2022年DDoS攻击威胁报告

第一章:第一章:专家观点2022年ChapteroneExpertOpinions全球DDoS威胁报告尽管2021年因为出现大型扫段攻击的原因，攻击次数已经处于高位，但是2022年全年DDoS攻击次数同比PC/IoT设备由于存在配置缺陷或者存在安全漏洞，沦入黑客之手。DDoS攻击G呈现明显的大流量攻击第一章:专家观点2022年ChapteroneExpertOpinions全球DDoS威胁报告Tb7月至8月以及11月至12月是Tb次Tb级攻击。DDoS致攻击者的攻击手法不再拘泥于之前较为典型的UDP反射和SYN大包攻击，攻击手法五花八门，呈现越来越明显的多样性。但是在Tb级别UDP反射UDP非反射第一章:专家观点2022年ChapteroneExpertOpinions全球DDoS威胁报告区域的DDoS攻击在海外各个区域中占比第二，此欧洲北美日韩东南亚其他第一章:专家观点2022年ChapteroneExpertOpinions全球DDoS威胁报告近年来，DDoS僵尸网络不断利用漏洞扩张控制范围，2022年被僵尸网络利用的在野漏洞已达135种，新漏木马。Mirai作为最活跃的僵尸网络之一，今年发现其最高携带了77个中高危漏洞，如ApacheLog4jRCE漏洞(CVE-2021-44228)、F5BIG-IP未授权RCE漏洞(CVE-2022-1388)、Spring4ShellRCE漏洞 (CVE-2022-22965)等高危漏洞。从利用弱口令起家发展到利用漏洞进行大面积扩张，Mirai寻找一切机会感SDDoS攻击为代表的攻击者将目标转向停运成本较高的关键基础等。S高昂的停运成本意味着它们常常更有可能支付赎金，这些行业一旦被攻击不仅会带来经济压力，还可能带来额第二章:整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告日8点08分，共持续1087秒，这期间平均攻击峰值超过167Gb/s，所属类第二章:整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告法方面，Tb级攻击也都聚集在UDP类攻击手法。具体来说，有三包攻击，这说明DDoS攻击者控制的攻击资源异常充裕，已经不需要借助UDP反射放大流量，就能直接发起UDP反射UDP非反射DDoS21同期相比，一个很显著的特点就是上半年的每个月的攻击次数都多于21年DDoS，为第二章:整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告2022年全年100G以上的累计超过1万次，数量为历年之最。从时间分布来看，从2月份开始，大流量攻击网络游戏历来都是DDoS攻击较多，2022年也不例外，网络游戏蝉联DDoS攻击最多的网络应用，而且占比第二章:整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告击占比高居第一，但是不同品类下的攻击占比，差距也是非常明显。手机游戏的攻击最多，而且占据了游戏行业近三分之二的DDoS攻击，而端游占比则是仅次于手游。此外如游戏加速/游戏聊天等第手游端游页游第三方游戏服务其他3%第二章:整体威胁2022年ChaptertwoOverallThreats全球DDoS威胁报告Cloud尸网络，使用恶意扩展来窃取在线账户、记录击JSDDoSCloud9实际上是浏览器的远程访问木dCloud9由三个JavaScript文件组成，用于收集系统信息、使用主机资源挖掘加密货币、执行DDoS攻击以及注入运行浏览器漏洞的脚本。该恶意软件可以利用主机通过对目标域的HTTPPOST请求执行应用层DDoS2022年ChapterthreeOverseasThreats全球DDoS威胁报告oSQ2022年ChapterthreeOverseasThreats全球DDoS威胁报告尽管22年海外整体的DDoS攻击次数走势较为平稳，但是在100G以上大流量攻击方面，各个月份之间波动TSecDDoSG量攻击占全年比例接近三分得益于区域经济高速发展，以及拥有庞大的年轻用户的互联网产业快速增长，2022年东南亚区域的DDoS攻四成以上，而且几乎在所有月份，东南亚区域的DDoS攻击在海2022年ChapterthreeOverseasThreats全球DDoS威胁报告而在峰值方面，2022年欧洲区域的攻击峰值在在海外名列第一，东南亚区域则仅次于欧洲，这两个区域的峰据绿盟全球威胁狩猎系统监测，全球近七成DDoS攻击不到10分钟，约两成的持续时间为10-30分钟，余下DDoS防护人员无法快速组织防护，只能在攻击发生后进规则，使下次发生攻击时能产生告警并及时拦截。这类短时间的DDoS攻耗。S2022年ChapterthreeOverseasThreats全球DDoS威胁报告从受害端口对应的攻击事件数来看，受害者遭受的DDoS攻击的服务以telnet远程登录服务(23/TCP)和HTTPs服务(443/TCP)的为主。2022年受疫情影响，民众居家办公成为常态，远程登录服务(23/TCP)和文件传输服务(21/FTP)成为遭受DDoS攻击的重灾区。此外，在一些对安全性要求较高的网站比如银行，购物，金融等行业都会采用HTTPS(443/TCP)服务，这类行业的网站若遭受DDoS攻击，可能会造成严重的经济损失。2022年，UDPFlood，SYNFlood和UDPFragementFlood是TOP3网络层DDoS攻击。UDPFlood攻击占比较2021年提升了8.01%，SYNFlood较2021年下降了15.08%。需要注意的是，UDPFragmentFlood攻击类型显著增多，在UDPFragmentDDoS攻击过程中，攻击者会传输伪造的UDP数据包，这些数据包看起来比最大传输单元MTU大，但实际上只发送了部分数据包，这些数据包无法重新组合，服务器的资源很快就会被消耗掉，最终导致无法正常服务。-202022年ChapterthreeOverseasThreats全球DDoS威胁报告内应用层攻击源IP攻击的活跃度较高，也表明有僵尸网络在其境内较为活跃。北美洲是应用层DDoS攻击的2022年，秘鲁成为遭受应用层DDoS攻击最多的国家。攻击者“趁火打劫”对其进行大规模应用层DDoS攻第四章：黑产视角2022年左右，其中SYN大包攻击占比已经不足一成。作为近两年攻击的热点手法，TCP反射在全部攻击中的占比100G以上的大流量攻击中，UDP类攻击还是绝对主力，占比接近6成。但是与以往不同的是，今年的UDPDDoS团队的监测数据，Mirai僵尸网络强势崛起，该僵尸网络的多个变种发起的攻击活动都以UDP大包攻击rDDoSUDP第四章：黑产视角2022年根据腾讯安全T-SecDDoS团队的监测数据，2022年攻击活动最活跃的僵尸网络是Mirai僵尸网络，占据所有僵尸网络活动的比例高达54%。此外Gafgyt和BillGates僵尸网络的攻击活动占比则分列第二和第三。而前两年大量发起SYN大包攻击的XorDDoS僵尸网络的占比则保持在低位，不足1成。GafgytBillgatesXorDDoSDofloo从肉鸡数量维度来看，Mirai僵尸网络仍然是所有僵尸网络中的王者，占比超过四成，Gafgyt，BillGates和XorDDoS的肉鸡数量占比则较为接近，但是占比都不足2成。iralGafgytBillgatesXorDDoSDofloo第四章：黑产视角2022年TOPLinux/IoT高危漏洞利用情况进行统计后发现，漏洞利用率的高低与僵尸网络的活跃控制端数量维度来看，Mirai僵尸网络的控制端数量最多，占比接近8成。黑产团伙为规避法律法规风险，通常将控制端部署于境外云主机。2022全年，94%的僵尸网络主控端位于境外，分布区域以北美及欧洲为主。其中DigitalOcean和FranTechSolution是涉及僵尸网络控制端最多的第四章：黑产视角2022年根据绿盟科技伏影实验室监测，从攻击活跃度来看，Mirai僵尸网络发起了接近一半的DDoS攻击，并于7-8月达到攻击高峰。XorDDoS僵尸网络的攻击指令总数已然超过传统家族Gafgyt，本年度发起的攻击活动占比SSHSHELLXorDDoS恶意家族以及恶意RootKit来感染客户主机。XorDDoS僵尸网络家族的主要攻击目标为中国、第四章：黑产视角2022年。美国作为世界第一大经济体，成为僵尸网络攻击的首要目标。根据绿盟科技伏影实验室监测，2022年全年最活跃的Mirai僵尸网络以及Gafgyt和XorDDoS等知名僵尸网络的主要攻击目标都位于美国，此外，中国和德S第五章：攻防对抗案例2022年第五章：攻防对抗案例2022年度班加罗尔)和138.XXX.65.XXX(位于德国法兰克福)。攻击者动用了超过4万台肉鸡发起攻击。其中来自4%，国内的各个省份均有分布，其防护困境一：防护困境一：Tb级别DDoS攻击成为现实威胁，不仅会影响被攻击业务，还会导致运营商网络拥塞，导致整个机房业务受影响。进化，攻击能力日新月异，攻击手法变化莫测。普通企业的安全团队资源有限，难以把握黑产最新攻击态势，在与高端团伙对抗时很容易陷入被动。防护，追踪业界最新的安全攻防态势，不断迭代安全防护策略，实现安全威胁一旦感知即能广泛防护的第五章：攻防对抗案例2022年2022年3月上旬，国际拉美地区某客户遭受了UDPFlood攻击，峰值期间攻击流量达到66.9Gbps。绿盟IBCS团队发现本次攻击的源端口为固定的10074，经过深入分析，可以确定本次攻击是黑客利用TP-240drv驱动程序存在漏洞(CVE-2022-26143)发起的反射放大攻击。该漏洞可以使tp240dvr服务的一个公开命令遭到滥用，该命令旨在对其客户端进行压力测试，以便于调试和性能测试。攻击者可以使用自定义的命令使tp240dvr服务发送更大的信息状态更新数据包，从而显著提高放在得出结论后，绿盟IBCS团队在ADS上将防护群组的U