2020 DDoS攻击态势报告.pdf

DDoS攻击态势报告 2020 UDP Flood H T TPS Flood I CMP Flo od A CK Flood SYN Flood 版权声明为避免合作伙伴及客户数据泄露，所有数据在进行分析前都已经过匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。关于中国电信集团云网安全科技有限公司（云堤公司）中国电信集团云网安全科技有限公司（云堤公司）是中国电信集团旗下集约开展网络安全业务的科技型、平台型专业公司，以研发运营一体化方式，整合中国电信云网、安全、数据等优势资源和能力，为客户提供云网安全、数据安全、信息安全等各类安全产品和服务。云堤公司前身是中国电信股份有限公司网络安全产品运营中心，成立于 2015 年 1 月，负责研发并运营 “云堤”系列网络安全产品，主要包括：分布式近源防护架构的 DDoS 攻击防护平台、网站安全专家服务系统（云监控 + 云防护）、域名安全服务系统，反欺诈服务系统等。云堤平台通过国家等保三级测评，已为 8000+ 客户提供网络安全防护服务，并成为历次重大国事活动网络安全保障的首选网络安全防护平台，受到了客户及有关部门的高度认可。关于绿盟科技绿盟科技集团股份有限公司 ( 以下简称绿盟科技 ), 成立于 2000 年 4 月 , 总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板上市 , 证券代码 : 300369。绿盟科技在国内设有 40 多个分支机构 , 为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户 , 提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司,深入开展全球业务, 打造全球网络安全行业的中国品牌。 I 2020DDoS 攻击态势报告目录 CONTENTS 目录 CONTENTS 1.历史漏洞回顾4 1.1漏洞数量逐年显著增长4 1.2漏洞数量逐年显著增长5 1.2.1漏洞数量逐年显著增长8 1.2.2漏洞数量逐年显著增长9 2.漏洞利用情况4 2.1典型漏洞攻击事件监测举例4 2.2实际攻击中常用到Nday漏洞5 3.漏洞发展趋势4 3.1浏览器漏洞种类复杂多样4 3.2文档类型漏洞是鱼叉攻击的重要载体5 摘要2 一 .执行摘要 .1 二 .2020.年.DDoS.攻击态势概览 .3 2.12020.vs.2019 . 4 2.2重要观点 . 4 三 .2020.年.DDoS.攻击分析 .5 3.1DDoS 攻击次数和流量峰值情况 . 6 3.1.1DDoS 攻击次数和攻击流量 . 6 3.1.2攻击峰值分布 . 9 3.1.3单次攻击最高和平均峰值 . 11 3.2DDoS 攻击类型分析 . 13 3.2.1攻击类型占比 . 13 3.2.2攻击类型各流量区间分布 . 14 3.2.3反射攻击 . 15 3.2.4新型攻击 . 16 3.3DDoS 攻击时间刻画 . 17 3.3.1DDoS 攻击持续时间占比 . 17 3.3.2一天中 DDoS 攻击活动分布 . 18 3.3.3一周中 DDoS 攻击活动分布. . 19 3.4DDoS 攻击地域分布 . 19 3.4.1DDoS 受控攻击源地域分布 . 19 3.4.2DDoS 攻击目标地域分布 . 22 3.5DDoS 攻击行业分析 . 24 3.6攻击资源行为分析 . 25 3.6.1攻击资源活跃度分析 . 25 3.6.2活跃攻击资源地域分布 . 26 3.6.3攻击资源惯犯分析 . 29 II 2020DDoS 攻击态势报告目录 CONTENTS 3.6.4攻击资源异常行为类型分析 . 29 3.6.5攻击资源团伙行为分析 . 31 3.7物联网攻击资源分析 . 33 3.7.1国内物联网资产暴露情况 . 33 3.7.2异常物联网设备的 DDoS 参与度 . 34 3.7.3参与 DDoS 攻击的物联网设备类型分布 . 34 3.8DDoS 僵尸网络 . 35 3.8.1僵尸网络概览 . 35 3.8.2热点家族 . 38 四 .总结 .41 III 2020DDoS 攻击态势报告目录 CONTENTS 插图索引图 3.12020 年 DDoS 攻击态势 . 6 图 3.2DDoS 多年攻击态势 . 7 图 3.3攻击次数与攻击流量 . 8 图 3.4国内外攻击次数与占比 . 8 图 3.51-4 月攻击来源分布 . 9 图 3.6攻击峰值分布 . 9 图 3.72019 年 vs.2020 年各季度各类规模攻击次数占比 . 10 图 3.8大流量攻击的次数变化 . 11 图 3.92020 年大流量攻击的次数变化 . 11 图 3.10攻击平均峰值和最高峰值 . 12 图 3.11DDoS 多年攻击平均峰值变化趋势 . 12 图 3.12攻击类型的攻击次数分布 . 13 图 3.13混合攻击分布 . 14 图 3.14DDoS 攻击类型各流量区间 . 14 图 3.15各类反射攻击次数与流量占比 . 15 图 3.16反射源数量占比 . 15 图 3.17攻击持续时间占比 . 18 图 3.18一天 24.小时 DDoS.攻击占比 . 18 图 3.19一周七天 DDoS.攻击占比 . 19 图 3.20全球攻击源 IP 分布比例 . 20 图 3.21全国攻击源 IP 分布比例 . 21 图 3.22全球攻击目标 IP 分布比例 . 22 图 3.23全国被攻击目标 IP 分布比例 . 23 图 3.24医疗行业被攻击次数态势 . 24 图 3.25政府机关被攻击次数态势 . 24 图 3.26教育行业被攻击次数态势 . 25 图 3.27攻击资源活跃时间分布 . 25 IV 2020DDoS 攻击态势报告目录 CONTENTS 图 3.28长期活跃攻击源中的物联网占比 . 26 图 3.29活跃程度较高的攻击资源全球分布 . 27 图 3.30活跃程度较高的攻击资源全国分布 . 28 图 3.31惯犯的数量占比和攻击事件占比 . 29 图 3.32DDoS 惯犯参与的攻击类型数量分布 . 30 图 3.33DDoS 惯犯异常行为类型占比 . 30 图 3.34IP 团伙攻击源规模分布（每个区间代表团伙规模范围） . 31 图 3.35攻击总流量各区间团伙数量分布 . 32 图 3.36团伙攻击资源类型分布 . 32 图 3.37国内物联网资产类型分布情况 . 33 图 3.38异常物联网设备异常行为占比 . 34 图 3.39参与 DDoS 攻击的物联网设备类型分布 . 35 图 3.40DDoS 月度攻击事件变化 . 36 图 3.41DDoS 类型对比 . 36 图 3.42家族攻击事件数占比 . 37 图 3.43家族 DDoS 指令数占比 . 37 图 3.44IoT 漏洞利用情况 . 38 图 3.45Mirai+Gafgyt 攻击目标的月度数量 . 39 UDP Flood H T TPS Flood ICMP Floo d A CK Flood SYN Flo od 执行摘要 1 1 2020DDoS 攻击态势报告执行摘要一 .执行摘要 UDP Flood H T TPS Flood ICMP Floo d A CK Flood SYN Flo od 执行摘要 1 2 2020DDoS 攻击态势报告执行摘要 UDP Flood H T TPS Flood ICMP Floo d A CK Flood SYN Flo od 2020年DDoS攻击态势概览 2 2020年，得益于主管部门治理成效显著以及设备防护能力增强，我们监控到DDoS攻击次数相比 2019年总量有所下降。但是在疫情期间的DDoS攻击有增无减，特别是医疗、政府、教育行业。1到4 月份是中国疫情最严重的时候，同时也是遭受DDoS攻击最频繁的时候，期间大部分的DDoS攻击都来自境外，美国是最大境外攻击来源国。5G环境下的DDoS攻击带宽增加，中小型攻击替代小型攻击占主导地位，半数攻击峰值在5-50Gpbs区间。随着HTTP2.0的逐步应用， HTTP2.0协议漏洞接二连三爆出，新协议带来了新的攻击威胁。DDoS反射型攻击数量和反射源数量占比增加，新型反射攻击层出不穷。从攻击源IP看，中国是DDoS受控攻击源最多的国家。某国产品牌手机逾两千万部沦为”肉鸡”，移动终端不断沦陷，成为黑客的”帮手”。参与DDoS攻击的物联网设备占比相较去年有所提升，投入小、收益高、更新快、基数庞大等一系列优越条件使得物联网设备逐渐发展成发起大规模DDoS攻击的利器。本报告的第二章的是2020年的DDoS攻击态势概览。在第三章，本文从攻击次数、流量、攻击类型、时间、地域、行业等多个维度，以及从攻击资源、团伙性行为、物联网和僵尸网络四个视角，力求全面剖析2020年的DDoS的变化和演进，以便抛砖引玉，帮助各组织/机构持续改善自身网络安全防御体系及技术。 3 2020DDoS 攻击态势报告 2020 年 DDoS 攻击态势概览二 . 2020 年 DDoS 攻击态势概览 UDP Flood H T TPS Flood ICMP Floo d A CK Flood SYN Flo od 2020年DDoS攻击态势概览 2 4 2020DDoS 攻击态势报告 2020 年 DDoS 攻击态势概览 2.12020 vs 2019 下降：攻击次数减少了16.16%，攻击总流量下降了19.67% 平均：相比2019年攻击峰值向1-5G单侧分化，2020年的攻击峰值在5-50G的各区间分布趋于平均，占全部攻击的53.06% 持平：平均峰值为38.64Gbps，和2019年同期的40.05Gbps基本持平增长：反射攻击增长明显，占所有攻击类型的34% 2.2重要观点观点一：2020年DDoS攻击次数和总流量下降，国家主管部门4月11日开展的“净网2020”专项治理效果明显。观点二：受新冠疫情爆发的影响，二月份的DDoS数量激增，攻击势力主要来自境外，美国是最大境外攻击来源国。观点三：5G环境下的DDoS攻击带宽增加，中小型攻击替代小型攻击占主导地位。观点四：DDoS反射型攻击数量和反射源数量占比增加，新型反射攻击层出不穷，反射攻击防护需要及时更新。观点五：新型HTTP2.0 DDoS攻击预警，CC2.0时代即将到来。观点六：攻击平均时长缩短，攻击成本不断下降。观点七：医疗、教育、政府行业疫情期间遭受DDoS攻击次数增长显著。观点八：单一团伙的攻击总流量最高达到3624TB，这个最大攻击总流量是去年的两倍以上。观点九：我们监测到的Mirai和Gafgyt仍旧是当今世界范围内影响最大的两个Linux/IoT DDoS家族。 5 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析三 . 2020 年 DDoS 攻击分析 UDP Flood H T TPS Flood ICMP Floo d A CK Flood SYN Flo od 2020 年 DDOS 攻击分析 3 6 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.1DDoS 攻击次数和流量峰值情况 3.1.1DDoS 攻击次数和攻击流量 2020年（截止2020年12月），我们监控到DDoS攻击次数为15.25万次，攻击总流量为38.65 万TB，与2019年同期相比，攻击次数减少了16.16%，攻击总流量下降了19.67%。当然这未必是好消息，因为攻击次数和攻击流量减少最主要的原因是抗D设备检测和防护能力越来越强，防护及时有效，使得攻击者连续打击没有效果，所以提前结束攻击。另一部分得益于主管部门治理的结果，众所周知，黑灰产一直是DDoS中占比较高的攻击对象，而今年的“净网2020”专项治理行动重点打击黑灰产业链。图 3.12020 年 DDoS 攻击态势数据来源：中国电信云堤我们统计了2016年至2020年的DDoS攻击次数和攻击流量，从历史趋势变化来看，在经历了 2017年和2018年DDoS攻击大年后，2019年和2020年似乎相对平静。但是平静不意味着祥和，在 5G酝酿之际， IoT设备和移动终端不断沦陷，新的流量源泉在暗自涌动，同时，伴随着HTTP2.0等新技术的发展，新型攻击手段也在暗自研制当中，从DDoS往年的攻击经验来看，当前的下降绝不是悄无声息的消失，未来可能会面临更大的高峰。 7 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.2DDoS 多年攻击态势数据来源：中国电信云堤正如外交部发言人汪文斌29日说的一样，中国仍是网络攻击的主要受害者之一，在疫情期间遭受的网络攻击有增无减。对于国内的DDoS攻击，从各月攻击次数来看，今年的DDoS主要集中在上半年，其中2月份为 14.5%，占比最高。要知道，往年的2月份都是DDoS最“消停”的时候，今年不降反增，并且成为全年攻击最高峰。这和新冠疫情的爆发脱不开干系。中国作为率先爆发新冠疫情的国家，很快在全球成为了众矢之的，使得国内DDoS数量激增。同时，人们当时的生产活动、娱乐消遣主要集中在线上，互联网娱乐行业之间的恶意竞争也容易导致DDoS增加。 8 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.3攻击次数与攻击流量数据来源：中国电信云堤上面的统计是从攻击事件的角度来看攻击态势，一次攻击事件通常由多个攻击源同时发起，规模有大有小。如果我们从攻击源的视角来看，把攻击来源区分为国内和国外分开统计，我们发现， 1-4月份的攻击中，74.21%的攻击都来自国外。美国是最大境外攻击来源国，攻击占比24%。图 3.4国内外攻击次数与占比数据来源：中国电信云堤 9 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.51-4 月攻击来源分布数据来源：中国电信云堤 3.1.2攻击峰值分布在全部DDoS攻击中，18.16%的攻击峰值在5-10Gbps之间，在所有区间中占比最高。不过，相比 2019年攻击峰值向1-5Gbps单侧分化，2020年的攻击峰值在5-50Gbps的各区间分布趋于平均，占全部攻击的53.07%，5Gbps以下的小规模攻击比例有所减少。专家分析，主要是因为5G网络的引入，设备可用带宽增加，同时这些也能被物联网僵尸网络所利用，使其执行DDoS的可用带宽大大增加。所以在5G环境下的DDoS整体攻击能力提高，对DDoS的清洗和防护都提出了更大的挑战。图 3.6攻击峰值分布数据来源：中国电信云堤 10 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析从各季度来看，DDoS攻击峰值小于5G的小型攻击普遍减少，在5-50Gbps之间的中小型攻击持续增加，进入Q4后，中小型攻击在全部攻击中占比58.4%，300Gbps以上的超大规模攻击整体占比和绝对数量同时减少，截止2020年12月全年共发生了1194次，同比2019年的2910次减少58.97%，整体占比从2019年的1.54%下降到0.86%。由此也可以看出普遍黑客所掌控的攻击能力范围，小流量攻击打不死，打了没效果，而大流量攻击大多黑客掌控不了。图 3.72019 年 vs 2020 年各季度各类规模攻击次数占比数据来源：中国电信云堤从最近三年各月数据来看，攻击峰值在100Gbps以上的大型攻击的次数在2018年和2019年连续两年在高位波动后，在2020年有明显下降。2020年，100Gbps以上的大型攻击发生了1.59万次（截止至2020年12月），与2019年同期的 2.28万次（截止至2019年12月）和2018年同期的2.2万次相比，减少了30.26%。攻击峰值在300Gbps以上的超大型攻击的次数从2018年平均每月247次小幅增长到2019年平均每月262次后，2020年大幅减少到平均每月93次，减少了64.5%。 11 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.8大流量攻击的次数变化数据来源：中国电信云堤单看2020年， 6、7、8、9月份为大流量攻击高峰。6月最高，占比12.66%。图 3.92020 年大流量攻击的次数变化数据来源：中国电信云堤 3.1.3单次攻击最高和平均峰值截止2020年12月，DDoS攻击的平均峰值为38.64Gbps，和2019年同期的40.05Gbps差别不大， 2020年前半年DDoS攻击的平均峰值普遍低于2019年，在6月份之后2020年的DDoS攻击的平均峰 12 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析值普遍高于2019年。从最大峰值来看，2020年的最大峰值在6月份之前普遍低于2019年，6月份之后和2019年同期相比出现交错的情况。2019年的最高峰值885Gbps出现在2019年5月份，2020年的最高峰值 878Gbps出现在2020年12月份。图 3.10攻击平均峰值和最高峰值数据来源：中国电信云堤我们统计了从2016年至2020年的DDoS平均攻击峰值，从历史趋势变化来看，平均攻击峰值自 2018下半年起已经进入了新的梯度。虽有波动，但依然维持在了较高的水平。图 3.11DDoS 多年攻击平均峰值变化趋势数据来源：中国电信云堤 13 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.2DDoS 攻击类型分析 3.2.1攻击类型占比 2020年，主要的攻击类型为UDP Flood，SYN Flood，NTP Reflection Flood，这三大类攻击占了总攻击次数的56。UDP Flood和SYN Flood依然是DDoS的主要攻击手法。值得关注的是，ACK Flood 由去年的攻击次数占比14.9%减少至2%，NTP Reflection Flood取代了去年ACK Flood排名第三的位置。图 3.12攻击类型的攻击次数分布数据来源：绿盟科威胁情报中心（NTI）从混合型攻击事件来看，相比2019年，2020年混合多种类型的DDoS攻击事件数量有所增加。在实际攻击过程中，攻击者混合使用多种方式组合探测以求最佳攻击方式，利用协议，系统的缺陷，尽其所能展开攻击，达到最完美的攻击效果。 14 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.13混合攻击分布数据来源：绿盟科技威胁情报中心（NTI） 3.2.2攻击类型各流量区间分布从攻击类型各流量区间占比来看，大流量攻击主要是SYN Flood和UDP Flood。图 3.14DDoS 攻击类型各流量区间数据来源：绿盟科技威胁情报中心（NTI） 15 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.2.3反射攻击 2020年，反射类型的攻击次数占全部攻击的34%。和2019年相比，反射类型的攻击次数增长较大，同时占比也比较大。2020年主要的反射攻击类型为NTP反射攻击、DNS反射攻击和SSDP反射攻击，其中，NTP反射攻击在所有反射攻击中占主导地位，攻击次数占比80%，攻击流量占比53%。图 3.15各类反射攻击次数与流量占比数据来源：绿盟科技威胁情报中心（NTI）从攻击源类型来看，反射源占比增加，2020年中反射源数量占所有攻击源的14%。众所周知，大部分反射源为IoT设备，随着5G和物联网的快速发展，IoT设备增长迅速，与传统的单IP大流量攻击不一样，黑客利用控制的海量的IoT设备发起慢速攻击，每IP的攻击的频率和正常用户的范围频率保持一致，这使得传统的基于地理位置和限速的策略失效，因此需要多维度的检测算法区分攻击源和正常源。图 3.16反射源数量占比数据来源：绿盟科技威胁情报中心（NTI） 16 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 2020年2月，AWS（亚马逊）声称遭遇了2.3 Tbps的大规模DDoS攻击，而此前记录的最大攻击是2018年的1.7 Tbps，而针对AWS的攻击是基于CLDAP反射的攻击，一共持续了三天。 2020年10月，Google（谷歌）披露，早在三年前（2017年），Google遭受到了攻击流量峰值高达2.54 Tbps的DDoS攻击，刷新了攻击记录。这次攻击同样是利用了互联网上的CLDAP，DNS，SMTP等服务器形成的反射攻击。反射攻击仍然是目前带宽消耗型DDoS攻击的主力军。众多知名大流量DDoS攻击事件中，都有反射攻击身影。反射攻击仍在不断更新，从过去的NTP反射、SSDP反射，近两年还出现了TCP反射、 Memcached反射等等。反射攻击不难防护，但这些新的反射攻击方法，需要DDoS技术相关的研发人员和运维人员，不断更新防护技术与策略以应对。绿盟抗D设备支持检测并防护各类已知、未知反射攻击。 3.2.4新型攻击新型攻击方法不断发现，DDoS防御技术需要及时更新。 DNS协议安全漏洞“NXNSAttack”可导致大型DDoS攻击 2020年5月，以色列研究人员报告了一个新的DNS服务器漏洞，被称为”NXNSAttack”。这个漏洞是在DNS递归解析在实施过程中存在的，不同于直接以主机或服务为目标造成影响的DDoS攻击， NXNSAttack的攻击目标是受害者的域名解析能力，它利用 DNS 递归解析器发起指向恶意nameserver 服务器的DNS查询请求，恶意nameserver服务器返回特制响应包，导致DNS递归服务器向受害DNS 服务器发送大量请求包从而拒绝服务，最大能导致流量增加1620倍。受害DNS服务器遭到攻击后，新的客户端无法找到连接到服务的IP地址，因此无法解析服务的主机名。相比于常见的随机域名攻击，这种新型攻击能够利用较少的资源达到同样的效果，同时攻击更加隐蔽，无法从域名的组成上分析出攻击特征。 RangeAmp攻击 2020年5月，中国研究人员发布了另外一种新型的DDoS攻击放大方法(RangeAmp)，利用HTTP 头部的Range字段发起恶意请求，可使CDN（内容分发网络）和CDN，或者CDN和目标服务器的流量最高放大几千甚至上万倍，从而导致带宽耗尽。这种利用漏洞型的攻击，传统的防护算法不再生效（302 跳转等），利用关键字匹配策略需要不断抓包分析，往往攻击已经发生很久了。绿盟抗D的智能防护可以自动学习正常流量特征，并提取攻击指纹，对异常未知的流量生成策略，自动拦截。 17 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析新型HTTP2 DDoS攻击预警，CC2.0时代即将到来 DDoS是依赖于网络协议存在的，网络协议的普及率越高就越容易受到攻击，每增加一层网络协议，都会为DDoS攻击者提供一个新的攻击维度，网络协议越复杂，潜在的DDoS攻击方式就越多。随着 HTTP2.0的逐步应用，新协议带来了新的HTTP攻击威胁。HTTP2.0协议漏洞接二连三爆出，越来越多研究指出，不同于过去的CC攻击，基于HTTP2.0的新型CC攻击、慢速攻击有更大的危害，对业务服务器性能消耗有更明显作用。并且除了传统的CC和慢速攻击，HTTP2.0协议还引入了新型攻击，例如基于控制帧的洪水攻击和基于控制帧的慢速攻击，以及HTTP2.0的头部压缩攻击，此类攻击已有多个CVE记录。根据MY SSL数据显示，国内已有65.8%的网站支持HTTP2.0协议，预计2021年国内将出现更多基于HTTP2.0的DDoS攻击。HTTP2.0的攻击方式多样，靠单一防护方案往往不能达到很好的防护效果，所以需要一个多层次的防护方案，绿盟ADS将于2021年新版本支持基于HTTP2.0协议的DDoS攻击防护。这些新型的攻击方法，需要DDoS技术相关的研发人员和运维人员，不断更新已有技术和策略，来应对这些新型攻击。 3.3DDoS 攻击时间刻画 3.3.1DDoS 攻击持续时间占比 2020年，DDoS攻击的平均时长为42分钟，和2019年相比，下降了21%。我们检测到，2020年，持续时间最长的DDoS攻击在13天左右，远远大于前期的攻击时长。 2020年，攻击时长在30分钟以内的DDoS攻击占了全部攻击的80%，与2019年的75%相比提升了6%，这种短时攻击的高占比说明攻击者越来越重视攻击成本和效率，倾向于在短时间内，以极大的流量导致目标服务的用户掉线、延时和抖动。同时，僵尸网络即服务（Botnet-as-a-Service）和DDoS 即服务（DDoS-as-a-Service）的流行也是重要原因之一，平台用户只要付款就可以即时获得一批佣兵式的攻击资源，可以在短时间内发起大规模攻击。 1 在长周期内，多次瞬时攻击能够严重影响目标服务质量，同时攻击成本得到有效控制。 1 18 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.17攻击持续时间占比数据来源：中国电信云堤 3.3.2一天中 DDoS 攻击活动分布从一天24小时攻击占比可知，业务高峰时段（10点-22点），为攻击者发起DDoS 攻击的高峰期，占全天攻击的73.4%。这段时间也是在线业务的访问最高峰区间，攻击者在访问高峰期发起DDoS 攻击，以此来提升攻击的效果和影响。图 3.18一天 24 小时 DDoS 攻击占比数据来源：中国电信云堤 19 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.3.3一周中 DDoS 攻击活动分布从每周中DDoS 攻击活动的分布来看，一周中各天所发生的DDoS 攻击事件比例并无明显差别。背后的一个重要原因是现有网络服务往往提供7 X 24服务，因而一周中每一天都可能被攻击。周日依然是相对平静的一天。图 3.19一周七天 DDoS 攻击占比数据来源：中国电信云堤 3.4DDoS 攻击地域分布 3.4.1DDoS 受控攻击源地域分布经统计，2020年中国是DDoS受控攻击源最多的国家，占比为59.7%，其次是美国和俄罗斯，占比分别为7.8%和3.4%。 20 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.20全球攻击源 IP 分布比例数据来源：中国电信云堤 2020年，国内DDoS受控攻击源数目前三的省份是浙江、江苏、广东，占全国DDoS受控攻击源总量的59.7%。 21 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.21全国攻击源 IP 分布比例数据来源：中国电信云堤 22 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.4.2DDoS 攻击目标地域分布 2020年，受攻击最严重的国家是中国，约占全部攻击国家的70.7%；其次是美国，占全部攻击的 12.7%。图 3.22全球攻击目标 IP 分布比例数据来源：中国电信云堤 23 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析在国内，江苏成为受DDoS攻击最多的省份，其它依次是广东、浙江和香港。东部沿海依然是被 DDoS攻击的高危地区。图 3.23全国被攻击目标 IP 分布比例数据来源：中国电信云堤 24 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.5DDoS 攻击行业分析医疗行业在疫情期间遭受的DDoS攻击有增无减。数据显示，2020上半年被攻击次数普遍高于 2019年同期，三月和四月为攻击最高峰，之后逐月递减。7月之后的DDoS趋势和去年基本保持一致，且稍稍减少。图 3.24医疗行业被攻击次数态势数据来源：中国电信云堤除了医疗行业，政府和教育行业的DDoS态势也有相同趋势。稍有不同的是，在下半年，DDoS下降的趋势更加明显，政府机关相对去年明显下降主要得益于净网治理。而教育行业主要是因为下半年学生开学，不再依赖于线上教学。图 3.25政府机关被攻击次数态势数据来源：中国电信云堤 25 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.26教育行业被攻击次数态势数据来源：中国电信云堤 3.6攻击资源行为分析 3.6.1攻击资源活跃度分析在攻击源活跃时间的监测中发现，和2019年趋势一致，存活时间大于10天的攻击资源占比 11%。像这种能够长期被控制的肉鸡大部分都是物联网设备，物联网设备大都存在设备系统老，人员维护少，更新慢等问题。一旦被感染，就会成为僵尸网络中的一员，并且长期被控制。图 3.27攻击资源活跃时间分布数据来源：绿盟科技威胁情报中心（NTI） 26 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析高活跃度资源类型高活跃度资源物联网设备占比22%，相比去年占比提高了10个百分点。图 3.28长期活跃攻击源中的物联网占比数据来源：绿盟科技威胁情报中心（NTI） 3.6.2活跃攻击资源地域分布根据攻击源IP的活跃持续时间分布，活跃时间达十天以上的攻击源，我们视为高活跃度攻击资源，这些资源一般存在明显的安全隐患极易被利用，威胁程度较高。从全球分布来看，高活跃度攻击源主要分布在美国、中国，其次是俄罗斯。从国内来看，高活跃度攻击源在沿海和经济发达地区分布密集，其中中国台湾、浙江、中国香港和安徽的高活跃度攻击源最多。这些地区往往网络基础设施数量基数更大，同等安全防护水平下存在安全隐患的设备资源也更多。 27 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.29活跃程度较高的攻击资源全球分布数据来源：绿盟科技威胁情报中心（NTI） 28 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.30活跃程度较高的攻击资源全国分布数据来源：绿盟科技威胁情报中心（NTI） 29 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.6.3攻击资源惯犯分析在2020年的DDoS攻击中， 4%的惯犯 1 承担了78%的攻击事件。可以看出，惯犯的威胁程度大，不容忽视。图 3.31惯犯的数量占比和攻击事件占比数据来源：绿盟科技威胁情报中心（NTI） 3.6.4攻击资源异常行为类型分析参与DDoS攻击的攻击资源异常行为类型相比去年更为丰富。2020年参与过DDoS的攻击源中， 41%攻击源发起过多种异常行为，相比2019年，最高异常行为由8种增加到12种。 1 此处，“DDoS惯犯”意指长期出现且发起DDoS攻击20次以上的IP 30 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析图 3.32DDoS 惯犯参与的攻击类型数量分布数据来源：绿盟科技威胁情报中心（NTI）从下图中的异常行为类型分布可知，8.7%的攻击源曾被僵尸网络所控制；8%的攻击源有过发送垃圾邮件行为；58. 1%的攻击源被威胁情报标记曾经多次进行DDoS攻击，这些攻击源往往包含能够被远程控制且长期未得到修复的漏洞，或具备反射能力。图 3.33DDoS 惯犯异常行为类型占比数据来源：绿盟科技威胁情报中心（NTI） 31 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.6.5攻击资源团伙行为分析 DDoS攻击通常以协作方式从多个来源发起，DDoS惯犯们常常共同组合发起攻击，我们将这样的群体称为“IP团伙”。在本报告中，我们基于绿盟科技2020年全年DDoS攻击数据，识别了多个IP 团伙并系统研究了他们的团伙行为。采用这种研究方法背后的逻辑是：如果两个IP的历史攻击行为相似，那么他们则被划分为一个团伙。团伙行为的相似性主要体现在两方面：（1）短时间内行为相似：反复在同一时刻用相同攻击手段对同一目标发起攻击。（2）长周期行为相似：在不同时期反复对相同目标发起相同手段攻击。在本节中，我们对IP团伙行为进行了统计分析，并且对重点团伙进行了刻画。通过分析，我们发现：观点一：能够长期稳定被控制的攻击团伙，组成成员大部分是物联网设备，IDC数据中心等基础设施。观点二：单一团伙的攻击总流量最高达到3624TB，这个最大攻击总流量是去年的两倍以上。 3.6.5.1团伙规模 2020年共发现45个活跃团伙，团伙规模分布如下，大部分团伙规模都在200到1万之间。成员数量大于1万的大团伙有4个，其中规模最大的团伙成员高达4.9万个。图 3.34IP 团伙攻击源规模分布（每个区间代表团伙规模范围）数据来源：绿盟科技威胁情报中心（NTI） 32 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.6.5.2团伙攻击总流量各团伙的流量分布如下，涵盖了来自同一团伙所有成员的全部攻击。单一团伙的攻击总流量最高达到3624TB，这个最大攻击总流量是去年的两倍以上。图 3.35攻击总流量各区间团伙数量分布数据来源：绿盟科技威胁情报中心（NTI） 3.6.5.3.团伙攻击资源类型能够长期被操控的团伙攻击资源主要就是IDC和物联网设备，统计团伙所有攻击资源类型，占比最高的就是物联网设备，占比31%。其中，占比最高的为15%的摄像头、12%的路由器设备和3%的网络电话。图 3.36团伙攻击资源类型分布数据来源：绿盟科技威胁情报中心（NTI） 33 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.7物联网攻击资源分析 3.7.1国内物联网资产暴露情况根据不同端口及扫描时长的扫描结果数据，对各类型的物联网资产的变化情况进行统计分析发现，国内的物联网资产中，VoIP 电话的网络地址变更最频繁，发生过变化的资产占总资产的 80%，其次是路由器和摄像头，变化资产分别占 60% 和 40% 1 。为保证资产的时效性与准确性，我们选择2020年11月的单轮国内物联网测绘结果，共发现186 万个存活的IP地址，具体国内物联网资产类型分布情况物联网设备类型分布如下图所示。其中，摄像头、路由器、VoIP电话数量分别位列前三，这和往年的分布是一样的，但是新增了安全设备和网络存储器；网络安全设备主要是指防火墙、WAF等安全产品；网络存储器（NAS）是一种专用数据存储服务器，将存储设备与服务器彻底分离，集中管理数据，从而释放带宽，降低成本。近年来，国内的NAS服务器遭勒索病毒攻击事件频发，暴露互联网上的存储设备，更应该保障其安全。图 3.37国内物联网资产类型分布情况数据来源：绿盟科技威胁情报中心（NTI） 1 2018物联网安全年报 34 2020DDoS 攻击态势报告 2020 年 DDoS 攻击分析 3.7.2异常物联网设备的 DDoS 参与度考虑到上文中提到的网络地址变化因素，我们仍然使用2020年11月的单轮国内物联网测绘结果。与情报数据关联后发现在186万的物联网IP中异常物联网设备的数量约28万个，占比15.4%。各异常行为类型占比如下图 1 所示，其中参与DDoS的物联网设备，所使用的IP数量约8.2万，占全部异常物联网设备的IP总量的28.7%。图 3.38异常物联网设备异常行为占比数据来源：绿盟科技威胁情报中心（NTI） 3.7.3参与 DDoS 攻击的物联网设备类型分布从设备类型来看，全部参与DDoS攻击的物联网设备中，占比前五名的分别是摄像头、VoIP电话、路由器、网络存储器以及安全设备，占比总量约94%，其中仅摄像头的数量就占总量的一半以上，约 61%。结合图3.39 中物联网资产类型的分布可知，摄像头和路由器由于其在互联网中暴露的基数大以及各类设备所具有的一定共性决定了这两类物联网设备一直备受攻击者青睐。此外， VoIP电话被攻击 1由于某些设备有多种异常行为，从而导致中累计百分比大于100%。 35 2020DDoS 攻击态势报告 2020 年