用组合型SYN Flood和 UDP反射。超300Gbps的攻击中，65%采用组合型SYN Flood， 19%采用SSDP反射，9%采用混合型攻击，6%采用单一的Large SYN Flood。 »攻击者惯用持续性脉冲攻击，兼具“ Hit and Run ” 2和“Fast Flooding ”的攻击特点，挑战防御 系统响应速度。 »扫段攻击3从攻击机房发展到攻击链路，攻击威胁不断升级。 关键发现5 ： 攻击具有很强的持久性特点，受攻击IP会持续遭受攻击，2019年华为未然监测到遭受10次以上 攻击的IP占比达24%。 关键发现6 ： 游戏、电商、政府及公共事业是Top3攻击目标，Top1游戏行业攻击占比高达58.97%，恶意竞争 依然是主要攻击动机。 关键发现7 ： 攻击服务化的特点使得攻击资源具有明显的共享性，同一攻击手法会在不同地域数据中心交替出现。 关键发现1 ： IoT僵尸家族Mirai 、Gafgyt和 Linux僵尸家族Xor 、BillGates最活跃；IoT 僵尸中最常见的设备类 型依次是路由器、无线网关、摄像头、打印机、工控设备及DVR 。 关键发现2 ： C2 4国家分布Top5分别是美国、荷兰、德国、法国和中国；中国大陆Top3是浙江、四川和福建。 关键发现3 ：C2运营商分布Top3分别是美国Digital Ocean、法国OVH 和荷兰KV Solutions B.V. 关键发现4 ：为了躲避安全监测，C2更新频繁，42%的存活时间不超过2 周。1.3 DDoS僵尸网络态势 03 2019年全球DDoS攻击现状与趋势分析报告关键信息摘要 关键发现1 ： 中国、美国、越南、印度、印度尼西亚成为Top5肉鸡分布国家；中国大陆Top3肉鸡分布地域是 广东、江苏和浙江。 关键发现2 ： 国内三大运营商肉鸡分布，电信第一，因移动终端肉鸡激增，移动肉鸡分布占比从2019 年2月份 由第三快速上升至第二；海外运营商肉鸡分布 Top3分别是越南 VNPT、印度尼西亚 Telkom、越 南Viettel。 关键发现3 ： DDoS肉鸡主要由4 类组成，IoT 终端因其安全性差且数量庞大，肉鸡数量最多，占比43%；其次 是Linux操作系统，占比33%；第三是Windows操作系统，占比16%；第四是移动终端肉鸡，占 比8%。 2019年，百万级移动终端因安装恶意APP成为肉鸡。移动终端肉鸡中，Android系统和 iOS系统分别占比79%和 21%。 关键发现4 ： Top5 UDP反射攻击SSDP、 LDAP、 DNS、 Memcached和 NTP反射源分布全球100多个国家和地 区以及多个知名运营商网络。 1.4 DDoS攻击源态势 大规模移动终端攻击：2019年 3月中旬的移动终端攻击事件中，百万级移动终端参与攻击，峰值QPS达到 1000万 +，开启移动终端攻击新纪元。 史上最大扫段攻击：2019年 5月初发生持续时间长达10小时的T 级扫段攻击，堪称网络攻击核武器。 单IP持续时间最长的“Hit and Run ”攻击：2019 年Q2发生针对单IP 持续52天的“Hit and Ru