綠盟科技攜手中國電信·雲堤聯合釋出《2019年DDoS攻擊態勢報告》

在網路安全事件頻發，破壞威力越來越大的當下，如何及早洞察DDoS趨勢，瞭解其攻擊手法並做出有效應對，成為人們的焦點。綠盟科技攜手中國電信·雲堤聯合釋出《2019年DDoS攻擊態勢報告》，針對當前高發的DDoS攻擊態勢進行了總結和盤點。

2019 vs 2018

1. 攻擊次數增加了30.2%，攻擊總流量下降了26.4%。

2. 1-5Gbps小規模攻擊顯著增加，300Gbps 以上的大規模攻擊小幅增加。
3. 平均峰值小幅增長，達 42.9Gbps，中大規模攻擊的技術成熟度在逐年提高。
4. UDP Flood、SYN Flood 和 ACK Flood 依然是 DDoS 的主要攻擊手法，混合攻擊在超大規模攻擊中發揮重要作用。
5. 物聯網裝置的 DDoS 攻擊參與度逐年提升。
6. IoT 家族的漏洞利用載荷組成與 2018 年類似，主要攻擊物聯網智慧裝置，同時攻擊手段增多，在攻擊鏈上的角色出現了分工態勢。

重要觀點

1. 成熟：攻擊者的技術成熟度在穩步提升，攻擊者在 DDoS 外存在更多獲利選擇。

2. 混合：12.5% 的 DDoS 攻擊事件使用了多種攻擊手法，在 300Gbps 以上的超大規模攻擊中逾 3成攻擊都採用了混合攻擊模式，對清洗裝置效能和清洗線路的穩定，以及防護運營提出了更大的挑戰。
3. 慣犯：2019 年全年 DDoS 慣犯（攻擊次數大於 20 次）達 130 萬，其中 7% 的慣犯發起了 78%的攻擊事件，慣犯行為值得持續關注。
4. 團伙：全年發現DDoS團伙60個，攻擊資源數量大於1000的團伙達15個，最大攻擊團伙包含8.8萬攻擊源，月均活躍 3.5 萬攻擊源，團伙行為和攻擊團伙的治理值得持續關注。
5. 物聯網：物聯網裝置參與 DDoS 攻擊的情況值得持續關注，參與 DDoS 攻擊的物聯網裝置逐年增加，DDoS 團伙中單一團夥最高物聯網裝置佔比達 31%。
6. 惡意家族：IoT 平臺家族攻擊佔比進一步擴大，Gafgyt 和 Mirai 貢獻了大部分攻擊行為，但整體上，在 DDoS 特徵、攻擊目標和 C&C 分佈等方面沒有明顯變化。
7. 地域：國內，香港取代浙江成為受 DDoS 攻擊最多的省份，其它依次是浙江、廣東、北京、江蘇。

2019 年，DDoS 這種古老的攻擊方式依然煥發著強大的生命力。簡單、直接和有效是它攻擊特性最好的註解。DDoS 防護不再依賴裝置和檢測演算法的堆積，更需要安全生態合作和防護協同。一個更好的 DDoS 防護業態需要依賴眾多環節，包括漏洞挖掘與披露，網路測量與感知，威脅狩獵與情報共享，防護資源排程和應急響應。

從本報告也能看出，黑灰產的 DDoS 攻擊能力在逐年加強，大規模攻擊的組織能力也在不斷提升，安全廠商和運營商需要更好地協同，完善“盾”的能力，同時也要加強“看見” 的能力，對漏洞的威脅面要有更好地預判，對攻擊團伙的監控要有更深入而持續的跟蹤。DDoS 攻擊的演進是全球網路安全態勢的縮影，黑灰產的趨利性是其不變的行為核心，在做好技戰術層面上的防護和跟蹤之外，更要做好獲利渠道和攻擊動機的監控。

知己知彼，方能百戰不殆。