2021年全球DDoS攻击 现状与趋势分析 中国信息通信研究院、中国电信天翼安全科技有限公司和 华为技术有限公司联合发布 华为网络安全官网 2021年全球DDoS攻击现状与趋势分析 序言 序言 随着信息技术的不断发展与深度应用，数字化程度不断提升，数字化转型已深度渗入各个行 业。无处不在的信息基础设施、按需服务的云模式和各种商业、金融、政务、娱乐等服务平 台丰富了人们的生活内容和扩大了活动范围，足不出户即可满足生活所需。但信息化的普 及和数字化转型的深入在一定程度上也增大了网络安全的暴露面，尤其是DDoS攻击的暴露 面。此外，随着云计算、5G、物联网等技术的广泛应用，IPv6网络规模不断扩大，也加剧了 DDoS攻击形态复杂化、加密攻击常态化、攻击目标多样化等演变趋势，直接挑战传统防御 技术的有效性。 DDoS堪称网络攻击界的“板砖”，信手拈来、简单有效，攻击成本远远低于防御成本，近 年来，DDoS攻击频率、强度逐年倍增，已无可争议地成为当前网络安全最大威胁之一。尤 其是在一些重大的国际事件中，低门槛、低成本、高回报的DDoS攻击已经成为攻击者的常 规武器，直接威胁国家关键信息基础设施和重要信息系统，影响关系国计民生的各行各业。 因此，需要持续跟踪DDoS攻击趋势，洞察新型攻击趋势对当前防御能力的挑战，才能提前 做好应对准备，防患于未然，切实筑牢安全防线。 中国信息通信研究院 01 2021年全球DDoS攻击现状与趋势分析 目录 目录 关键信息摘要 03 1.1 专家观点 03 1.2 DDoS攻击态势 03 1.3 DDoS僵尸网络态势 04 1.4 DDoS攻击源态势 04 1.5 典型攻击分析 04 现状与趋势 05 2.1 DDoS攻击态势 05 2.1.1 攻击强度 05 2.1.2 攻击频率 09 2.1.3 攻击速度 10 2.1.4 攻击复杂度 10 2.1.5 攻击发生时段 25 2.1.6 攻击持续时间 26 2.1.7 攻击持久性 27 2.1.8 攻击行业分布 28 2.1.9 攻击目标地域分布 28 2.2 DDoS僵尸网络态势 29 2.2.1 僵尸家族分布 29 2.2.2 C2地域分布 29 2.3 DDoS攻击源态势 30 2.3.1 肉鸡地域分布 30 2.3.2 肉鸡运营商分布 31 2.3.3 肉鸡类型分布 32 2.3.4 反射源分布 33 典型攻击分析 34 3.1 假冒QUIC的T级攻击成网络基础设施最大威胁 34 3.2 攻击者利用中间安全设备漏洞发起HTTP反射放大攻击 36 3.3 攻击企业网络基础设施的DNS Query Flood常态化 38 3.4 扫段攻击全球化，成互联网公害 39 专家观点 45 数据来源 48 5.1 数据来源 48 02 2021年全球DDoS攻击现状与趋势分析 关键信息摘要 01 关键信息摘要 1.1 专家观点 观点1：以关键信息基础设施为目标的高强度DDoS攻击已跃升成为国家级网络安全威胁之首，需加强对DDoS 新型攻击技术和抗DDoS攻击能力的实效验证。 观点2：IPv6网络、5G、物联网、云计算加速发展，反射源无穷，僵尸海量，5Tbps级攻击和超百个C段的扫 段攻击将常态化，挑战防御成本；IPv6网络特有DDoS及双栈攻击，加剧攻击复杂化趋势，挑战防御 成功率。为应对新型攻击挑战，安全厂商须持续降低防御成本，进行防御根技术及防御架构革新。 观点3：攻击两级分化，要求防御系统具备“硬防”和“软防”智能协同，有效降低防御成本，提升防御效率。 观点4：攻击善打“短平快”战术，流量加速度持续攀升，手法复杂化，扫段攻击危及云基础网络设施安全，要 求防御系统具备秒级攻击响应及扫段攻击防御能力，同时为提升防御成功率，防御系统需具备智能化 攻击处置能力。 1.2 DDoS攻击态势 超大带宽型攻击较往年活跃。2021年，超500Gbps攻击共计8263次，是2020年的9.6倍，2019年的5.6倍； 超800Gbps攻击共计89次，是2020年的44.5倍，2019年的8.9倍；中国境内发生的最大攻击流量峰值带宽是 1.853Tbps；海外发生史上最大攻击，流量峰值带宽高达3.47Tbps。 攻击继续维持向两端延展态势。攻击业务系统的会话层、应用层威胁和攻击网络链路带宽的网络层威胁 并存。2021年，流量带宽小于10Gbps的攻击全年占比38.73%，流量带宽大于100Gbps的攻击全年占比 28.37%。 攻击频率持续呈倍增趋势。2021年攻击频率大幅度增长，是2020年的2.5倍，2019年的5.6倍。 大流量攻击秒级加速。T级攻击将大流量攻击的“Fast Flooding”【1】特点演绎到极致，攻击流量爬升速度高 达每秒75.7Gbits。 网络层攻击呈现持续攀升态势。2021年，SYN Flood、UDP反射、UDP Flood、ACK Flood、TCP反射是TOP5 网络层攻击；来自80和443端口的TCP反射突增，占比54.56%；混合攻击是主流，占比85.81%，大流量网络 层攻击惯用混合手法，且叠加“Fast Flooding”和“脉冲”【2】；ACK Flood持续演进，从虚假源泛洪演变成 以网络层CC【3】为主。 03 2021年全球DDoS攻击现状与趋势分析 关键信息摘要 互联网业务多样化，应用层CC【4】攻击手法亦复杂化、多样化。根目录攻击因易实施，成最常用攻击手法；如 果攻击者事先“踩点”挖掘耗时最长URI作为攻击目标，则多用固定资源请求、大资源请求攻击手法，为加剧 攻击效果则加持多GET速率放大或Range带宽放大；为躲避检测，则惯用变化资源请求，甚至低频CC【5】、高 频CC【6】混用；加密流量是主流，加密CC【7】增至34.91%。 IPv6网络攻击威胁已来临。IPv4网络出现过的攻击形态在IPv6网络中均已出现，IPv4/IPv6共栈攻击威胁常态 化，IPv6特有的攻击形态，如IP6over4【8】隧道攻击、IPv6 NDP Flood【9】等亦常态化。 网络层攻击和应用层攻击均惯用“短平快”战术。43.03%的网络层攻击持续时间不超过5分钟；67.65%的应 用层攻击持续时间亦不超过5分钟。 1.3 DDoS僵尸网络态势 僵尸家族分布：DDoS僵尸家族以IoT和Linux为主，按活跃C2数量排名的TOP3僵尸家族分别是Gafgyt、Mirai 和XorDDoS。 僵尸网络C2分布：DDoS僵尸网络C2 TOP3地域分布是北美、中国和荷兰；中国内地TOP3地域分布是江苏、 广东和北京。 1.4 DDoS攻击源态势 肉鸡地域分布：超300万DDoS肉鸡分布在全球200多个国家和地区，中国境内肉鸡占比89.14%；海外肉鸡 TOP3地域分布为北美、越南和巴西；中国内地TOP3地域分布为广东、江苏和山东。 肉鸡运营商分布：中国内地TOP3肉鸡运营商分布为电信、联通和移动；海外TOP3运营商分布为VNPT、 Amazon和StarHub。 1.5 典型攻击分析 T级攻击常态化、复杂化：6-8月份，Tbps量级攻击活跃，假冒QUIC和惯用“脉冲”攻击手法是其主要特征。 6-7月份，同一IDC超800Gbps攻击共发生54次，单日最高9次，假冒QUIC攻击占比46.30%。 利用中间网络安全设备发起的HTTP反射放大攻击：2021年8月，网络安全研究人员通过USENIX大会披露，攻 击者可利用网络安全设备存在的TCP会话处理漏洞及内容检查模块的配置错误漏洞，产生HTTP反射放大攻 击。10月份中国互联网出现持续性HTTP反射放大攻击诱发流量，2022年3月初在海外捕捉到完整的攻击过程。 扫段攻击【10】常态化、复杂化，成互联网公害：IDC、公有云和CDN既是扫段攻击的受害者，亦是扫段攻击流 量的重要来源；网络层攻击均可用来发起扫段攻击，低速扫段【11】和高速扫段【12】混用，并新增“脉冲”和扫 段相结合的攻击形态；扫段攻击惯用“短平快”攻击手法，43.20%的扫段攻击持续时间不超过5分钟，持续 时间短的扫段攻击1分钟内完成对整个C段所有IP地址的攻击；恶意竞争引发长达3个月的持续性扫段。 04 2021年全球DDoS攻击现状与趋势分析 现状与趋势 02 现状与趋势 2.1 DDoS攻击态势 2.1.1 攻击强度 2021年超大流量攻击主要集中在6-8月份。其中，中国境内最大攻击发生在7月份，攻击流量峰值带宽为 1.853Tbps，持续19分钟，为对80端口的UDP Flood和SYN Flood的混合攻击，其中，92.3%的流量是UDP Flood。11月份，Microsoft云租户遭受史上最大DDoS攻击，攻击流量峰值带宽3.47Tbps，攻击主要由SSDP反 射、DNS反射和CLDAP反射组成。 2019-2021年攻击峰值带宽（Gbps） 1,853 1,135 1,033 1,041 1,039 879 893 860 736 551 1月 780 753 717 607 689 791 715 749 714 882 803 959 817 930 790 817 715 618 601 950 688 661 878 780 582 478 2月 3月 4月 5月 2019年 6月 7月 2020年 8月 9月 10月 11月 12月 2021年 数据来源于华为和天翼安全 2021年超大带宽型攻击活跃。超500Gbps攻击全年共计8263次，是2020年的9.6倍，2019年的5.6倍。其中，8 月份超500Gbps攻击最活跃，共发生3600次。 05 2021年全球DDoS攻击现状与趋势分析 现状与趋势 2019-2021年超500Gbps攻击次数月度分布 3,600 1,231 516 175 183 173 1月 2月 3月 1,343 699 670 226 272 11月 12月 233 4月 5月 6月 7月 2019年 8月 9月 2020年 10月 2021年 超800Gbps攻击全年共计89次，是2020年的44.5倍，2019年的8.9倍。超800Gbps攻击主要集中在7月份，共 发生53次。 2021年超800Gbps攻击次数月度分布 53 12 11 7 0 1月 1 1 1 2月 3月 4月 2 0 5月 6月 7月 8月 9月 1 10月 11月 0