在全部 DDoS 攻击中, 18.16% 的攻击峰值在 5-10Gbps 之间,在所有区间中占比最高。不过,相比
2019 年攻击峰值向 1-5Gbps 单侧分化, 2020 年的攻击峰值在 5-50Gbps 的各区间分布趋于平均,占全 部攻击的 53.07%,5Gbps 以下的小规模攻击比例有所减少。专家分析,主要是因为 5G 网络的引入, 设备可用带宽增加,同时这些也能被物联网
僵尸网络所利用,使其执行 DDoS 的可用带宽大大增加。所 以在 5G 环境下的 DDoS 整体攻击能力提高,对 DDoS 的清洗和防护都提出了更大的挑战。
图 3.6 攻击峰值分布
数据来源:中国电信
云堤
从各季度来看, DDoS 攻击峰值小于 5G 的小型攻击普遍减少,在 5-50Gbps 之间的中小型
攻击持续 增加,进入 Q4 后,中小型攻击在全部攻击中占比 58.4%,300Gbps 以上的超大规模攻击整体占比和绝 对数量同时减少,截止 2020 年 12 月全年共发生了 1194 次,同比 2019 年的 2910 次减少 58.97%,整 体占比从 2019 年的 1.54% 下降到 0.86%。由此也可以看出普遍黑客所掌控的攻击能力范围,小流量攻 击打不死,打了没效果,而大流量攻击大多黑客掌控不了。
图 3.7 2019 年 vs 2020 年各季度各类规模攻击次数占比
数据来源:中国电信云堤
从最近三年各月数据来看,攻击峰值在 100Gbps 以上的大型攻击的次数在 2018 年和 2019 年连续 两年在高位波动后,在 2020 年有明显下降。 2020 年,100Gbps 以上的大型攻击发生了 1.59 万次(截 止至 2020 年 12 月),与 2019 年同期的 2.28 万次(截止至 2019 年 12 月)和 2018 年同期的 2.2 万 次相比,减少了 30.26%。攻击峰值在 300Gbps 以上的超大型攻击的次数从 2018 年平均每月 247 次小 幅增长到 2019 年平均每月 262 次后,2020 年大幅减少到平均每月 93 次,减少了 64.5%。
单看 2020 年, 6、7、8、9 月份为大流量攻击高峰。6 月最高,占比 12.66%。
图 3.9 2020 年大流量攻击的次数变化
数据来源:中国电信云堤
截止 2020 年 12 月, DDoS攻击的平均峰值为 38.64Gbps,和 2019 年同期的 40.05Gbps 差别不大, 2020 年前半年 DDoS 攻击的平均峰值普遍低于 2019 年,在 6 月份之后 2020 年的 DDoS 攻击的平均峰值普遍高于 2019 年。
从最大峰值来看, 2020 年的最大峰值在 6 月份之前普遍低于 2019 年,6 月份之后和 2019 年同 期相比出现交错的情况。 2019 年的最高峰值 885Gbps 出现在 2019 年 5 月份,2020 年的最高峰值 878Gbps 出现在 2020 年 12 月份。
图 3.10 攻击平均峰值和最高峰值
数据来源:中国电信云堤
我们统计了从 2016 年至 2020 年的 DDoS 平均攻击峰值,从历史趋势变化来看,平均攻击峰值自 2018 下半年
起已经进入了新的梯度。虽有波动,但依然维持在了较高的水平。
2020 年,主要的攻击类型为 UDP Flood,SYN Flood ,NTP Reflection Flood ,这三大类攻击占了总 攻击次数的 56%。UDP Flood 和 SYN Flood 依然是 DDoS 的主要攻击手法。值得关注的是,ACK Flood 由去年的攻击次数占比 14.9% 减少至 2%,NTP Reflection Flood 取代了去年 ACK Flood排名第三的位置。
图 3.12 攻击类型的攻击次数分布 数据来源:绿盟科威胁情报中心(NTI )
从混合型攻击事件来看,相比 2019 年,2020 年混合多种类型的 DDoS 攻击事件数量有所增加。在 实际攻击过程中,攻击者混合使用多种方式组合探测以求最佳攻击方式,利用协议,系统的缺陷,尽其 所能展开攻击,达到最完美的攻击效果。
从攻击类型各流量区间占比来看,大流量攻击主要是 SYN Flood 和 UDP Flood。
图 3.14 DDoS 攻击类型各流量区间 数据来源:绿盟科技威胁情报中心(NTI )
2020 年,反射类型的攻击次数占全部攻击的 34%。和 2019 年相比,反射类型的攻击次数增长较大, 同时占比也比较大。 2020 年主要的反射攻击类型为 NTP 反射攻击、 DNS反射攻击和 SSDP 反射攻击, 其中,NTP 反射攻击在所有反射攻击中占主导地位,攻击次数占比 80%,攻击流量占比 53%。
图 3.15 各类反射攻击次数与流量占比 数据来源:绿盟科技威胁情报中心(NTI )
从攻击源类型来看,反射源占比增加, 2020 年中反射源数量占所有攻击源的 14%。众所周知,大 部分反射源为 IoT 设备,随着 5G 和物联网的快速发展, IoT 设备增长迅速,与传统的单 IP 大流量攻击 不一样,黑客利用控制的海量的 IoT 设备发起慢速攻击,每 IP 的攻击的频率和正常用户的范围频率保持 一致,这使得传统的基于地理位置和限速的策略失效,因此需要多维度的检测算法区分攻击源和正常源。
2020 年 2 月,AWS (亚马逊
)声称遭遇了 2.3 Tbps 的大规模 DDoS 攻击,而此前记录的最大攻击 是 2018 年的 1.7 Tbps,而针对 AWS的攻击是基于 CLDAP反射的攻击,一共持续了三天。2020 年 10 月,Google(谷歌)披露,早在三年前(2017 年),Google 遭受到了攻击流量峰值高达 2.54 Tbps 的 DDoS 攻击,刷新了攻击记录。这次攻击同样是利用了互联网上的 CLDAP,DNS,SMTP 等服 务器形成的反射攻击。反射攻击仍然是目前带宽消耗型 DDoS 攻击的主力军。众多知名大流量 DDoS 攻 击事件中,都有反射攻击身影。
反射攻击仍在不断更新,从过去的 NTP 反射、SSDP 反射,近两年还出现了 TCP 反射、 Memcached 反射等等。反射攻击不难防护,但这些新的反射攻击方法,需要 DDoS 技术相关的研发人 员和运维人员,不断更新防护技术与策略以应对。绿盟抗 D设备支持检测并防护各类已知、未知反射攻击。
新型攻击方法不断发现,DDoS 防御技术需要及时更新。
DNS 协议安全漏洞“NXNSAttack”可导致大型 DDoS 攻击
2020 年 5 月,以色列研究人员报告了一个新的 DNS 服务器漏洞,被称为” NXNSAttack”。这个 漏洞是在 DNS递归解析在实施过程中存在的,不同于直接以主机或服务为目标造成影响的 DDoS攻击, NXNSAttack 的攻击目标是受害者的域名解析能力,它利用 DNS 递归解析器发起指向恶意 nameserver 服务器的 DNS查询请求,恶意 nameserver 服务器返回特制响应包,导致 DNS递归服务器向受害 DNS 服务器发送大量请求包从而拒绝服务,最大能导致流量增加 1620 倍。受害 DNS 服务器遭到攻击后, 新的客户端无法找到连接到服务的 IP 地址,因此无法解析服务的主机名。相比于常见的随机域名攻击, 这种新型攻击能够利用较少的资源达到同样的效果,同时攻击更加隐蔽,无法从域名的组成上分析出攻
击特征。
RangeAmp 攻击
2020 年 5 月,中国研究人员发布了另外一种新型的 DDoS 攻击放大方法 (RangeAmp),利用 HTTP 头部的 Range 字段发起恶意请求,可使 CDN(内容分发网络)和 CDN,或者 CDN和目标服务器的流 量最高放大几千甚至上万倍,从而导致带宽耗尽。这种利用漏洞型的攻击,传统的防护算法不再生效(302 跳转等),利用关键字匹配策略需要不断抓包分析,往往攻击已经发生很久了。绿盟抗 D的智能防护 可以自动学习正常流量特征,并提取攻击指纹,对异常未知的流量生成策略,自动拦截。
新型 HTTP2 DDoS攻击预警,CC2.0 时代即将到来
DDoS是依赖于网络协议存在的,网络协议的普及率越高就越容易受到攻击,每增加一层网络协议,
都会为 DDoS 攻击者供一个新的攻击维度,网络协议越复杂,潜在的 DDoS 攻击方式就越多。随着 HTTP2.0 的逐步应用,新协议带来了新的 HTTP 攻击威胁。 HTTP2.0 协议漏洞接二连三爆出,越来越 多研究指出,不同于过去的 CC 攻击,基于 HTTP2.0 的新型 CC 攻击、慢速攻击有更大的危害,对业务 服务器性能消耗有更明显作用。并且除了传统的 CC 和慢速攻击, HTTP2.0 协议还引入了新型攻击,例 如基于控制帧的洪水攻击和基于控制帧的慢速攻击,以及 HTTP2.0 的头部压缩攻击,此类攻击已有多
个 CVE记录。根据 MY SSL数据显示,国内已有 65.8% 的网站支持 HTTP2.0 协议,预计 2021 年国内 将出现更多基于 HTTP2.0 的 DDoS 攻击。HTTP2.0 的攻击方式多样,靠单一防护方案往往不能达到很 好的防护效果,所以需要一个多层次的防护方案,绿盟 ADS将于 2021 年新版本支持基于 HTTP2.0 协 议的 DDoS 攻击防护。
这些新型的攻击方法,需要 DDoS 技术相关的研发人员和运维人员,不断更新已有技术和策略,来 应对这些新型攻击。