騰訊云發(fā)布了今年上半年的DDoS攻擊分析報告

　　這兩天剛剛被微軟收購的GitHub很出風(fēng)頭吧，可在今年2月底的時候，它剛遭遇一次DDoS攻擊，被認(rèn)為是GitHub有史以來遭遇的最嚴(yán)重的一次攻擊。

　　其實在安全界，DDoS早已“成名”：DDoS英文全稱Distributed Denial of Service，中文含義為“分布式拒絕服務(wù)”，是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，主要瞄準(zhǔn)例如商業(yè)公司、搜索引擎和政府部門等比較大的網(wǎng)站站點或者服務(wù)器。DDoS攻擊通過多臺受控機器向某一指定機器進行攻擊，來勢迅猛令人難以防備，同時具有較大的破壞性。

　　2018上半年的DDoS攻擊，無論從流量的角度還是從次數(shù)的角度來看，都上升了一個新的高度——

　　DDoS攻擊流量峰值每年都不斷地被超越，上半年的一起Memcached DDoS攻擊，其峰值達到了1.7 Tbps。

　　從國內(nèi)各省的統(tǒng)計來看，受到DDoS攻擊較多的省份是長三角、珠三角和京津片區(qū)，即中國的互聯(lián)網(wǎng)發(fā)達省份，其中以江浙兩省最多。

　　從攻擊時長來看，占比最多是1min以下的攻擊，其主要攻擊方式是瞬時攻擊，即以極大的流量直接癱瘓掉攻擊的服務(wù)，導(dǎo)致大量用戶掉線、延遲、抖動等。

　　DDoS黑色產(chǎn)業(yè)鏈的人員與技術(shù)的演進，降低了整體DDoS入門的門檻，在溯源監(jiān)控中發(fā)現(xiàn)，有的 DDoS黑產(chǎn)團伙平均年齡在20歲左右，甚至還有未滿16周歲的學(xué)生。

　　以上內(nèi)容都是來自于騰訊云正式對外發(fā)布的《2018年上半年DDoS攻擊趨勢分析》（以下簡稱《分析》），來自騰訊安全云鼎實驗室的darrensong是報告的主要統(tǒng)計者和撰寫者。對于很多關(guān)注安全的人而言，這份每半年發(fā)布一次的DDoS攻擊報告堪稱業(yè)界大福利包。

　　每隔半年，騰訊云都會針對DDoS的最新攻擊方法、攻擊流量和DDoS黑產(chǎn)鏈發(fā)展情況，給用戶展示DDoS攻擊的全貌及技術(shù)解讀，讓用戶更深入地了解DDoS黑產(chǎn)能力與運作方法，合理選擇自己業(yè)務(wù)的防御產(chǎn)品；也讓抗D產(chǎn)品有所側(cè)重，對新的攻擊方法、攻擊流量的主要區(qū)間等進行重點關(guān)注；同時讓有溯源需求的安全技術(shù)人員，隨時了解DDoS黑產(chǎn)的發(fā)展方向與動態(tài)。

　　“騰訊云在DDoS方面具備多年的技術(shù)與數(shù)據(jù)積累，擁有多維度的DDoS監(jiān)控數(shù)據(jù)。”darrensong說。

　　對于2018年上半年DDoS與以往不同的地方，他分析了有以下幾點：

　　2013~2018 DDoS 攻擊流量峰值統(tǒng)計

　　在《分析》所列的14個主要行業(yè)中，游戲行業(yè)受到的DDoS攻擊最多，占所有行業(yè)的37%，超過排名第二和第三的門戶網(wǎng)站/社區(qū)和IT服務(wù)/軟件兩個行業(yè)的占比之和。游戲行業(yè)中，手機游戲受到了最多攻擊，超過游戲行業(yè)所受攻擊的三分之一。此外，醫(yī)療、教育、物聯(lián)網(wǎng)等一些公共領(lǐng)域因為互聯(lián)網(wǎng)化進程加快，也成為了攻擊目標(biāo)。

　　圖片來源：《2018上半年互聯(lián)網(wǎng)DDoS攻擊趨勢分析》

　　在DDoS的攻擊區(qū)域分布上，經(jīng)濟發(fā)達和互聯(lián)網(wǎng)發(fā)達地區(qū)所受到的攻擊更多，并且無國界特征愈發(fā)明顯。國際上，DDoS攻擊的主要目標(biāo)集中在歐美和新興亞洲國家；國內(nèi)來看，長三角、珠三角和京津地區(qū)受到的DDoS攻擊較多，其中浙、蘇、粵三省位居前三。

　　目前，在各種不同類型的攻擊方式中，反射放大型DDoS攻擊被利用的頻率最高。根據(jù)《分析》，反射放大型攻擊在所有攻擊中占比過半，約為55.8%，并有不斷上升的趨勢。今年三月爆發(fā)的Memcached DDoS攻擊，利用反射放大，打出1.7Tbps的超高流量攻擊，排名第五。

　　作為DDoS一直以來的主要攻擊手法，SYN Flood排名第二，其載體由海量肉雞逐漸轉(zhuǎn)向發(fā)包機。HTTP Flood雖然仍以肉雞發(fā)起攻擊為主，但也開始逐漸向代理服務(wù)器和發(fā)包機發(fā)展。

　　圖片來源：《2018上半年互聯(lián)網(wǎng)DDoS攻擊趨勢分析》

　　此外，《分析》顯示，DDoS攻擊鏈條逐步實現(xiàn)了平臺化和自動化，進一步降低了入門門檻，使得大流量的攻擊發(fā)起更加簡單、精準(zhǔn)。傳統(tǒng)DDoS攻擊需由發(fā)單人提出需求，經(jīng)由擔(dān)保商、流量商、肉雞商等中間環(huán)節(jié)，提交給攻擊手發(fā)起攻擊。而目前的頁端DDoS攻擊，發(fā)單人直接在平臺下單，自主選擇攻擊方式和流量大小，100%成單；攻擊手也被自動化的攻擊平臺取代，從發(fā)起命令到開始攻擊，延時僅在10s左右，攻擊效率大大提高。

　　針對上述攻擊流量不斷攀升、行業(yè)范圍不斷擴大、攻擊區(qū)域全球化、攻擊鏈條逐步平臺化和自動化的趨勢和特征，騰訊安全云鼎實驗室負(fù)責(zé)人董志強指出：“未來，DDoS的攻防對抗將會是一場持久戰(zhàn)，需要聯(lián)合內(nèi)外資源，建設(shè)堅固的一體化防護體系共同對抗。”

　　面對這些新的行業(yè)挑戰(zhàn)和企業(yè)用戶面臨的嚴(yán)峻的DDoS 攻擊威脅，騰訊云也提出了大禹GDS（Global Defense System）全球一體化DDoS防護體系，具有全球防御、海外流量預(yù)壓制和UDP預(yù)壓制等能力，同時具備單資源1.7T的超大防護能力，未來更可提升至3.7T及以上，為用戶的業(yè)務(wù)保駕護航。