DDoS攻擊趨勢：攻擊日益猖獗，辦公設備占據肉雞資源的半壁江山

數字化時代加速發展，各種類型的網絡威脅日益加劇。DDoS攻擊作為破壞性極強的攻擊類型，攻擊手法和攻擊目標呈現多元化趨勢，溯源難度較大，給各行業的安全防護帶來巨大挑戰。2022年上半年DDoS攻擊趨勢有怎樣的變化，哪些黑產團伙最為活躍？他們利用了哪些攻擊手法？纂取了哪些攻擊資源？綠盟科技聯合騰訊安全、電信安全團隊為您一一揭曉。

一．威脅態勢

UDP反射攻擊仍是黑客首選攻擊手法，其中NTP反射是最熱門反射攻擊類型

2022年上半年，攻擊手段繼續多元化發展，大約三分之二的DDoS攻擊是基于UDP協議發起，可見UDP反射仍最受黑客青睞。NTP反射攻擊由于其具有400-500放大倍數，且在互聯網上數量龐大，獲取成本廉價，盤踞UDP反射攻擊類型之冠，占UDP反射攻擊數量的四分之三。

Mirai僵尸網絡上半年稱王，XoR.DDoS僵尸網絡逐漸沒落

無論是從攻擊指令的角度，還是發起DDoS攻擊次數的角度，Mirai僵尸網絡都是上半年威脅最大的僵尸網絡。從攻擊指令分布來看，Mirai占據了接近一半數量。從發起DDoS攻擊的維度來看，Mirai僵尸網絡發起了超過6成的DDoS攻擊。前兩年較為活躍的Xor.DDoS僵尸網絡現在已經非常式微，發起的DDoS攻擊活動占比不到2%。

僵尸網絡規模擴張迅猛，高危漏洞成最大武器

近年來，DDoS僵尸網絡利用漏洞擴張控制范圍。2022年上半年被僵尸網絡利用的在野漏洞已達到 100 種，且迅速集成新發現的漏洞，在網絡服務主機漏洞還未修復之前乘機入侵并控制。

針對TOP20的Linux/IoT高危漏洞利用進行統計發現，漏洞利用率的高低與僵尸網絡的活躍程度、規模呈明顯的正相關性。活躍度最盛的Mirai和Gafgyt僵尸網絡攜帶漏洞幾乎占滿近兩年利用率TOP20高危漏洞，反觀近兩年活躍程度持續下滑的XoR.DDoS僵尸網絡對TOP20漏洞的利用率不足20%。

攻擊資源的竊取日益猖獗，辦公設備占據肉雞資源的半壁江山 

綜合來看，5月和6月成為2022年上半年DDoS威脅最大的月份。通過分析發現，5月份之后Tb級別的攻擊，攻擊手法幾乎都是通過肉雞直接發起巨量UDP大包攻擊，說明當前的攻擊者手中的資源非常充裕，已經可以做到不依賴UDP反射放大即可產生Tb級的攻擊流量。

肉雞的分布主要集中于遠程辦公設備和物聯網設備，2022年上半年由于疫情影響，大量民眾居家辦公，VPN、Famatech Radmin（遠程控制軟件）、NAS（數據存儲服務器）、Kubernetes(開源容器集群管理系統 )等辦公相關的軟件和應用占據了半壁江山，路由器和攝像頭等常用的物聯網設備超過四成。

這些設備由于其技術復雜，存在安全漏洞的風險較高，經常被黑客利用造成嚴重后果，企業和個人都需提升安全防范意識，讓攻擊者“無孔可入”。

二．攻防對抗案例

2022年6月上旬，拉美地區接入綠盟MSS可管理安全服務的某客戶遭受了DDoS攻擊，峰值期間攻擊流量高達112.3Gbps，攻擊持續時間約1小時，攻擊類型為UDP攻擊。綠盟IBCS團隊在客戶遭受攻擊后迅速進行了響應，成功為客戶防護了本次攻擊。

對抗過程：

綠盟IBCS團隊根據攻擊呈現出的特點，迅速確認本次攻擊為掃段攻擊。

攻擊流量以UDP流量為主，單個IP的攻擊流量在100Mbps左右，因此在防護策略上使用了較低的UDP閾值，對UDP進行限速，以便盡可能過濾攻擊流量同時，盡可能保障業務服務正常。

在防護設備上將客戶的受災IP段進行了單獨的防護群組配置，對掃段攻擊進行針對性的防護。

建議該客戶使用綠盟威脅情報中心（NTI），通過威脅情報對公網上存在掃段攻擊的IP進行識別和封堵，以降低未來的潛在風險。

經過約1個小時與黑客的對抗之后，綠盟IBCS團隊為客戶成功防護了這次大型掃段攻擊，攻擊結束。經過統計，本輪掃段攻擊共涉及該客戶兩個C段超過500個的IP地址。