全球DDoS攻擊觀察：最新變化與未來趨勢

隨著全球各大企業和機構加強網絡空間安全防御，并采取更主動保護措施，網絡攻擊者正在調整其攻擊技術，提高其攻擊的復雜性。網絡犯罪經濟的產業化，客觀上為網絡犯罪分子提供了更多的工具和基礎設施，導致全球的網絡犯罪率持續上升。

2022年上半年，網空安全威脅集中在俄烏戰爭，以及世界各地民族國家攻擊和黑客活動主義的興起。2月，烏克蘭遭遇該國歷史上最大的分布式拒絕服務（DDoS）攻擊，嚴重影響了政府網站和銀行的網絡服務。隨著網絡攻擊的持續，對包括英國、美國和德國在內的眾多國家帶來連鎖反應。國家攻擊組織和黑客活動主義者對英國金融服務企業發起大量攻擊，主要表現為DDoS攻擊的數量大幅增加，其目的是試圖破壞烏克蘭的盟友。

黑客主義活動在2022年持續猖獗。除了出于政治動機的攻擊外，DDoS攻擊影響了廣泛的行業，特別是游戲行業繼續受到高度關注。2022年3月，一場DDoS攻擊導致《我們之中》的游戲服務器癱瘓，數日內玩家無法訪問熱門的多人游戲。2022年下半年，新版本的RapperBot（深受Mirai僵尸網絡的啟發）被用于針對運行《俠盜獵車手：圣安德烈亞斯》的游戲服務器。

以下為基于微軟Azure安全團隊觀察的2022年DDoS攻擊趨勢。

大量襲擊集中在假日期間

2022年一天內記錄到的最大攻擊發生在2022年9月22日，攻擊次數達2215次。一天內的攻擊次數最低的日期在2022年8月22日，攻擊次數為680次。微軟宣稱，2022年網絡安全防護減少了52萬起針對全球基礎設施的攻擊，平均每天減少1435次攻擊。

圖1. 2022年每日DDoS網絡攻擊數量

2022年的6月至8月，DDoS網絡攻擊數量較低。在年底假日期間，直到12月的最后一周，DDoS網絡攻擊數量較高。這與過去幾年中看到的襲擊趨勢保持一致，但2021除外，2021年假日期間DDoS攻擊較少。2022年5月發生3.25 TBps攻擊，這是2022年最高的攻擊。

TCP攻擊仍是最常見的攻擊類型

TCP攻擊是2022年遇到的最常見的DDoS攻擊形式，占所有攻擊流量的63%，包括所有TCP攻擊類型：TCP SYN、TCP ACK、TCP洪水等。由于TCP仍然是最常見的網絡協議，預計基于TCP的攻擊將繼續構成大多數DDoS攻擊。

UDP攻擊也很重要，占所有攻擊的22%（包括UDP洪水和UDP放大攻擊），而數據包異常攻擊僅占攻擊的15%。

圖2.DDoS攻擊類型

在UDP洪水攻擊中，“欺騙洪水”攻擊占攻擊總量的53%。其余的攻擊是“反射放大攻擊”，主要類型為CLDAP、NTP和DNS。

研究人員發現 “TCP反射放大攻擊”越來越普遍，對Azure資源的攻擊使用不同類型的反射器和攻擊向量。這種新的攻擊向量利用了中間盒（如防火墻和深度數據包檢測設備）中不正確的TCK堆棧實現，以引發放大的響應，在某些情況下可以達到無限放大。例如，在2022年4月，研究人員監測到對亞洲Azure資源的反射放大SYN+ACK攻擊。攻擊達到每秒3000萬包（pps），持續15秒。攻擊吞吐量不是很高，但涉及900個反射器，每個反射器都有重傳，導致pps率很高，可能會降低主機和其他網絡基礎設施。

短時攻擊繼續流行

圖3.DDoS攻擊持續時間

在過去的一年中，持續時間較短的DDoS攻擊更為常見，89%的攻擊持續時間不到一小時。一到兩分鐘的攻擊占全年攻擊的26%。這并不是一個新趨勢，因為短時攻擊需要更少的資源，并且對于傳統DDoS防御來說，更具挑戰性。攻擊者通常在數小時內使用多次短時攻擊，以在使用最少資源的同時發揮最大影響。

短時攻擊利用了系統檢測攻擊和緩解所需的時間。緩解時間可能只需要一兩分鐘，但這些短時攻擊的信息可能會進入服務后端，影響合法使用。如果短時時間的攻擊會導致系統重新啟動，那么當每個合法用戶同時嘗試重新連接時，這可能會觸發多個內部攻擊。

美國、印度和東亞是主要攻擊目標

圖4. 攻擊目的地

與前幾年一樣，大多數DDoS攻擊都是針對美國，印度、東亞和歐洲占了剩余攻擊的很大一部分。智能手機的日益普及，以及在線游戲在亞洲的普及，可能會增加DDoS攻擊的風險。這也適用于加快數字化轉型和云應用的國家。

黑客主義卷土重來

2022年，出于政治動機的DDoS攻擊大規模增加。特別是名為Killnet的黑客組織，針對西方政府、醫療保健、教育和金融公司持續進行攻擊。俄烏戰爭中，Killnet一直是俄羅斯的堅定支持者，將DDoS攻擊作為其在西方國家制造混亂的主要武器。

美國網絡安全與基礎設施安全局（CISA）、聯邦調查局（FBI）和多州信息共享和分析中心(MS-ISAC)專門發布指南，幫助政府和組織有效應對DDoS攻擊，尤其是Killnet等黑客組織發起的攻擊。

更多物聯網設備用于DDoS攻擊

2022年，物聯網設備持續被用于DDoS攻擊，并擴展到俄烏網絡戰中。越來越多的攻擊重新利用現有惡意軟件或利用僵尸網絡的模塊化特性來實施這些攻擊。攻擊者還在日益增長的犯罪黑市購買惡意軟件和解決方案，以發展其惡意工具包。

Mirai等眾所周知的僵尸網絡，也被國家攻擊組織和不斷增長的犯罪組織所使用。此類惡意軟件的長期持續存在，突顯了其適應性，以及其感染各種物聯網設備和危害新攻擊媒介的潛力。目前Mirai仍然是主要的僵尸網絡，但物聯網惡意軟件領域的威脅格局正在演變，已經出現了新的僵尸網絡，如Zerobot和MCCrash。

2023年預測

2023年，隨著新威脅和攻擊技術的出現，網絡犯罪可能會繼續上升。預計可以看到越來越多的DDoS攻擊被用作干擾，以隱藏同時發生的更復雜攻擊，例如勒索攻擊和數據盜竊。

新的物聯網DDoS僵尸網絡將會出現，由其發起的攻擊將繼續流行，造成嚴重破壞。隨著全球地緣政治局勢日趨緊張，將會看到DDoS被黑客活動者用作網絡攻擊的主要工具。

未來，DDoS攻擊將越來越頻繁、復雜且成本低廉，各種規模的組織都必須保持主動，全年都加強防護并制定DDoS攻擊響應策略。