2018年上半年 DDoS 攻防仍如火如荼發展，以 IoT 裝置為反射點的 SSDP 反射放大尚未平息，Memcached DDoS 又異軍突起，以最高可達5萬的反射放大倍數、峰值可達1.7 Tbps 的攻擊流量成為安全界關注的新焦點[1]。DDoS 這一網際網路公敵，在各種防禦裝置圍追堵截的情況下，攻擊者夜以繼日地鑽研對抗方法、研究新的攻擊方式；而且往平臺化、自動化的方向發展，不斷增強攻擊能力。騰訊安全雲鼎實驗室主要從2018年上半年 DDoS 攻擊情況的全域性統計、DDoS 黑色產業鏈條中的人員分工與自動化操作演進兩個方面進行分析闡述。

此外，就目前企業使用者面臨的嚴峻的 DDoS 攻擊威脅，騰訊雲也提出了大禹 GDS 全球一體化 DDoS 防護體系，為使用者的業務保駕護航。

一、全域性統計分析

1. 2013~2018年 DDoS 流量峰值情況

DDoS 攻擊流量峰值每年都不斷地被超越，上半年的一起Memcached DDoS攻擊，其峰值1.7 Tbps 達到了一個新的高度。雖然已經關閉了大量的 Memcached 的UDP 埠，但其5萬的反射放大倍數，仍使攻擊者可利用少量未關停 UDP 埠的 Memcached 反射點，打出大流量攻擊。所以在短短的三個月裡，Memcached DDoS 已成為反射放大的一股主要力量。

（2013~2018年 DDoS 攻擊流量峰值統計）

2. DDoS攻擊行業分類情況

隨著各行各業的網際網路化，DDoS 的攻擊面也越來越多，這裡我們列出了14種主要行業。遊戲行業因其日流水量最大、變現快，一直站在利益的風口浪尖上，當仁不讓地成為 DDoS 首選的攻擊目標，也是上半年各行業中遭受攻擊最多的行業。值得關注的是在醫療、物聯網、教育等傳統行業網際網路化後，也遭受到了不同程度的攻擊，且呈上升的趨勢。

在遊戲行業當中，手機遊戲已超過了 PC 客戶端遊戲成為了 DDoS 攻擊的主要目標。H5 遊戲的崛起，也成為了 DDoS 的關注點，佔整體攻擊的1.4%。這裡我們首次把遊戲的第三方服務歸結到遊戲中，遊戲的飛速發展催生了大量的第三方服務商，包括但不限於遊戲虛擬財產買賣平臺、資料分析、電競、美術/音樂外包、遊戲雲服務、遊戲資訊等各個環節。

（2018上半年 DDoS 攻擊行業分類情況）

3. DDoS 攻擊的型別佔比統計

在攻擊型別中，反射放大佔比最多，約為55.8%。 Memcached 作為今年三月以來的新興反射放大力量，迅速被 DDoS 黑產界利用，其在整體的佔比中也相當大。反射放大佔比如此之多的一個原因是 DDoS 黑產的自動平臺化，即無需人工干預，完全自動流程可完成攻擊的所有操作。

SYN Flood 排名第二，一直是 DDoS 的主要攻擊手法。隨著 DDoS 黑產的平臺化，SYN Flood 的載體也發生了改變，由海量的肉雞漸漸轉移到了發包機上（以偽造源 IP 的 SYN Flood 為主）。

HTTP Flood 作為7層攻擊的主要方式，因為要建立完整的 TCP 連線，不能夠偽造源 IP，所以還是以肉雞側發動攻擊為主。但云鼎實驗室監測發現，HTTP Flood 也開始向代理伺服器和發包機發展。在網際網路上獲取海量的代理伺服器相比肉雞的抓取容易很多，以代理伺服器頻繁地變換真實的IP，再加上互動的模擬，可以使 HTTP Flood 很難被發現。而發包機的方式，雖不能變換 IP ，但可以頻繁變換 UserAgent 的內容，以突破針對 HTTP Flood 的防禦。

（2018上半年 DDoS 攻擊的型別統計）

下圖給出了幾種反射放大的反射源地域分佈情況。從抽樣資料統計可見，LDAP、NTP、Memcached 為主的反射源 Top 10的國家重合度很高，以美國、中國、歐洲國家為主。SSDP 反射源因 IoT 裝置的問題，導致其地域分佈有所不同。

（反射源地域分佈抽樣統計）

4. DDoS 所對應的C2地域分佈

近年來國內的網際網路安全措施持續加強。通過監控發現，在國內的C2漸漸有外遷的現象。還有一些持有高效能肉雞的黑客，看到了虛擬貨幣的逐利遠遠大於 DDoS攻擊，將一部分高效能肉雞轉去挖礦。鑑於以上原因針對用於 DDoS 的C2監控難度越來越大。

（C2伺服器所在地域情況）

5. 家族情況

通過對攻擊家族的監控，主要以 Xorddos、Billgates、Mayday、Dofloo、Nitol、Darkshell 等家族為主。Xorddos 是發起攻擊最多的家族，甚至每天多達上萬次的攻擊，攻擊型別多以 SYN Flood 為主、其他攻擊型別為輔的組合攻擊。Nitol 家族是發起 HTTP Flood 攻擊最多的家族，還會輸出 SYN Flood、ICMP Flood、TCP Flood 等攻擊。以上家族攻擊的統計中，針對各個行業的攻擊都有涉獵，遊戲行業無疑是攻擊的首選。

6. 被攻擊IP的地域情況

DDoS 攻擊目標按地域分佈統計中，國外受攻擊最多的國家是美國，其次是韓國、歐洲國家為主，DDoS 攻擊的主要目標還是聚集在網際網路發達的國家中。 

（2018上半年國外遭受 DDoS 攻擊地域分佈）

在國內各省的統計來看，受到 DDoS 攻擊較多的省份是長三角、珠三角和京津片區，即中國的網際網路發達省份，其中以江浙兩省最多。

（2018上半年國內遭受 DDoS 攻擊地域分佈）

7. 每月百G以上攻擊流量情況

以每月的超過百Gbps 的攻擊次數統計來看，百Gbps 流量分層佔比相差不多。100-200 Gbps 佔比最大，基本都在75%以上，而超過300 Gbps 的流量攻擊次數較少。

（2018上半年 DDoS 每月超過百G攻擊佔比情況）

8. 攻擊流量頻寬分佈情況

在攻擊流量的分層統計上，1-5 G 的攻擊次數最多，佔比約38%。通過統計可得到，大多數的攻擊均為100 Gbps 以下的流量攻擊，超過百G 的攻擊累計佔總攻擊次數不到5%。整體的攻擊流量平均峰值約在5.2 Gbps 左右。

（2018上半年 DDoS 分層流量的攻擊次數統計）

9.  攻擊時長分佈佔比情況

在攻擊時長來看，佔比最多是1 min 以下的攻擊，約佔38.7%。其主要攻擊方式是瞬時攻擊，即以極大的流量直接癱瘓掉攻擊的服務，導致大量使用者掉線、延遲、抖動等。5-10 min 也佔相當大比例，約28.7%。抽樣統計得出，平均攻擊時長約1 h，單次攻擊最長時長約54天。

（2018上半年 DDoS 發起攻擊的時長佔比統計）

二、DDoS 黑色產業鏈條演進

我們從黑產中的人員分工與自動化操作兩個方面進行 DDoS 發展的闡述。

1.傳統 DDoS 攻擊

早期的 DDoS 一般是黑客一個人的遊戲，從工具開發、bot 傳播、接單、攻擊等都獨自完成。隨著網際網路經濟的飛速發展，網路攻擊獲利越來越多，催生了DDoS 攻擊的大量需求，例如競品的攻擊、DDoS 勒索等。高額的利益便會催生對應工作的精細化分工，DDoS 的黑產也不例外。我們針對傳統 DDoS 攻擊的專業化人員分工進行分析：

發單人：也可以稱為金主，是 DDoS 攻擊後的直接獲利者，提出攻擊需求。

擔保商：也可以稱為中間人，是 DDoS 黑產中較出名的人物，在各個不同分工人員間做“信任”擔保，與交易環節的資金中轉工作。擔保商也會自己架設接發單平臺或即時通訊工具群等形式來擴大自己的知名度，帶來更多的 DDoS 攻擊業務。

接單人：也可以稱為攻擊手，通過操作 C2 伺服器或發包機直接發起 DDoS 攻擊。

流量商：通過擔保商或直接將國外購買的流量伺服器售賣給攻擊手。

肉雞商：手頭上擁有大量的肉雞資源，通過擔保商或直接將肉雞售賣/出租給攻擊手。

黑客軟體作者：開發 botnet 程式，反射放大程式等各種 DDoS 工具。

這樣的多種分工，使 DDoS 在技術難度上被拆解，技術門檻降低，部署更容易。同時給網際網路安全人員的分析與溯源帶來更大的困難。在分析中我們發現，有一些人員也可能同時擔當多個角色。

雖然這種比較早期的 DDoS 攻擊分工已十分成熟，但還是存在一定的不足之處：

1）成單難以保障：擔保商、接單人都具有不確定性，發單人付費後，可能會存在針對目標的攻擊沒有效果或根本沒有發起攻擊的情況，給發單人造成經濟損失。

2）響應週期較長：從發單人提出需求到真正達到攻擊效果，需經過發單人、擔保商（或其搭建的各種對接平臺/即時通訊工具群等）、接單人等幾個環節，時間上需要幾小時到幾天不等。

3）攻擊效果不能保證：攻擊手一般手動遠端操作 C2 伺服器或發包機針對目標伺服器進行攻擊，攻擊手所掌握的botnet 或發包機規模不同，攻擊的流量達不到保證。

（傳統DDoS的人員分工與攻擊流程）

2.目前 DDoS 攻擊

鑑於傳統 DDoS 攻擊的不足，促使了 DDoS 多個環節的自動化發展，頁端 DDoS 攻擊平臺便是發展的結果之一。其高度整合管理，在成單率、響應時長、攻擊效果等方面都得到了可行的解決。在人員分工上，有了新的發展：

擔保商淡出 DDoS 黑產圈，發單人可直接在頁端 DDoS 攻擊平臺下單、支付費用，且可以根據自己的攻擊目標的情況選擇攻擊方式與流量大小，保障了百分之百的成單率。

攻擊手已被自動化的攻擊平臺取代，不需要手動操作攻擊。從發起攻擊命令到真正開始攻擊，一般延時在10s 左右，再也不用等幾小時或幾天了。

發包機提供人替代了流量商角色，且完成發包機的程式部署、測試，最終給出發包機的攻擊型別、穩定流量、峰值流量等各種定量且穩定的攻擊能力。穩定的攻擊流量保障了最終的攻擊效果。

站長成為了頁端 DDoS 攻擊平臺的核心人員，進行平臺的綜合管理、部署、運維工作。例如：DDoS 攻擊套餐管理、註冊使用者（金主）管理、攻擊效果與流量穩定保障、後續的升級等。​

（頁端DDoS攻擊平臺的人員分工與自動化流程）

不同的頁端 DDoS 攻擊平臺也有不同的實現，但其操作流程、核心功能都很相似。下圖給出了其技術解讀：從此圖中可見，使用者註冊、套餐付費、攻擊發起等在使用者側都可以完成，不需要其他人員參與。對比傳統 DDoS 攻擊來看，已完成了全自動的無人值守攻擊方式。在圖中呼叫傳統肉雞的攻擊形式很少，主要是呼叫發包機的攻擊方式。發包機中主要配置的是反射放大的各種程式和其對應的反射源列表，偶爾會有偽造源 IP 的 SYN Flood、動態變化 UserAgent 的 HTTP Flood  (如 goldeneye 工具)。

（頁端 DDoS 攻擊平臺）

三、總結與趨勢展望

綜上所述，上半年的 DDoS 攻擊無論從流量的角度還是從次數的角度來看，都上升了一個新的高度。

DDoS 黑色產業鏈的人員與技術的演進降低了整體 DDoS 入門的門檻，在溯源監控中發現，有的 DDoS 黑產團伙平均年齡 20 歲左右，甚至有未滿 16 週歲的學生也是其中的一員。

在 DDoS 的整體防禦上，建議使用者採用具備大頻寬儲備和 BGP 資源的雲服務商防禦方案。如騰訊雲大禹擁有30線 BGP IP 接入資源，豐富的場景化防護方案。

隨著智慧 AI 裝置與物聯網的飛速發展， DDoS 的新宿主平臺不斷出現，DDoS 攻防戰會越來越激烈。可以預期，2018年下半年 DDoS 會呈現出多樣化的發展：

1）類似於 Memcached DDoS 的新反射放大方式會不斷的被曝光與利用；

2）智慧裝置的發展會催生出新平臺下的 botnet 產生，且這些平臺基本防護措施薄弱，更成了 DDoS 的溫床；

3）隨著打擊 DDoS 力度的不斷加大， P2P 式殭屍網路或半去中心化變種方式有望重回風口，讓 DDoS 難於監控與溯源分析；

4）基於暗網的 DDoS 平臺將逐漸替代目前流行的頁端 DDoS 攻擊平臺，使其平臺的存活時間更長。 

引文：

[1] 1.7 Tbps 流量： https://asert.arbornetworks.com/netscout-arbor-confirms-1-7-tbps-ddos-attack-terabit-attack-era-upon-us/

報告下載：

《2018上半年網際網路 DDoS 攻擊趨勢分析》PDF 下載連結：https://share.weiyun.com/5rgeZ1G

雲鼎實驗室主要關注騰訊雲安全體系建設，專注於雲上網路環境的攻防研究和安全運營，以及基於機器學習等前沿技術理念打造雲安全產品。

[推薦]看雪企服平臺，提供安全分析、定製專案開發、APP等級保護、滲透測試等安全服務！