DDoS攻击的2020：一场古老攻击的新生变化

DDoS攻击，作为一种古老传统又长盛不衰的网络攻击方式，在近年来随着物联网设备的增加，机器学习和人工智能的兴起，变得越来越普遍和强大。2020年以来，由于新冠肺炎疫情的影响，许多企业和组织转向在家办公和远程协作，全球互联网使用量激增，随之而来的DDoS攻击的流量、类型和强度都不断呈指数型增长。2020年10月，谷歌云团队披露一起未公开过的DDoS攻击，该攻击早在2017年9月就以谷歌服务为目标，攻击规模达到2.54 Tbps，成为迄今为止有记录以来最大的DDoS攻击。


为了跟踪和呈现DDoS攻击的全局态势，绿盟科技和中国电信云堤近期联合发布《2020DDoS攻击态势报告》，从攻击次数、流量、攻击类型、时间、地域、行业等多个维度，剖析2020年的DDoS的变化和演进。安全419梳理、摘取报告重要观点，以帮助企业了解风险态势并持续改善自身网络安全防御体系。

观点一：2020年DDoS攻击次数和总流量下降，国家主管部门开展的“净网2020”专项治理效果明显

报告监控数据显示，2020年DDoS攻击次数为15.25万次，攻击总流量为38.65万TB，与2019年同期相比，攻击次数减少了16.16%，攻击总流量下降了19.67%。


下降态势一方面源于抗D设备检测和防护能力越来越强，防护及时有效，另一部分得益于主管部门治理的结果，“净网2020”专项治理行动重点打击黑灰产业链，这正是DDoS中占比较高的攻击对象。

同时需要重视的是，5G酝酿之际，IoT设备和移动终端不断沦陷为新的流量源泉，HTTP2.0等新技术的发展也促进新型攻击手段的研制，从DDoS往年的攻击经验来看，当前的下降绝不是悄无声息的消失，未来可能会面临更大的高峰。

观点二：受新冠疫情爆发的影响，国内二月份的DDoS数量激增，攻击势力主要来自境外，美国是最大境外攻击来源国

疫情期间遭受的网络攻击有增无减。特别是二月份DDoS数量激增。1-4月份的攻击中，74.21%的攻击都来自国外。美国是最大境外攻击来源国，攻击占比24%。


观点三：5G环境下的DDoS攻击带宽增加，平均攻击峰值提升，中小型攻击替代小型攻击占主导地位。

从历史趋势变化来看，平均攻击峰值自2018下半年起已经进入了新的梯度。18.16%的攻击峰值在5-10Gbps之间，在所有区间中占比最高。相比2019年攻击峰值向1-5G单侧分化，2020年的攻击峰值在5-50G的各区间分布趋于平均，占全部攻击的53.07%，5Gbps以下的小规模攻击比例有所减少。


观点四：DDoS反射型攻击数量和反射源数量占比增加，新型反射攻击层出不穷，反射攻击防护需要及时更新

反射类型的攻击次数占全部攻击的34%。相比去年增长明显。从攻击源类型来看，反射源占比增加，2020年中反射源数量占所有攻击源的14%。


观点五：新型攻击方法不断发现，DDoS防御技术需要及时更新

DNS协议安全漏洞“NXNSAttack”可导致大型DDoS攻击
2020年5月，以色列研究人员报告了一个新的DNS服务器漏洞，被称为"NXNSAttack"。攻击者可以利用这个漏洞，同时部署恶意的DNS服务器，可以对目标DNS服务器发起攻击，最大能导致流量增加1620倍。

RangeAmp攻击
2020年5月，中国研究人员发布了另外一种新型的DDoS攻击放大方法(RangeAmp)，利用HTTP头部的Range字段发起恶意请求，可使CDN（内容分发网络）和CDN，或者CDN和目标服务器的流量最高放大几千甚至上万倍。

新型HTTP2 DDoS攻击预警，CC2.0时代即将到来
随着HTTP2.0的逐步应用，新协议带来了新的HTTP攻击威胁。随着HTTP2协议漏洞接二连三爆出，越来越多研究指出，不同于过去的CC攻击，基于HTTP2的新型CC攻击、慢速攻击有更大的危害，对业务服务器性能消耗有更明显作用。

这些新型的攻击方法，需要DDoS技术相关的研发人员和运维人员，不断更新已有技术和策略，来应对这些新型攻击。

观点六：攻击平均时长缩短，攻击成本不断下降

DDoS攻击的平均时长为42分钟，相比去年下降了21%。攻击时长在30分钟以内的DDoS攻击占了全部攻击的79.9%，与2019年的75%相比提升了6%。

观点七：国内医疗、教育、政府行业疫情期间遭受DDoS攻击次数增长显著

医疗行业在疫情期间遭受的DDoS攻击有增无减。三月和四月为攻击最高峰，之后逐月递减。7月之后的DDoS趋势和去年基本保持一致，且稍稍减少。除了医疗行业，政府和教育行业的DDoS态势也有相同趋势。稍有不同的是，在下半年，DDoS下降的趋势更加明显。


观点八：单一团伙的攻击总流量最高达到3624TB，这个最大攻击总流量是去年的两倍以上

2020年共发现45个活跃团伙，大部分团伙规模都在200到1万之间，规模最大的团伙成员高达4.9万个。单一团伙的攻击总流量最高达到3624TB，这个最大攻击总流量是去年的两倍以上。团伙攻击资源主要为IDC和物联网设备。


观点九：Mirai和Gafgyt仍旧是当今世界范围内影响最大的两个Linux/IoT DDoS家族

2020年，绿盟科技伏影实验室追踪到这两个家族的C&C地址就超过了1500个，活跃C&C占到94%，平均每日就会新部署约4~5个C&C。这些C&C攻击了超过22万个IP和域名，平均每月700多个目标。


回顾2020，每天都在见证历史，疫情爆发、国际关系变化、5G发展……网络空间也面临一次次凶险博弈。国际大事件往往会给黑客创造网络攻击的时机，新的攻击手法也是层出不穷，随着 5G 和物联网设备的快速发展，黑客利用海量物联网设备发起的慢速攻击需要新的应对思路。移动终端不断沦陷，对传统的 DDoS 防护技术和架构带来巨大的挑战。反射攻击仍是 DDoS 攻击主力，新型反射攻击层出不穷，防护需要及时更新。针对 HTTP2.0 等新型攻击方法的不断被发现，迫使 DDoS 防御技术的升级。DDoS 的防护要充分利用大数据和人工智能技术，才能在瞬息变幻的环境变化中跟踪他们的脚步甚至预测到他们的攻击，推出新的防御算法，在这没有硝烟的网络战争中使自己既能料敌于先，也能后发先至，才有把握使胜利的天平始终倾斜在我们这边。

关注「绿盟科技」微信公众号（ID：NSFOCUS-weixin），公众号后台回复「DDoS报告」，即可获取完整版报告。