云鼎实验室：2018上半年互联网DDoS攻击趋势分析

2018年上半年DDoS攻防仍如火如荼发展，以IoT设备为反射点的SSDP反射放大尚未平息，Memcached DDoS又异军突起，以最高可达5万的反射放大倍数、峰值可达1.7 Tbps的攻击流量成为安全界关注的新焦点[1]。DDoS这一互联网公敌，在各种防御设备围追堵截的情况下，攻击者夜以继日地钻研对抗方法、研究新的攻击方式；而且往平台化、自动化的方向发展，不断增强攻击能力。腾讯安全云鼎实验室主要从2018年上半年DDoS攻击情况的全局统计、DDoS黑色产业链条中的人员分工与自动化操作演进两个方面进行分析阐述。

此外，就目前企业用户面临的严峻的DDoS攻击威胁，腾讯云也提出了大禹GDS全球一体化DDoS防护体系，为用户的业务保驾护航。

一、全局统计分析

1.2013~2018年DDoS流量峰值情况

DDoS攻击流量峰值每年都不断地被超越，上半年的一起Memcached DDoS攻击，其峰值1.7 Tbps达到了一个新的高度。虽然已经关闭了大量的Memcached的UDP端口，但其5万的反射放大倍数，仍使攻击者可利用少量未关停UDP端口的Memcached反射点，打出大流量攻击。所以在短短的三个月里，Memcached DDoS已成为反射放大的一股主要力量。

（2013~2018年 DDoS 攻击流量峰值统计）

2.DDoS攻击行业分类情况

随着各行各业的互联网化，DDoS的攻击面也越来越多，这里我们列出了14种主要行业。游戏行业因其日流水量最大、变现快，一直站在利益的风口浪尖上，当仁不让地成为DDoS首选的攻击目标，也是上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后，也遭受到了不同程度的攻击，且呈上升的趋势。

在游戏行业当中，手机游戏已超过了PC客户端游戏成为了DDoS攻击的主要目标。H5游戏的崛起，也成为了DDoS的关注点，占整体攻击的1.4%。这里我们首次把游戏的第三方服务归结到游戏中，游戏的飞速发展催生了大量的第三方服务商，包括但不限于游戏虚拟财产买卖平台、数据分析、电竞、美术/音乐外包、游戏云服务、游戏资讯等各个环节。

（2018上半年 DDoS 攻击行业分类情况）

3.DDoS 攻击的类型占比统计

在攻击类型中，反射放大占比最多，约为55.8%。Memcached作为今年三月以来的新兴反射放大力量，迅速被DDoS黑产界利用，其在整体的占比中也相当大。反射放大占比如此之多的一个原因是 DDoS黑产的自动平台化，即无需人工干预，完全自动流程可完成攻击的所有操作。

SYN Flood排名第二，一直是DDoS的主要攻击手法。随着DDoS黑产的平台化，SYN Flood的载体也发生了改变，由海量的肉鸡渐渐转移到了发包机上（以伪造源 IP 的 SYN Flood 为主）。

HTTP Flood作为7层攻击的主要方式，因为要建立完整的TCP连接，不能够伪造源IP，所以还是以肉鸡侧发动攻击为主。但云鼎实验室监测发现，HTTP Flood也开始向代理服务器和发包机发展。在互联网上获取海量的代理服务器相比肉鸡的抓取容易很多，以代理服务器频繁地变换真实的IP，再加上交互的模拟，可以使HTTP Flood很难被发现。而发包机的方式，虽不能变换IP ，但可以频繁变换UserAgent的内容，以突破针对HTTP Flood的防御。

（2018上半年 DDoS 攻击的类型统计）

下图给出了几种反射放大的反射源地域分布情况。从抽样数据统计可见，LDAP、NTP、Memcached为主的反射源Top 10的国家重合度很高，以美国、中国、欧洲国家为主。SSDP反射源因IoT设备的问题，导致其地域分布有所不同。

（反射源地域分布抽样统计）

4.DDoS所对应的C2地域分布

近年来国内的互联网安全措施持续加强。通过监控发现，在国内的C2渐渐有外迁的现象。还有一些持有高性能肉鸡的黑客，看到了虚拟货币的逐利远远大于DDoS攻击，将一部分高性能肉鸡转去挖矿。鉴于以上原因针对用于DDoS的C2监控难度越来越大。

（C2服务器所在地域情况）

5.家族情况

通过对攻击家族的监控，主要以Xorddos、Billgates、Mayday、Dofloo、Nitol、Darkshell等家族为主。Xorddos是发起攻击最多的家族，甚至每天多达上万次的攻击，攻击类型多以SYN Flood为主、其他攻击类型为辅的组合攻击。Nitol家族是发起HTTP Flood攻击最多的家族，还会输出SYN Flood、ICMP Flood、TCP Flood 等攻击。以上家族攻击的统计中，针对各个行业的攻击都有涉猎，游戏行业无疑是攻击的首选。

6.被攻击IP的地域情况

DDoS攻击目标按地域分布统计中，国外受攻击最多的国家是美国，其次是韩国、欧洲国家为主，DDoS攻击的主要目标还是聚集在互联网发达的国家中。

（2018上半年国外遭受 DDoS 攻击地域分布）

在国内各省的统计来看，受到DDoS攻击较多的省份是长三角、珠三角和京津片区，即中国的互联网发达省份，其中以江浙两省最多。

（2018上半年国内遭受 DDoS 攻击地域分布）

7.每月百G以上攻击流量情况

以每月的超过百Gbps的攻击次数统计来看，百Gbps流量分层占比相差不多。100-200 Gbps占比最大，基本都在75%以上，而超过300 Gbps的流量攻击次数较少。

（2018上半年 DDoS 每月超过百 G 攻击占比情况）

8.攻击流量带宽分布情况

在攻击流量的分层统计上，1-5G的攻击次数最多，占比约38%。通过统计可得到，大多数的攻击均为100 Gbps以下的流量攻击，超过百G的攻击累计占总攻击次数不到5%。整体的攻击流量平均峰值约在5.2 Gbps左右。

（2018上半年 DDoS 分层流量的攻击次数统计）

9.攻击时长分布占比情况

在攻击时长来看，占比最多是1 min以下的攻击，约占38.7%。其主要攻击方式是瞬时攻击，即以极大的流量直接瘫痪掉攻击的服务，导致大量用户掉线、延迟、抖动等。5-10 min也占相当大比例，约28.7%。抽样统计得出，平均攻击时长约1h，单次攻击最长时长约54天。

（2018上半年 DDoS 发起攻击的时长占比统计）

二、DDoS黑色产业链条演进

我们从黑产中的人员分工与自动化操作两个方面进行DDoS发展的阐述。

1.传统DDoS攻击

早期的DDoS一般是黑客一个人的游戏，从工具开发、bot传播、接单、攻击等都独自完成。随着互联网经济的飞速发展，网络攻击获利越来越多，催生了DDoS攻击的大量需求，例如竞品的攻击、DDoS勒索等。高额的利益便会催生对应工作的精细化分工，DDoS的黑产也不例外。我们针对传统DDoS攻击的专业化人员分工进行分析：

· 发单人：也可以称为金主，是DDoS攻击后的直接获利者，提出攻击需求。

· 担保商：也可以称为中间人，是DDoS黑产中较出名的人物，在各个不同分工人员间做“信任”担保，与交易环节的资金中转工作。担保商也会自己架设接发单平台或即时通讯工具群等形式来扩大自己的知名度，带来更多的DDoS攻击业务。

· 接单人：也可以称为攻击手，通过操作C2服务器或发包机直接发起DDoS攻击。

· 流量商：通过担保商或直接将国外购买的流量服务器售卖给攻击手。

· 肉鸡商：手头上拥有大量的肉鸡资源，通过担保商或直接将肉鸡售卖/出租给攻击手。

· 黑客软件作者：开发botnet程序，反射放大程序等各种DDoS工具。

这样的多种分工，使DDoS在技术难度上被拆解，技术门槛降低，部署更容易。同时给互联网安全人员的分析与溯源带来更大的困难。在分析中我们发现，有一些人员也可能同时担当多个角色。

虽然这种比较早期的DDoS攻击分工已十分成熟，但还是存在一定的不足之处：

（传统 DDoS 的人员分工与攻击流程）

2.目前DDoS攻击

鉴于传统DDoS攻击的不足，促使了DDoS多个环节的自动化发展，页端DDoS攻击平台便是发展的结果之一。其高度集成管理，在成单率、响应时长、攻击效果等方面都得到了可行的解决。在人员分工上，有了新的发展：

担保商淡出DDoS黑产圈，发单人可直接在页端DDoS攻击平台下单、支付费用，且可以根据自己的攻击目标的情况选择攻击方式与流量大小，保障了百分之百的成单率。

攻击手已被自动化的攻击平台取代，不需要手动操作攻击。从发起攻击命令到真正开始攻击，一般延时在10s左右，再也不用等几小时或几天了。

发包机提供人替代了流量商角色，且完成发包机的程序部署、测试，最终给出发包机的攻击类型、稳定流量、峰值流量等各种定量且稳定的攻击能力。稳定的攻击流量保障了最终的攻击效果。

站长成为了页端DDoS攻击平台的核心人员，进行平台的综合管理、部署、运维工作。例如：DDoS攻击套餐管理、注册用户（金主）管理、攻击效果与流量稳定保障、后续的升级等。

（页端 DDoS 攻击平台的人员分工与自动化流程）

不同的页端DDoS攻击平台也有不同的实现，但其操作流程、核心功能都很相似。下图给出了其技术解读：从此图中可见，用户注册、套餐付费、攻击发起等在用户侧都可以完成，不需要其他人员参与。对比传统DDoS攻击来看，已完成了全自动的无人值守攻击方式。在图中调用传统肉鸡的攻击形式很少，主要是调用发包机的攻击方式。发包机中主要配置的是反射放大的各种程序和其对应的反射源列表，偶尔会有伪造源IP 的 SYN Flood、动态变化UserAgent 的 HTTP Flood(如 goldeneye 工具)。

（页端DDoS攻击平台）

三、总结与趋势展望

综上所述，上半年的DDoS攻击无论从流量的角度还是从次数的角度来看，都上升了一个新的高度。

DDoS黑色产业链的人员与技术的演进降低了整体DDoS入门的门槛，在溯源监控中发现，有的DDoS黑产团伙平均年龄20岁左右，甚至有未满16周岁的学生也是其中的一员。

在DDoS的整体防御上，建议用户采用具备大带宽储备和BGP资源的云服务商防御方案。如腾讯云大禹拥有30线BGP IP接入资源，丰富的场景化防护方案。

随着智能AI设备与物联网的飞速发展，DDoS的新宿主平台不断出现，DDoS攻防战会越来越激烈。可以预期，2018年下半年DDoS会呈现出多样化的发展：

引文：

[1] 1.7Tbps 流量: https://asert.arbornetworks.com/netscout-arbor-confirms-1-7-tbps-ddos-attack-terabit-attack-era-upon-us/

《2018上半年互联网 DDoS 攻击趋势分析》PDF下载