网络安全DDoS攻击数据

DDoS，分布式拒绝服务攻击，是一种从未缺席的网络攻击。在新技术快速发展的背景下，DDoS和挖矿活动高居攻击者选择榜首，攻击手段有效性和获利便利性是DDoS攻击经久不衰的主要原因。

近日，国内老牌的网络安全厂商绿盟科技发布“2018 DDoS攻击态势报告”。报告不仅对比了2017年和2018年DDoS攻击的情况差异，而且还总结了五大DDoS攻击趋势。比如，2018年3月，著名代码托管网站 GitHub 遭受到峰值达到 1.35Tbps 的 DDoS 攻击，让反射式DDoS攻击备受攻击。

报告重要观点一览：

2018年DDoS攻击规模持续普遍增大，DDoS即服务增长迅速

DDoS攻击活动受政策监管、国家治理和利益驱动的影响明显

DDoS反射型攻击放缓，综合利用多种攻击手段的DDoS攻击值得关注

物联网威胁日渐增强，恶意软件利用的漏洞涵盖多种物联网设备

DDoS攻击多发生于业务使用高峰期，以实现对目标的精准打击

攻击目标的行业排名前三的是云服务/IDC、游戏、电商、行业内恶意竞争是主要攻击动机

僵尸网络控制端主要分布在美国和中国

中国仍是首要攻击源与攻击目标

一、DDoS攻击趋势

1. 攻击规模扩大，攻击能力普遍提高

报告称，在总流量与2017年持平的情况下，2018年的攻击规模普遍扩大。其中，攻击峰值20-200Gbps以上的中大型DDoS攻击有所增加，200Gbps以上超大规模攻击比例成倍增加。

2. 反射式攻击放缓

2018年，平均每个月反射攻击下降了0.93万次，非反射攻击增加了0.35万次。DDoS攻击活动受政策监管和国家治理的影响明显。

3. 利益驱动

DDoS 流量与比特币价格，呈一定的负相关性。在DDoS攻击和挖矿活动中，攻击者倾向在不同时期选择投入产比更高的获利方式。

4. 多发于高峰期，打击精准

攻击者倾向于在短时间内，以极大的流量导致目标服务的用户掉线、延时、抖动。

5. 物联网威胁不容小觑

2018年，参与DDoS攻击的物联网设备总量超过23万，恶意软件利用的漏洞涵盖多种物联网设备。

二、攻击对比2017 VS 2018

1. 与2017年相比，2018年攻击次数14.8万次，下降28.4%

2. 攻击总流量64.31万TB，与2017年基本持平

3. 单次攻击最高峰值1.4Tbps，与2017年基本持平

4. 平均攻击时长42分钟，比2017年下降了17%

三、DDoS攻击现状

4.1 DDoS 攻击次数和攻击流量

2018 年，DDoS 攻击次数为 14.8 万次，攻击总流量 64.31 万 TB，与 2017 年相比，攻击次数下降了 28.4%，攻击总流量没有明显变化。这主要是因为 DDoS 攻击规模逐年增大，即中大型规模的攻击有所增加。从全年来看，2018 年 DDoS 攻击次数明显下降，得益于对反射攻击有效的治理。

同时，DDoS 攻击峰值以 20-50Gbps 为主，攻击峰值 20Gbps 以下的小规模攻击减少，攻击峰值 20-200Gbps 以上的中大型DDoS 攻击有所增加，200Gbps 以上的超大模型攻击比例基本上成倍增加。

4.2 DDoS攻击类型

报告称，2018年，主要的攻击类型为SYN Flood，UDP Flood，ACK Flood，HTTP Flood，HTTPS Flood，这五大类攻击占了总攻击次数的 96%，反射类攻击不足 3%。

其中，从攻击流量来看，ACK Flood 占了全部流量的 42.6%。SYN Flood 依然是 DDoS 的主要攻击手法，UDP Flood 是长期活跃的流量型 DDoS 攻击，HTTP Flood/HTTPS Flood 是针对 Web 服务在应用层发起的攻击。

4.3 DDoS攻击时间

2018 年，DDoS攻击的平均时长为42 分钟，和2017年相比，下降了 17%。2018年，短时攻击增加，攻击时长在30分钟以内的DDoS攻击占了全部攻击的77%，而持续时间最长的DDoS 攻击在 12 天左右。

4.4 攻击资源行为分析

在所有的DDoS攻击中，DDoS 惯犯数量不容小觑，所有攻击类型中，25%的惯犯(“DDoS惯犯”意指发起过 DDoS 攻击且被威胁情报平台标记的攻击源 IP)承担了40%的攻击事件。

报告称，“无论哪种攻击类型，惯犯产生的攻击占比往往是其数量占比的将近 2 倍，其威胁程度较大，不容忽视。”

4.5 物联网攻击

根据监测结果，异常物联网设备主要被利用进行 DDoS 攻击。从地域来看，参与 DDoS 攻击的物联网设备 IP最多国家为中国，高达 9 万余 IP，其主要原因可能在于部署在国内的物联网设备的数据收集探针与国外相比较多。参与程度前五名国家还包括俄罗斯、越南、美国和巴西。

4.6 攻击目标行业分布

从受攻击行业来看，最高是云服务/IDC，其次是游戏、电商。因为云服务 /IDC 为各行各业提供网络基础设施，受到 DDoS 攻击的比例是最高的。

游戏和电子商务这两个行业，同行业之间的竞争激烈，且每天的流量大，变现快，成为攻击者眼中的“肥肉”，DDoS 攻击的重灾区。攻击者往往受雇于行业恶意竞争者，对竞争对手发起攻击，以此获得报酬，而竞争者则通过降低对手的服务质量来争抢用户资源。

4.7 DDoS攻击地域分布

报告显示，2018 年中国依然是 DDoS 受控攻击源最多的国家，占比为 72%，其次是美国和越南。其中，国内 DDoS 受控攻击源数目前三的省份是浙江，山东，河南。

同样，2018 年，受攻击最严重的国家是中国，约占全部攻击国家的 36%;其次是美国，占全部攻击的 32%。在国内，浙江是受 DDoS 攻击最多的省份，其它依次是广东，江苏，福建，北京。

五、建议

报告认为，DDoS攻击有着见效快和获利便捷等优势，将会长期受到攻击者的青睐。因此，DDoS的防护，要充分利用大数据和人工智能技术，提供更有效的预警和检测方案，充分利用云清洗服务和威胁情报，在监管机构和安全厂商之间共享威胁信息，协同防御，合作共赢。