2020DDoS攻擊態(tài)勢報告|單一團(tuán)伙的攻擊總流量最高達(dá)到3624TB

2020年，新冠疫情給全球帶來了巨大的沖擊和影響，國際關(guān)系風(fēng)譎云詭。隨著5G技術(shù)的不斷發(fā)展，我們深刻感受到各方勢力在網(wǎng)絡(luò)空間中的一次次兇險博弈。國際大事件往往會給黑客創(chuàng)造網(wǎng)絡(luò)攻擊的時機，DDoS攻擊時間、手法、目的和偏好也越來越復(fù)雜。為了跟蹤和呈現(xiàn)DDoS攻擊的全局態(tài)勢，綠盟科技和中國電信云堤聯(lián)合發(fā)布了《2020DDoS攻擊態(tài)勢報告》。

本報告從攻擊次數(shù)、流量、攻擊類型、時間、地域、行業(yè)等多個維度，以及從攻擊資源、團(tuán)伙性行為、物聯(lián)網(wǎng)和僵尸網(wǎng)絡(luò)四個視角，力求全面剖析2020年的DDoS的變化和演進(jìn)，以便拋磚引玉，幫助各組織/機構(gòu)持續(xù)改善自身網(wǎng)絡(luò)安全防御體系及技術(shù)。

觀點一：2020年DDoS攻擊次數(shù)和總流量下降，國家主管部門開展的“凈網(wǎng)2020”專項治理效果明顯

2020年，綠盟科技監(jiān)控到DDoS攻擊次數(shù)為15.25萬次，攻擊總流量為38.65萬TB，與2019年同期相比，攻擊次數(shù)減少了16.16%，攻擊總流量下降了19.67%。

觀點二：受新冠疫情爆發(fā)的影響，國內(nèi)二月份的DDoS數(shù)量激增，攻擊勢力主要來自境外，美國是最大境外攻擊來源國

疫情期間遭受的網(wǎng)絡(luò)攻擊有增無減。特別是二月份DDoS數(shù)量激增。

1-4月份的攻擊中，74.21%的攻擊都來自國外。美國是最大境外攻擊來源國，攻擊占比24%。

觀點三：5G環(huán)境下的DDoS攻擊帶寬增加，平均攻擊峰值提升，中小型攻擊替代小型攻擊占主導(dǎo)地位。

從歷史趨勢變化來看，平均攻擊峰值自2018下半年起已經(jīng)進(jìn)入了新的梯度。2020年，18.16%的攻擊峰值在5-10Gbps之間，在所有區(qū)間中占比最高。相比2019年攻擊峰值向1-5G單側(cè)分化，2020年的攻擊峰值在5-50G的各區(qū)間分布趨于平均，5Gbps以下的小規(guī)模攻擊比例有所減少。

觀點四：DDoS反射型攻擊數(shù)量和反射源數(shù)量占比增加，新型反射攻擊層出不窮，反射攻擊防護(hù)需要及時更新

反射類型的攻擊次數(shù)占全部攻擊的34%。相比去年增長明顯。從攻擊源類型來看，反射源占比增加，2020年中反射源數(shù)量占所有攻擊源的14%。

觀點五：新型攻擊方法不斷發(fā)現(xiàn)，DDoS防御技術(shù)需要及時更新

DNS協(xié)議安全漏洞“NXNSAttack”可導(dǎo)致大型DDoS攻擊

2020年5月，以色列研究人員報告了一個新的DNS服務(wù)器漏洞，被稱為"NXNSAttack"。攻擊者可以利用這個漏洞，同時部署惡意的DNS服務(wù)器，可以對目標(biāo)DNS服務(wù)器發(fā)起攻擊，最大能導(dǎo)致流量增加1620倍。

RangeAmp攻擊

2020年5月，中國研究人員發(fā)布了另外一種新型的DDoS攻擊放大方法(RangeAmp)，利用HTTP頭部的Range字段發(fā)起惡意請求，可使CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))和CDN，或者CDN和目標(biāo)服務(wù)器的流量最高放大幾千甚至上萬倍。

新型HTTP2 DDoS攻擊預(yù)警，CC2.0時代即將到來

隨著HTTP2.0的逐步應(yīng)用，新協(xié)議帶來了新的HTTP攻擊威脅。隨著HTTP2協(xié)議漏洞接二連三爆出，越來越多研究指出，不同于過去的CC攻擊，基于HTTP2的新型CC攻擊、慢速攻擊有更大的危害，對業(yè)務(wù)服務(wù)器性能消耗有更明顯作用。

這些新型的攻擊方法，需要DDoS技術(shù)相關(guān)的研發(fā)人員和運維人員，不斷更新已有技術(shù)和策略，來應(yīng)對這些新型攻擊。

觀點六：攻擊平均時長縮短，攻擊成本不斷下降

DDoS攻擊的平均時長為42分鐘，相比去年下降了21%。攻擊時長在30分鐘以內(nèi)的DDoS攻擊占了全部攻擊的79.9%，與2019年的75%相比提升了6%。

觀點七：國內(nèi)醫(yī)療、教育、政府行業(yè)疫情期間遭受DDoS攻擊次數(shù)增長顯著

醫(yī)療行業(yè)在疫情期間遭受的DDoS攻擊有增無減。三月和四月為攻擊最高峰，之后逐月遞減。7月之后的DDoS趨勢和去年基本保持一致，且稍稍減少。除了醫(yī)療行業(yè)，政府和教育行業(yè)的DDoS態(tài)勢也有相同趨勢。稍有不同的是，在下半年，DDoS下降的趨勢更加明顯。

觀點八：單一團(tuán)伙的攻擊總流量最高達(dá)到3624TB，這個最大攻擊總流量是去年的兩倍以上

2020年共發(fā)現(xiàn)45個活躍團(tuán)伙，大部分團(tuán)伙規(guī)模都在200到1萬之間，規(guī)模最大的團(tuán)伙成員高達(dá)4.9萬個。單一團(tuán)伙的攻擊總流量最高達(dá)到3624TB，這個最大攻擊總流量是去年的兩倍以上。團(tuán)伙攻擊資源主要為IDC和物聯(lián)網(wǎng)設(shè)備。

觀點九：我們檢測到的Mirai和Gafgyt仍舊是當(dāng)今世界范圍內(nèi)影響最大的兩個Linux/IoT DDoS家族

2020年，伏影實驗室追蹤到這兩個家族的C&C地址就超過了1500個，活躍C&C占到94%，平均每日就會新部署約4~5個C&C。這些C&C攻擊了超過22萬個IP和域名，平均每月700多個目標(biāo)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）