DDoS攻擊趨勢：攻擊日益猖獗，辦公裝置佔據肉雞資源的半壁江山

數字化時代加速發展，各種型別的網路威脅日益加劇。DDoS攻擊作為破壞性極強的攻擊型別，攻擊手法和攻擊目標呈現多元化趨勢，溯源難度較大，給各行業的安全防護帶來巨大挑戰。2022年上半年DDoS攻擊趨勢有怎樣的變化，哪些黑產團伙最為活躍？他們利用了哪些攻擊手法？纂取了哪些攻擊資源？綠盟科技聯合騰訊安全、電信安全團隊為您一一揭曉。

一．威脅態勢

1、UDP反射攻擊仍是駭客首選攻擊手法，其中NTP反射是最熱門反射攻擊型別

2022年上半年，攻擊手段繼續多元化發展，大約三分之二的DDoS攻擊是基於UDP協議發起，可見UDP反射仍最受駭客青睞。NTP反射攻擊由於其具有400-500放大倍數，且在網際網路上數量龐大，獲取成本廉價，盤踞UDP反射攻擊型別之冠，佔UDP反射攻擊數量的四分之三。

2. Mirai殭屍網路上半年稱王，XoR.DDoS殭屍網路逐漸沒落

無論是從攻擊指令的角度，還是發起DDoS攻擊次數的角度，Mirai殭屍網路都是上半年威脅最大的殭屍網路。從攻擊指令分佈來看，Mirai佔據了接近一半數量。從發起DDoS攻擊的維度來看，Mirai殭屍網路發起了超過6成的DDoS攻擊。前兩年較為活躍的Xor.DDoS殭屍網路現在已經非常式微，發起的DDoS攻擊活動佔比不到2%。

3.殭屍網路規模擴張迅猛，高危漏洞成最大武器

近年來，DDoS殭屍網路利用漏洞擴張控制範圍。2022年上半年被殭屍網路利用的在野漏洞已達到 100 種，且迅速整合新發現的漏洞，在網路服務主機漏洞還未修復之前乘機入侵併控制。

針對TOP20的Linux/IoT高危漏洞利用進行統計發現，漏洞利用率的高低與殭屍網路的活躍程度、規模呈明顯的正相關性。活躍度最盛的Mirai和Gafgyt殭屍網路攜帶漏洞幾乎佔滿近兩年利用率TOP20高危漏洞，反觀近兩年活躍程度持續下滑的XoR.DDoS殭屍網路對TOP20漏洞的利用率不足20%。

4.攻擊資源的竊取日益猖獗，辦公裝置佔據肉雞資源的半壁江山 

綜合來看，5月和6月成為2022年上半年DDoS威脅最大的月份。透過分析發現，5月份之後Tb級別的攻擊，攻擊手法幾乎都是透過肉雞直接發起巨量UDP大包攻擊，說明當前的攻擊者手中的資源非常充裕，已經可以做到不依賴UDP反射放大即可產生Tb級的攻擊流量。

肉雞的分佈主要集中於遠端辦公裝置和物聯網裝置，2022年上半年由於疫情影響，大量民眾居家辦公，VPN、Famatech Radmin（遠端控制軟體）、NAS（資料儲存伺服器）、Kubernetes(開源容器叢集管理系統 )等辦公相關的軟體和應用佔據了半壁江山，路由器和攝像頭等常用的物聯網裝置超過四成。

這些裝置由於其技術複雜，存在安全漏洞的風險較高，經常被駭客利用造成嚴重後果，企業和個人都需提升安全防範意識，讓攻擊者“無孔可入”。

二．攻防對抗案例

2022年6月上旬，拉美地區接入綠盟MSS可管理安全服務的某客戶遭受了DDoS攻擊，峰值期間攻擊流量高達112.3Gbps，攻擊持續時間約1小時，攻擊型別為UDP攻擊。綠盟IBCS團隊在客戶遭受攻擊後迅速進行了響應，成功為客戶防護了本次攻擊。

對抗過程：

1、綠盟IBCS團隊根據攻擊呈現出的特點，迅速確認本次攻擊為掃段攻擊。

2、攻擊流量以UDP流量為主，單個IP的攻擊流量在100Mbps左右，因此在防護策略上使用了較低的UDP閾值，對UDP進行限速，以便儘可能過濾攻擊流量同時，儘可能保障業務服務正常。

3、在防護裝置上將客戶的受災IP段進行了單獨的防護群組配置，對掃段攻擊進行針對性的防護。

4、建議該客戶使用綠盟威脅情報中心（NTI），透過威脅情報對公網上存在掃段攻擊的IP進行識別和封堵，以降低未來的潛在風險。

經過約1個小時與駭客的對抗之後，綠盟IBCS團隊為客戶成功防護了這次大型掃段攻擊，攻擊結束。經過統計，本輪掃段攻擊共涉及該客戶兩個C段超過500個的IP地址。