產業安全公開課：2023年DDoS攻擊趨勢研判與企業防護新思路

2023年，全球數字化正在加速發展，網絡安全是數字化發展的重要保障。與此同時，網絡威脅日益加劇。其中，DDoS攻擊作為網絡安全的主要威脅之一，呈現出連年增長的態勢，給企業業務穩定帶來巨大挑戰。

2月21日，騰訊安全聯合電信安全、綠盟科技、騰訊云開發者社區舉辦了《2023年DDoS攻擊新趨勢與企業防護新思路》主題公開課，邀請到騰訊安全專家尤景濤、熊文韜，電信安全專家孫安吉，綠盟科技專家蘭星四位專家，基于《2022年DDoS攻擊威脅報告》，就DDoS攻擊趨勢研判，以及企業防護新思路進行分享。

以下為重點演講內容：

2022年威脅態勢解讀，DDoS攻擊進入活躍期

騰訊安全高級安全架構師尤景濤作為三方代表，帶來了主題分享《2022年DDoS攻擊威脅報告概覽解讀》，解讀報告和觀點。

1、威脅持續增加，百G以上大流量攻擊增長迅速

尤景濤：2022年DDoS威脅仍在持續增加，最大攻擊流量達到TB級，同時攻擊峰值達到歷年之最，同比2021年增加15%。整體來看2022年攻擊數值較2021年有一個特別大的增幅。

同時，在云計算、大數據、AI、視頻直播等行業高速增長驅動下，百G以上流量攻擊次數越來越多，2022年平均每隔一個小時就會出現一次，攻擊次數連續4年增長。值得注意的是，2020年-2022年三年的攻擊次數總和大于2010年-2019年的攻擊次數總和，可見近幾年DDoS攻擊態勢愈發嚴峻。

2、攻擊手法多樣，大流量攻擊以UDP為主

尤景濤：UDP類DDoS攻擊是黑客最為青睞的攻擊手法。通常來說，大流量攻擊用UDP反射占比較大，達40%以上，UDBC反射約占20%。SYNFLOOD攻擊占比則跌落到15%左右，其中SYN大包攻擊占比已不足一成。一方面是因為攻擊成本較大，另一方面是因為對于防護者來說，SYN大包較容易進行過濾。

3、游戲行業仍是DDoS攻擊高發區

尤景濤：通過對DDoS攻擊目標的行業屬性分析發現，互聯網已成為DDoS攻擊主要目標，排在第一位的是游戲行業，占比達到了60%以上。針對游戲的攻擊，很大一部分原因與競品有關，其中手游遭到DDoS攻擊最為頻繁。

4、DDoS攻擊不受時間影響，攻擊持久性增加

尤景濤：DDoS攻擊通常會對目標IP進行長時間的持續打擊，80%會持續十到三十分鐘，這一占比較2021年有明顯上升，說明鎖定單個IP不斷打擊成為當前DDoS攻擊的趨勢。在攻擊端口方面，受害端口以小端口為主，因此企業在進行防護時，要做IP地址隱藏以及端口隱藏，盡可能關閉不必要的服務，以減少被攻擊可能。

運營商視角解讀2022年DDoS攻擊走勢和防護

中國電信網信安全技術類高級專家、中國電信安全公司DDoS攻擊防護資深運營專家孫安吉，根據過去一年DDoS攻擊的主要變化趨勢，從運營商行業的獨特視角對攻擊趨勢進行解讀并分享DDoS攻擊防護實踐經驗。

1、2022年DDoS攻擊規?；厣?，次數持續增長

孫安吉：隨著互聯網的快速發展和數字化轉型的加速推進，網絡安全問題日益突出，DDoS攻擊是其中一種最具代表性的網絡安全威脅，每年都會對企業、機構和個人造成巨大的損失。

2019年，在國家治理等背景下，DDoS攻擊已進入到低谷期。然而，由于疫情以及國際局勢等多方面原因，2022年攻擊規模明顯回升，攻擊總流量增長了79%，達到64.13萬TB。單次攻擊的平均峰值也達到了42.8Gbps，較2021年增加204%。同時，根據監測數據顯示，和2021年相比，2022年的月均攻擊次數增加了三倍以上。具體而言，2022年的攻擊次數達到45.9萬次，較2021年增長了272%。

2、特大型流量攻擊事件持續增長，成為網絡安全的重要挑戰

孫安吉：2022年，針對客戶接入帶寬的大流量DDoS攻擊再創歷史性突破。其中，11月份的攻擊峰值達到3.18Tbps，相比2021年7月的1.85Tbps，攻擊峰值增長了76%。與2021年相比，2022年攻擊規模在持續增大，中大型規模的攻擊有所增加，其中特大型流量攻擊事件持續增長。大流量攻擊事件正在成為網絡安全的重要挑戰。

據統計，2022年800Gbps以上的特大流量DDoS攻擊事件已達到了65次，100Gbps以上的大流量攻擊事件達到6684次，平均每個月557次?？梢?，超大型攻擊在不斷增加，而攻擊方式還是以混合攻擊為主，極少是單一攻擊方式。這給運營商的安全防護帶來了極大挑戰。

3、DDoS攻擊形式趨向短時、高頻，SSDP反射攻擊“異軍突起”

孫安吉：據最新數據顯示，攻擊持續時長在十分鐘以內的攻擊事件占比接近79%，而在三十分鐘內的攻擊事件占比近95%。目前絕大多數攻擊的特征是快速發起，在達到峰值之后迅速回落并結束。這種縮短攻擊時長的方法可以增加攻擊頻度，也可以利用防護啟動的時間差提高攻擊效果，同時也會增加溯源追蹤難度。

另外，SSDP反射攻擊成為2022年攻擊新趨勢，自2月份開始攻擊頻次迅速增加，全年攻擊占比最大。其他常見攻擊的變化幅度相對較小，例如TCP攻擊，其占比基本保持穩定，沒有明顯變化。

探索DDoS防御新手段，實現對攻擊組織的刻畫與溯源

綠盟科技伏影實驗室高級安全研究員蘭星結合多年攻擊溯源經驗，提出和探索DDoS防御新手段，實現對攻擊組織的刻畫與溯源。

1、DDoS攻擊主要作用于關基設施，造成負面社會影響

蘭星：結合全球網絡空間的監測來看，當前DDoS攻擊可總結為以下幾點：

·DDoS攻擊成本較低廉，具有極高的作戰費效比。

·DDoS攻擊的主要作用是致癱關鍵基礎設施和重要網絡系統，這些系統被破壞后往往會遭受巨大經濟損失，并帶來極壞的社會影響。

·DDoS攻擊不同于其他攻擊，會有更多非國家行為體，甚至是個人的參入?？梢哉fDDoS攻擊已成為網空博弈重要的致癱武器。

2、DDoS攻擊監測、溯源和刻畫成為攻擊應對新思路

蘭星：當前行業內主要的應對手段是以阻斷應對防護為主，視野不夠寬泛，沒有對攻擊者形成威懾的能力。攻擊者被阻斷之后，過段時間還會去持續地攻擊目標。為了實現真正的防護，攻擊監測、溯源和刻畫十分必要。

首先，要對DDoS攻擊進行監測，發現主要攻擊活動以及重點攻擊事件，感知DDoS威脅對抗的發展，挖掘新型威脅。

其次，防護者需要找到攻擊參與者，例如僵尸主機和反射器，背后真正的控制主機以及主機控制者。結合控制者的身份信息，包括所屬工作單位，國家政策以及社交平臺，找到所在攻擊組織的信息。

在具備了DDoS攻擊監測和溯源的能力之后，就可以基于這兩部分內容對DDoS攻擊進行刻畫。結合監測到的攻擊事件、組織還有僵尸網絡的惡意文件、域名、IP，經過關聯分析，最終形成犯罪團伙和控制團伙的畫像，完成對DDoS攻擊組織的刻畫。

3、通過DDoS全球異域監測主動進行攻擊防御

蘭星：在DDoS攻擊監測方面，防護者可以從兩個方向去主動開展防御行動。

攻擊事件發生前，攻擊者需要去探測全球部署的支持脆弱協議的反射器。攻擊者探測到這種反射器后，會將其作為攻擊資源收錄到他們的基礎設施池里。在這一過程中，防護者可以偽裝成反射器，把自身作為攻擊者攻擊資源的一部分，監測攻擊者的攻擊指令和攻擊目標，實現對DDoS攻擊事件的威脅狩獵。

攻擊事件發生時，防護者可以進行僵尸主機的偽裝監測，獲取攻擊者的攻擊指令以及攻擊目標。

4、層次化溯源深挖攻擊者背后的信息

蘭星：當前針對僵尸網絡的溯源是以僵尸網絡家族為主。但關注僵尸網絡溯源不僅僅只關注其家族，更要關注其背后的控制者、攻擊團隊及其動機，以形成對攻擊者較為全面的認知。

以反射放大攻擊溯源為例。反射放大攻擊主要有兩個階段：第一個階段，攻擊者會在全球范圍內尋找可利用的反射器。第二個階段，攻擊者會利用探測到的反射器發起攻擊報文。這時，防護者可以在攻擊者探測階段隱藏在反射器背后，控制這些反射器，還原攻擊者的攻擊路徑，順藤摸瓜找到真正的攻擊者。

騰訊EdgeOne助力游戲行業構建安全、快速、穩定業務體驗

騰訊海外安全產品專家熊文韜就游戲出海浪潮下的安全防護這一話題，基于騰訊EdgeOne產品分享自己的思考與實踐。

1、游戲行業面臨業務穩定、流量盜刷、DDoS攻擊、Web攻擊四大挑戰

熊文韜：游戲行業目前面臨著四個比較大的挑戰：

·游戲業務對時延、下載、突增要求越來越高。

·CDN流量盜刷猖獗，致使用戶蒙受損失。流量盜刷通常有兩種方式：一是通過盜鏈網站模式消耗CDN流量，二是通過機器人模擬真實訪問消耗CDN流量。

·大流量DDoS攻擊成為業界新常態。如今物聯網的普及為黑客提供大量優質肉雞，加上低廉的DDoS攻擊成本，導致海外攻擊態勢愈發嚴峻，大流量攻擊逐年攀升。

·針對Web應用的攻擊成為游戲面臨的主要安全問題之一。游戲企業的官網和游戲業務本身使用7層業務接入，遭受Web攻擊往往會導致頁面被篡改、業務癱瘓、用戶數據泄露等問題，對游戲企業的經濟利益及聲譽造成重大損害。

2、應對思路：融合是趨勢，分裂的產品形態無法滿足游戲多種訴求

熊文韜：游戲行業存在多種場景，例如官網，大廳，戰斗服等，每個場景對應不同的安全產品需求，單一產品難以做到全部覆蓋。如果按單個場景去采購安全產品，可能會出現采購成本高，部署運維復雜，產品間無法協同等問題。

騰訊安全基于這些行業痛點打造了安全產品EdgeOne，它對傳統的CDN節點進行了升級，整合DDoS防護、Web防護和BOT防護等主流防護功能，兼具邊緣JavaScript函數計算、KV存儲等能力，能讓客戶在更靠近用戶的地方實現業務邏輯，保障用戶安全和優質訪問體驗。

3、針對游戲四大核心場景，EdgeOne配置場景化解決策略

熊文韜：游戲行業主要有四大核心場景，騰訊安全EdgeOne可以針對不同場景需求匹配相應解決方案。

第一個場景是游戲安裝包下載及熱更新。游戲的下載和更新對于傳輸速度、傳輸穩定性、防突增、邊緣層和中間層等有較高要求。因此，騰訊安全團隊建議下載速率要大于5MB/s，帶寬儲備不少于5~10T；開啟CDN主動預熱，緩解源站壓力；檢查客戶端行為，確保HTTP RANGE請求參數在合理邏輯內；優化EdgeOne回源鏈路，開啟多級緩存和分片回源優化能力；開啟4、7層安全策略，解決可能存在的DDoS、CC等攻擊。

第二個場景是游戲行業CDN防盜刷，它要解決的核心問題是盜鏈和機器人模擬真實訪問的問題。EdgeOne可通過Web防護開啟referer管控解決盜鏈問題，通過BOT管理功能解決機器人攻擊，同時還配備了IP黑白名單配置，IP訪問限頻配置，鑒權配置，UA黑白名單配置等，綜合去解決游戲盜刷場景威脅。

第三個場景是平臺服/大廳服安全防護及加速。針對這個場景，騰訊安全可提供DDoS防護策略，包含全球聯防超過5T能力，保障游戲業務體驗；提供Web防護策略，緩解大規模CC攻擊，提高安全防護力；提供全球訪問體驗優化，減少客戶端訪問的延遲與連接丟包率，提升全球玩家的訪問質量。

第四個場景是戰斗服安全防護及加速。戰斗服的防護較為復雜，對于傳輸速度、質量和安全的要求較高。針對戰斗服的防護需求，騰訊安全可提供包括水印防護、EO代播的云原生高防包、AI智能防護等能力在內的安全防護方案，在保證防護的同時，也能保障網絡質量。

針對游戲行業安全防護難題，騰訊安全凝聚七大核心能力護航游戲業務，包括動靜態加速，T級防護能力，Web攻擊防護，邊云協同架構，BOT管理，統一控制臺，豐富的節點和帶寬儲備，可為客戶提供綜合性、全方位的4、7層安全防護和快速、穩定的業務體驗。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：