1、华为网络安全官网2023年全球DDoS攻击现状与趋势分析天翼安全科技有限公司、联通数科安全、百度安全、Nexusguard、中国移动云能力中心、中国移动卓望公司、清华大学、华为联合发布2023年全球DDoS攻击现状与趋势分析目录目录关键信息摘要 021.1 专家观点 021.2 DDoS攻击态势 021.3 DDoS僵尸网络态势 031.4 DDoS攻击源态势 031.5 典型攻击分析 04专家观点 43现状与趋势 052.1 DDoS攻击态势 052.1.1 攻击强度 052.1.2 攻击频次 102.1.3 攻击速度 112.1.4 攻击复杂度 122.1.5 攻击发生时段 252.1.6

2、 攻击持续时间 262.1.7 攻击持久性 272.1.8 攻击目标行业分布 272.1.9 攻击目标地域分布 302.2 DDoS僵尸网络态势 312.2.1 僵尸家族分布 312.2.2 C2地域分布 312.3 DDoS攻击源态势 332.3.1 肉鸡地域分布 332.3.2 肉鸡运营商/服务提供商分布 34典型DDoS攻击分析 353.1 扫段攻击 353.1.1 扫段攻击频次快速增长 353.1.2 低速扫段攻击难检测 363.1.3 惯用“短平快”战术，挑战防御系统响应速度 363.1.4 攻击手法复杂，难防御 383.2 DNS攻击 403.2.1 DNS攻击频次快速增长 403

3、.2.2 DNS攻击强度迅猛攀升至亿次QPS级别 403.2.3 DNS攻击复杂度再创新高 41数据来源 4501关键信息摘要2023年全球DDoS攻击现状与趋势分析观点1：瞬时泛洪攻击秒级加速，挑战防御系统的响应速度。需探索更为高效的检测和清洗技术。例如设备厂商研制高效随路检测路由器，运营商研发端网协同防御技术，以有效缩短TTM（Time to Mitigation）。观点2：高速加密攻击挑战解密防御性能，低速CC攻击绕过WAF，挑战防御系统有效性。利用行为分析算法拦截高速CC，机器学习算法精准识别低速CC，分而治之，有效应对复杂攻击。观点3：扫段攻击成为网络基础设施面临的最大威胁，需采取多

4、种措施增强防御。增加网段检测能力提升攻击识别精准度，端网协同防御提高多网段攻击的发现及处置效率，有效应对大规模扫段攻击。1.1 专家观点超大规模攻击异常活跃。2023年T级攻击异常活跃。超800Gbps攻击共计248次，和2022年基本持平。1月份中国电信安全团队监测到年度最大包速率攻击，峰值包速率高达972Mpps；10月份中国电信安全团队监测到年度最大带宽攻击，峰值带宽高达2.505Tbps。2023年8月，发生互联网史上最大应用层攻击，攻击峰值高达398Mrps1。2023年10月华为监测到最大规模的扫段攻击，230个C段先后遭受混合攻击。攻击频次继续呈增长趋势。2023年攻击频次是20

5、22年的1.6倍，是2021年的1.8倍。从全球看，针对APAC的攻击最活跃，占比88.83%。大流量攻击持续呈秒级加速态势，爬升速度再创新高，挑战防御系统响应速度。大流量攻击持续加速，爬升至400Gbps-500Gbps区间只需2秒；爬升至800Gbps-1Tbps区间，仅需10秒。攻击复杂度持续提升，攻击威胁加剧。HTTP/HTTPS应用层攻击两级分化，高速攻击挑战WAF解密防御性能，低速攻击bypass WAF，高速、低速攻击混合，挑战防御系统有效性。一方面，HTTP2.0 Rapid Reset漏洞被利用，导致应用层攻击速率从2022年的千万级RPS跃迁至2023年的亿级RPS，挑战解

6、密防御性能；另一方面，由数十万个僵尸发起的低速应用层攻击日渐常态化，绕过WAF检测，威胁加剧。1.2 DDoS攻击态势01关键信息摘要02关键信息摘要2023年全球DDoS攻击现状与趋势分析肉鸡地域分布：肉鸡海外地域分布，按AMER、EMEA、APAC、LATAM统计，占比依次为33.34%、32.17%、30.42%、4.07%；肉鸡中国TOP3地域分布为河南、浙江和广东，占比依次为14.03%、12.67%、9.88%。肉鸡运营商/服务提供商分布：中国TOP3肉鸡运营商/服务提供商分布依次是电信、联通和阿里云，占比依次是53.18%、33.19%、6.24%；海外TOP3 DDoS肉鸡运营

7、商/服务提供商分布依次是Amazon、KE和Google，占比依次是59.56%、10.88%、5.34%。1.4 DDoS攻击源态势僵尸家族分布：DDoS僵尸家族以IoT和Linux为主，按活跃C2数量排名的TOP5僵尸家族分别是Mirai、Gafgyt、Mozi、XorDDoS和Dofloo，占比依次为61.73%、34.24%、2.15%、1.29%、0.58%。僵尸网络C2地域分布：C2海外按大洲地域分布分别是EMEA、AMER、APAC、LATAM，占比依次为38.88%、34.38%、25.16%、1.59%；C2中国TOP3地域分布为广东、河南和香港，占比依次为25.81%、21

8、.46%、15.83%。1.3 DDoS僵尸网络态势TOA漏洞被利用，引发TCP四层代理场景的互联网业务信任风险。为减少自身网络攻击威胁，某些无良互联网企业通过修改DNS记录，将攻击流量“零成本”转移至百度。传媒和互联网、政府和公共事业、教育、金融依然是TOP4攻击目标行业。传媒和互联网、政府和公共事业、教育、金融攻击频次占比依次为59.88%、11.75%、2.98%、2.85%。能源行业和工业互联网受攻击频次占比连续三年增长。近三年，中国金融行业攻击频次呈持续增长趋势。全球攻击目标地域分布排序依次为APAC、LATAM、EMEA、AMER，中国TOP3攻击目标地域分布为吉林、山东和广东。攻

9、击目标按大洲分布为APAC、LATAM、EMEA、AMER，占比依次为83.81%、12.51%、2.02%、1.66%；中国TOP3攻击目标地域分布为吉林、山东和广东，占比依次为32.80%、9.41%、8.68%。03关键信息摘要2023年全球DDoS攻击现状与趋势分析2023年扫段攻击频次快速增长，为躲避防御，低速扫段攻击成为主流，惯用“短平快”战术，多采用混合攻击手法。2023下半年，扫段攻击频次激增。73.19%的扫段攻击采用低速扫段，挑战防御系统检测算法灵敏度。扫段攻击惯用“短平快”战术，挑战防御系统的响应速度。43.26%的C段攻击持续时间小于5分钟；当单个C段攻击持续时间小于5

10、分钟时，93.90%的单个目标IP的攻击持续时间不超过10秒。当采用长周期的高速扫段时，攻击者会采用典型的“脉冲”攻击手法。攻击者通过大规模扫段，挑战并发主机防御规格。86.96%的扫段攻击采用混合攻击手法，提升防御难度。2023年针对DNS服务器的攻击无论是攻击复杂度还是攻击强度均创新高。DNS攻击峰值QPS从百万次级别快速提升至亿次级别。11月份，百度监测到DNS攻击流量峰值速率高达572.84Mqps。DNS攻击手法多样化。透过递归服务器攻击授权服务器，传统防御算法失效；某次针对递归服务器的NXDomain攻击，攻击报文的源IP和目的IP位于同一网段，消耗递归服务器性能的同时，产生大量A

11、RP广播报文。1.5 典型攻击分析04现状与趋势2023年全球DDoS攻击现状与趋势分析2.1.1 攻击强度2023年T级攻击主要聚集在Q1和Q4。2023年10月30日21:15:45，电信安全团队监测到年度最大带宽攻击。攻击者采用以SSDP反射为主、叠加UDP Flood和ICMP Flood的混合攻击，攻击共持续2小时31分钟，峰值带宽2.505Tbps，攻击目标IP位于江苏电信网络。2.1 DDoS攻击态势2021-2023年攻击峰值带宽月度分布（Gbps）数据来源于电信安全&联通数科&中移云能&中移卓望&Nexusguard&华为2022年2021年2023年6月8月9月10月11月

12、12月7月5月4月3月2月1月7361,0331,301 1,100 8941,2001,2201,8801,2581,2408828302,210 9781,2009981,5181,209 3,1891,014 1,3002,5051,5931,520 9851,3429341,0781,0831,0861,120 8147151,0419991,090 攻击成本持续降低，导致攻击规模持续增长。从近年全球记录的年度最大攻击来看，单次攻击的峰值流量带宽稳定在2.5Tbps-3.5Tbps区间2,3，峰值包速率则稳定在900Mpps-1000Mpps区间。单次扫段攻击峰值规模维持在200-60

13、0个C段。应用层攻击的峰值RPS则依然呈现迅速增长趋势。现状与趋势0205现状与趋势2023年全球DDoS攻击现状与趋势分析从2023年年度攻击峰值带宽和包速率地域分布来看，APAC攻击强度远超其他大洲。2023年攻击峰值带宽地域分布（Gbps）AMERLATAMEMEAAPAC5922,505 116582数据来源于电信安全&Nexusguard&华为2023年攻击峰值包速率地域分布（Mpps）AMERLATAMEMEAAPAC544897211数据来源于电信安全&Nexusguard&华为2023年8月份以前，高速应用层攻击主要利用HTTP2.0 Multiplexing特性发起，攻击峰值

14、请求速率维持在千万级RPS4,5。2023年8月，HTTP2.0 Rapid Reset漏洞被发掘，应用层攻击峰值RPS直接飙升至亿次级RPS2（同月，Google云遭受的加密攻击峰值请求速率高达398Mrps，成为互联网史上最大应用层攻击）。超大规模加密攻击对防御成本构成严峻挑战。全球最大DDoS攻击趋势峰值请求速率Mrps峰值包速率Mpps扫段攻击C段数量峰值带宽Gbps20202002317.24623017.42,3003,4703,1892,7952,5058871,02086197206现状与趋势2023年全球DDoS攻击现状与趋势分析2

15、021-2023年超500Gbps攻击频次月度分布数据来源于电信安全&联通数科&中移云能&中移卓望&Nexusguard&华为2023年2022年2021年1月3月5月2月4月6月7月8月9月10月11月12月372324547621666051,2841,5671,4203,663285886722443年超500Gbps攻击共发生3291次，Q1超500Gbps攻击最活跃，共发生1467次，占全年45%。超800Gbps攻击全年共计发生248次，略高于2022

16、年的232次。同样，Q1超800Gbps攻击最活跃，共计136次，占全年54%。2021-2023年超800Gbps攻击频次月度分布数据来源于电信安全&联通数科&Nexusguard&华为2023年2022年2021年1月3月5月2月4月6月7月8月9月10月11月12月4793728336525607现状与趋势2023年全球DDoS攻击现状与趋势分析数据来源于电信安全&联通数科&中移云能&中移卓望&Nexusguard&华为2021-2023年攻击峰值包速率月度分布（Mpps）2021年2022年2023年6月8月9月10月1

17、1月12月7月5月4月3月2月1月525448438580475669 473668 4704816 488578 404681 383443687306506 722652349368 4635255 3849734432023年1月27日02:41:45，中国电信安全团队监测到年度最大包速率攻击，采用小报文UDP Flood，攻击共持续2小时44分钟，峰值包速率972Mpps，攻击目标IP位于四川电信网络。2023年月度平均峰值带宽最大值为121Gbps，首次突破100Gbps。对比历年年度攻击平均峰值带宽，2023年为75Gbps，2022年为

18、56Gbps，2021年为54Gbps，说明攻击流量强度逐年提升。2021-2023年平均攻击峰值带宽月度分布（Gbps）数据来源于电信安全&联通数科&Nexusguard&中移云能&中移卓望&华为2021年2022年2023年6月8月9月10月11月12月7月5月4月3月2月1月53 121 71 69 6233315664 63 997975 5773 82 84 88 70362 6045584864436221576508现状与趋势2023年全球DDoS攻击现状与趋势分析2023年月度平均攻击包速率最大值为21Mpps，出现在2月份。对比历年年度攻击平均峰值包速率

19、，2023年为16Mpps，高于2022年的13Mpps和2021年的15Mpps。2021-2023年平均攻击峰值包速率月度分布（Mpps）数据来源于电信安全&联通数科&Nexusguard&中移云能&中移卓望&华为1721 1910131719 15 6 151018 1516 131613 818 15 22281514 101791013 1386月8月9月10月11月12月7月5月4月3月2月1月2021年2022年2023年2023年的第二、第三和第四季度相比往年，攻击流量峰值区间分布发生较大变化。其中第二季度100-200Gbps攻击异常活跃，占比高达24.

20、75%，主要原因是该季度针对UDP游戏的UDP Flood攻击活跃；第三季度，1Gbps攻击活跃，占比34.47%，是因为该季度中国境内低速扫段攻击异常活跃；第四季度，1-5Gbps攻击占比提升至2021年水平，主要源于低速应用层攻击快速增长。2021-2023年攻击流量峰值带宽区间分布数据来源于华为=500G0.26%0.67%0.88%0.32%1.23%1.54%0.30%0.27%0.36%0.29%0.59%0.62%0.77%1.50%1.05%2.92%0.95%1.46%0.43%0.09%0.62%0.13%0.25%0.21%2021Q12021Q22021Q32021Q4

21、2022Q12022Q22022Q32022Q42023Q12023Q22023Q32023Q419.18%33.57%4.51%4.80%10.22%10.43%12.81%2.47%1.08%5.50%29.24%9.59%5.12%15.90%9.46%16.05%5.20%2.75%9.82%30.17%4.91%6.52%14.66%12.11%10.47%4.83%3.73%17.55%20.67%9.15%5.58%17.01%10.75%9.38%6.99%2.35%4.95%11.75%8.13%12.47%23.14%17.24%17.21%3.25%1.22%6.10%1

22、8.02%4.98%6.52%19.39%26.03%11.03%4.94%1.79%6.56%22.72%5.76%6.26%13.13%18.40%17.49%5.06%2.35%6.00%13.84%7.60%11.92%19.34%18.09%12.01%5.05%2.18%3.90%14.62%9.39%10.73%24.75%16.91%9.92%4.50%2.87%5.48%16.00%13.09%13.86%13.42%11.03%24.75%1.20%0.65%34.47%15.83%8.54%9.76%10.80%8.20%7.52%2.94%1.18%7.26%26.43

23、%18.97%15.32%12.68%7.82%5.92%3.75%1.38%09现状与趋势2023年全球DDoS攻击现状与趋势分析对超100Gbps攻击进行统计分析发现，UDP反射和UDP Flood是攻击者发起大流量攻击的主要手段。2023年超100Gbps网络层攻击峰值区间分布Other FloodICMP FloodUDP反射UDP Fragment FloodUDP FloodACK FloodTCP反射SYN Flood700-800Gbps600-700Gbps500-600Gbps400-500Gbps300-400Gbps200-300Gbps100-200Gbps800Gb

24、ps3.64%1.38%1.05%2.05%3.34%1.62%1.36%0.83%38.44%34.63%6.05%6.05%3.49%7.82%2.13%42.71%35.37%4.47%4.24%2.76%7.19%2.20%44.57%26.86%6.10%6.25%5.05%5.10%4.00%30.09%17.15%9.45%11.63%8.43%10.47%9.45%42.53%17.86%11.04%8.44%8.77%6.17%3.57%55.45%24.09%3.18%2.73%3.64%6.82%2.73%52.89%18.60%21.49%1.24%0.83%4.13%

25、0.00%22.47%22.99%20.68%12.86%7.38%6.94%3.06%数据来源于华为2.1.2 攻击频次DDoS攻击频次呈持续增长趋势。2023年攻击频次是2022年的1.6倍，2021年的1.8倍。2021-2023年攻击频次月度分布数据来源于华为2021年2022年2023年400,000200,000300,000100,000350,000150,000250,00050,00001月3月5月2月4月6月7月8月9月10月11月12月攻击次数10现状与趋势2023年全球DDoS攻击现状与趋势分析攻击频次按地域分布，APAC攻击活跃，占比88.83%。APAC扫段攻击异

26、常活跃，拉升了APAC攻击频次占比。2023年攻击频次地域分布APACAMEREMEALATAM6.49%2.61%2.07%88.83%数据来源于Nexusguard2.1.3 攻击速度大流量攻击持续秒级加速态势，爬升速度2023年再创新高。瞬时泛洪攻击2秒流量即可爬升至近500Gbps，10秒即可爬升至900Gbps-1Tbps区间，挑战防御系统响应速度。2023年瞬时泛洪攻击2秒流量即可爬升至近500G数据来源于华为样本1样本2样本4样本3样本5样本6攻击峰值带宽Gbps60050040030020010000秒3秒2秒1秒4544820934

27、2039736333830711现状与趋势2023年全球DDoS攻击现状与趋势分析T级瞬时泛洪攻击10秒即可爬升至峰值数据来源于华为2021年2022年2023年攻击峰值带宽Gbps0秒50秒40秒30秒20秒10秒600400200092396396596819682.1.4 攻击复杂度1.网络攻击类型分布近三年，UDP Flood、UDP反射、SYN Flood、ACK Flood、UDP分片均维持TOP5网络层攻击类型。2023年UDP Flood频次明显快速增长，占比提升至40.80%。UDP Flood频次提升原因主要有两个，一方面针对TC

28、P业务采用低成本的UDP Flood挤占带宽一直是攻击者优选；另外一方面，针对UDP游戏的UDP Flood难防御，因此备受攻击者青睐。2021-2023年网络层攻击类型分布数据来源于华为2022年2023年2021年UDP FloodUDP ReflectionSYN FloodACK FloodUDP Fragment FloodTCP ReflectionTCP Connection FloodICMP FloodFIN/RST FloodTCP Fragment Flood14.34%23.56%11.16%2.39%1.63%2.97%0.41%0.41%1.09%3.06%4.72

29、%1.50%2.48%0.58%0.39%3.15%4.86%6.56%5.81%3.82%8.24%14.53%26.45%30.30%14.58%18.10%14.00%40.80%21.63%16.49%12现状与趋势2023年全球DDoS攻击现状与趋势分析近三年ACK Flood占比持续保持高位的原因是针对TCP游戏的网络层CC攻击效果明显，防御困难，网络层CC一直被作为攻击TCP游戏服务器的杀手锏。TOP5 UDP反射中，2023年DNS反射呈快速增长态势，占比从2022年的5.62%提升至45.15%；SSDP反射占比连续三年恒定；NTP反射占比处于减少态势，从2022年的58.5

30、1%减少至18.24%。2021-2023年TOP5 UDP反射类型分布数据来源于电信安全&联通数科&中移云能&中移卓望&Nexusguard&华为2022年2023年2021年CLDAPMemcachedNTPSSDPDNS26.23%26.14%28.41%58.51%41.19%18.24%7.33%3.85%3.49%9.53%3.04%3.60%45.15%5.62%19.66%2023年，TOP10 TCP反射端口新增58000和30010。其中58000是某品牌光猫的配置端口，30010是vsftp服务端口。利用58000和30010端口的反射攻击2022年就已经出现，但整体占比

31、较小，2023年开始活跃。电信安全监测到的2023年11月份针对ChatGPT的DDoS攻击事件，以TCP反射为主，TOP4反射源端口就包括30010和58000。2021-2023年典型TCP反射攻击源端口分布数据来源于华为8044368930650603003890%20%50%80%10%40%70%30%60%90%100%2021年2022年2023年15.74%37.59%6.73%6.67%3.18%5.91%22.16%0.23%0.21%0.12%1.46%27.95%7.29%11.77%6.29%2.67%

32、6.43%6.38%3.16%26.35%1.71%30.30%8.65%1.56%11.01%6.00%0.90%7.79%2.35%4.46%7.41%5.43%3.53%5.24%3.45%1.91%13现状与趋势2023年全球DDoS攻击现状与趋势分析2.应用层攻击类型分布2023年，加密攻击占比快速提升至63.65%，防御难度大幅度增加。2021-2023年应用层攻击类型分布数据来源于华为2022年2023年2021年HTTP FloodHTTP异常会话TLS异常会话HTTPS Flood20.15%32.55%49.06%7.39%20.81%9.43%23.98%6.60%8.8

33、1%34.91%22.66%63.65%3.攻击矢量分布2023年混合攻击占比较2022年有所降低，占比53.75%，但仍然是主流。单一攻击占比提升的主要原因是2023年扫段攻击频发，导致大量IP无辜“躺枪”。2021-2023年攻击矢量分布数据来源于联通数科&Nexusguard&华为2022年2023年2021年1 Vector2 Vectors3 Vectors4 Vectors=5 Vectors46.25%36.53%16.91%4.97%17.25%19.53%2.15%9.14%13.58%13.29%6.32%0.77%30.76%36.69%45.87%14现状与趋势2023

34、年全球DDoS攻击现状与趋势分析4.HTTP/HTTPS应用层攻击两级分化HTTP/HTTPS应用层攻击两级分化，高速攻击挑战WAF解密防御性能，低速攻击bypass WAF，高速、低速攻击混合，挑战防御成功率。高速HTTP/HTTPS应用层攻击挑战WAF性能攻击目标服务器高速HTTP/HTTPS应用层攻击强度一般在千万级甚至亿次级RPS，一次攻击事件使用的肉鸡数量在5,000-30,000之间，肉鸡多为高性能的服务器或云主机，单个肉鸡的攻击速率约2,000-10,000rps，攻击多采用HTTP1.1 pipelining、HTTP2.0 multiplexing甚至HTTP2.0 Rapi

35、d Reset手法。2023年2月，Cloudflare缓解的攻击峰值速率为71Mrps的加密攻击就属于典型的高速应用层攻击。攻击采用HTTP2.0 multiplexing攻击手法，共30,000个肉鸡参与攻击，平均每个肉鸡请求速率是2,367rps4。HTTP协议从1.0开始先后演进至1.1和2.0，HTTP传输速度不断提升，应用层攻击速率亦得以快速攀升6。跟随HTTP协议演进，应用层攻击速率持续攀升HTTP1.0 attackHTTP1.1 pipelining attackHTTP2.0 multiplexing attackHTTP2.0 rapid reset attackBotS

36、erverRequest RstClose connectionBotServerRequest6Request5Request7Request1Request2Request3Response3Response2Response1Close connectionBotServerRequestRequestResponseResponseClose connectionBotServerRequestRequestResponseResponseClose connectionClose connection15现状与趋势2023年全球DDoS攻击现状与趋势分析为了提升HTTP传输效率，HT

37、TP1.1通过pipelining特性允许客户端通过单个TCP连接发送多个HTTP请求。当HTTP1.1 pipelining被用于发起攻击时，肉鸡在一个会话上可发起近百次请求。当请求速率较快时，形成Multiple Methods攻击效果。HTTP2.0 multiplexing攻击分析当HTTP1.1演进至HTTP2.0时，通过Multiplexing发起攻击时，肉鸡在一个TCP会话可发送100-500个HTTP请求。借助HTTP1.1 pipelining特性，2022年8月，加密攻击峰值速率达到46Mrps5，成为互联网史上最大应用层攻击。随着HTTP2.0普及，攻击再次提速。2023

38、年2月，HTTP2.0 multiplexing被利用，互联网史上最大应用层攻击记录被刷新至71Mrps4。2023年8月，HTTP2.0 Rapid Reset漏洞被利用，互联网史上最大应用层攻击记录再次被刷新至惊人的398Mrps1。HTTP1.0攻击分析HTTP1.0攻击抓包利用HTTP1.0发起攻击时，肉鸡在一个TCP会话只能发一次HTTP请求。HTTP1.1 pipelining攻击分析HTTP1.1 pipelining攻击抓包16现状与趋势2023年全球DDoS攻击现状与趋势分析HTTP2.0攻击抓包对本次HTTP2.0攻击抓包进行分析发现，一个肉鸡最多一个会话发送105个请求报

39、文，诱发服务器回应512个应答报文，说明肉鸡在一个会话上发送了512个HTTP2.0请求。实验室模拟攻击抓包显示，在一个会话上快速发送HTTP2.0请求时，多个请求会直接合并到一个HTTP报文进行发送，形成Multiple Methods攻击效果。模拟HTTP2.0攻击抓包17现状与趋势2023年全球DDoS攻击现状与趋势分析 HTTP2.0 Rapid Reset攻击分析为了防止HTTP2.0被利用形成高速应用层攻击，HTTP2.0协议通过SETTINGS_MAX_CONCURRENT_STREAMS限制一个会话上最大请求数量。2023年10月10日，Rapid Reset漏洞被公布7：攻击

40、者每发送一个HTTP2.0请求，随即发送一个RST_STREAM报文，可突破SETTINGS_MAX_CONCURRENT_STREAMS限制，一个会话上最多可发起上千次请求。实验室模拟攻击，将SETTINGS_MAX_CONCURRENT_STREAMS设置为2，则一个会话上请求次数超过2时，服务器会回应RST_STREAM，同时丢弃多余请求。模拟HTTP2.0攻击抓包，未利用Rapid Reset漏洞时，攻击速率受SETTINGS_MAX_CONCURRENT_STREAMS限制在保持SETTINGS_MAX_CONCURRENT_STREAMS设置为2不变时，当利用Rapid Reset

41、漏洞发送攻击时，服务器不再回应RST_STREAM，攻击速率大幅度提升。模拟HTTP2.0 Rapid Reset攻击抓包18现状与趋势2023年全球DDoS攻击现状与趋势分析低速HTTP/HTTPS应用层攻击强度大多在百万级RPS甚至更低，一次攻击事件使用的肉鸡数量在100,000-250,000之间，肉鸡多为低性能的IoT终端，单个肉鸡的攻击速率普遍在几十RPS甚至更低。2023年12月25日，百度某业务系统遭受HTTPS Flood攻击，攻击峰值速率480,000rps，共采用24万个肉鸡，平均每个肉鸡请求速率仅2rps。本次攻击即属于典型的低速应用层攻击。低速应用层攻击中，肉鸡的请求速

42、率落在业务访问速率区间，甚至远低于正常业务请求速率，导致源速率检测失效，躲避能力更强，因此这类攻击也被称为bypass WAF attacks。为了达到更好的攻击效果，低速攻击时，攻击目标URL多是经过精心挑选的、可消耗服务器更多资源，包括消耗网络outbound带宽的大资源URL或消耗更多计算资源的查询URL。利用“秒拨”动态IP技术发起的低速TLS加密攻击分析2023年11月份，某金融企业遭受持续性加密攻击，攻击采用“秒拨”技术，单个攻击源请求速率低，防御难度大。攻击目标是门户网站，攻击手法属于典型的大资源请求模式，以很少的请求报文获得大量的回应报文，导致企业网络链路出向带宽拥塞，进而影响

43、到所有互联网业务访问。低速HTTP/HTTPS应用层攻击Bypass WAF攻击目标服务器19现状与趋势2023年全球DDoS攻击现状与趋势分析利用秒拨发起的TLS加密攻击抓包“秒拨”攻击技术本质上是利用运营商家庭宽带拨号上网业务允许同一个MAC地址短时间内拨号可更换不同IP地址的漏洞，攻击机每一次断线重连会获取一个新的攻击IP，攻击呈现出超低速态势，防御困难。一次秒拨攻击抓包利用“秒拨”发起的攻击难防御的原因在于：运营商家庭宽带NAT地址池IP数量庞大，“秒拨”攻击机可通过不断的断线重连，轻松“轮换使用”运营商整个城域网NAT地址池中的IP，让百万量级的拨号上网IP地址沦为“肉鸡”。本次针对

44、金融企业的攻击同时使用了9个城域网的家庭宽带NAT地址池。攻击中，秒拨机和服务器建立连接后，发起一次请求，随即断开连接，再次攻击时则换成另外一个IP。从攻击目标服务器来看，每个源IP只请求一次，比正常用户的请求速率还慢，攻击识别困难。且“秒拨”攻击机IP和正常用户IP属于同一个NAT地址池，一次“秒拨”攻击结束后，“秒拨”攻击机使用的IP资源会流转到正常用户手中，导致“秒拨”攻击机IP和正常用户IP无法区分，防御容易影响正常用户访问。20现状与趋势2023年全球DDoS攻击现状与趋势分析 利用不常用Method发起的低速HTTP攻击分析利用不常用Method请求发起的低速攻击抓包2023年5月

45、13日，针对某运营商门户网站的攻击中，一个攻击源一秒建立一个会话，一个会话上仅发送一次145字节的HEAD请求，而服务器返回的内容是请求报文的几百倍。利用服务器的“防呆”功能发起的低速HTTP攻击分析利用服务器的“防呆”功能发起的低速攻击抓包门户网站一般具备一定的“防呆”功能，以容错互联网用户的输入性错误。2023年2月27日，某金融企业门户网站遭受低速HTTP Flood攻击。从攻击抓包截图可看到，攻击者利用门户网站对根目录的“防呆”功能，发起低速攻击，攻击者期望以此躲避安全系统的内容过滤。21现状与趋势2023年全球DDoS攻击现状与趋势分析 报文分段以躲避安全系统的内容过滤2023年3月

46、5日，某金融企业门户网站遭受低速HTTP Flood攻击。一个完整的HTTP请求报文被拆分成几十个报文进行传输，如果安全系统支持对报文进行重组，则消耗安全系统性能；如果不重组，则该种攻击模式可躲过安全系统的内容过滤。报文分段以躲避安全系统的内容过滤的攻击抓包如果把如上报文进行重组，则完整的HTTP报文头内容如下图所示：GET/api/feedback/index/environment/variable?random=0.40249836870292444 HTTP/1.1Host:User-Agent:Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWe

47、bKit/537.36(KHTML,like Gecko)Chrome/109.0.0.0 Safari/537.36Accept:application/json,text/javascript,*/*;q=0.01Accept-Encoding:gzip,deflateAccept-Language:zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7Connection:closeContent-Type:application/jsonReferer:http:/ Option Address）获取用户原始IP，但TOA由于缺乏严格的校验机制，便于伪造，从而引发TCP

48、四层代理业务场景的互联网业务信任风险。2023年12月初，TCP四层代理机制TOA（TCP Option Address）漏洞被披露8，12月13日，华为云监测到利用TOA漏洞的攻击报文。22现状与趋势2023年全球DDoS攻击现状与趋势分析利用TOA漏洞的攻击抓包场景2是攻击者利用TOA伪装成“仇家”IP，对数据中心服务器资源不停滥用，比如打CC攻击，导致该IP被安全设备加入到黑名单，当“仇家”访问数据中心资源时被安全设备直接拦截。在该利用TOA漏洞的攻击报文中，伪造的原始IP地址是5.5.5.5。TOA漏洞被利用形成攻击威胁的场景主要有两种。场景1是攻击者把TOA伪造成数据中心经常使用的白

49、名单，实现越权访问的目的。场景1：TOA伪装成白名单，越权访问报文TOA冒用白名单越过安全设备访问控制攻击者服务器23现状与趋势2023年全球DDoS攻击现状与趋势分析2023年，百度数据中心多次被迫成为“公共清洗池”。当某些互联网业务成为持续性攻击目标时，被攻击的互联网企业为减少损失，通过更改DNS记录将被攻击域名解析到百度，攻击流量被“转移”至 百度。6.通过修改DNS记录，零成本“转移”攻击危害通过修改DNS记录，零成本“转移”攻击危害231场景2：TOA伪装成“仇家”IP，实现攻击栽赃攻击者服务器报文TOA冒用1.1.1.1，滥用资源，导致1.1.1.1被安全设备拉黑1.1.1.124

50、现状与趋势2023年全球DDoS攻击现状与趋势分析2.1.5 攻击发生时段2023年攻击发生时间段和往年一样，为达到以最低的攻击成本实现最大化的攻击效果，攻击发生时间和互联网用户的作息时间保持一致。2023年攻击发生时段分布数据来源于电信安全300G200-300G50-100G5-10G1-5G1G10-20G20-50G100-200G2322209876543210攻击频次周天分布显示，攻击一周内分布较均匀。2023年攻击频次周天分布数据来源于电信安全&中移云能&中移卓望&华为周一周二周三周四周五周六周日25现状与趋势2023年全球DDoS攻击

51、现状与趋势分析对比近三年应用层攻击持续时间可发现，持续10-30分钟的应用层攻击占比持续提升。说明应用层攻击成本持续降低，为了提升攻击目标的攻击损失或提升防御成本，攻击者普遍采取延长攻击时长的做法。2021-2023年应用层攻击持续时间分布数据来源于电信安全&Nexusguard&华为2022年2023年2021年12小时29.63%67.66%40.49%26.67%29.20%11.67%19.27%11.76%29.54%6.73%4.05%3.81%4.72%6.58%4.41%1.47%0.85%0.38%2.1.6 攻击持续时间2023年，56.25%的网络层攻击持续时间不超过5分

52、钟，可见“瞬时泛洪”依然是网络层攻击的一大特点，瞬时泛洪攻击挑战防御系统的自动化程度和运维团队的响应速度。2021-2023年网络层攻击持续时间分布数据来源于电信安全&Nexusguard&华为2022年2023年2021年12小时56.25%43.03%57.40%22.64%14.65%19.39%18.50%19.30%14.68%3.76%4.13%8.07%9.01%2.29%4.61%0.71%0.38%1.21%26现状与趋势2023年全球DDoS攻击现状与趋势分析2.1.7 攻击持久性2023年，遭受过一次攻击的IP数量占比提升至49.49%，主要源于扫段攻击活跃，很多IP不幸

53、“躺枪”。2021-2023年攻击持久性分布数据来源于电信安全&联通数科&华为2022年2023年2021年1次2-5次5-10次10-50次50-100次100次以上30.07%38.62%36.14%1.42%2.00%1.81%1.16%1.46%1.88%8.38%12.34%12.03%9.49%11.26%14.49%49.49%34.08%33.90%2.1.8 攻击目标行业分布2023年，传媒和互联网、政府和公共事业、教育、金融依然是TOP4攻击目标行业，攻击频次占比依次为59.88%、11.75%、2.98%、2.85%。2023年行业攻击频次分布数据来源于联通数科传媒和互联

54、网政府和公共事业教育金融医疗卫生生态环境文化旅游能源工业互联网交通其他59.88%11.75%19.26%2.98%2.85%1.74%0.72%0.43%0.70%0.11%1.31%27现状与趋势2023年全球DDoS攻击现状与趋势分析2021-2023年中国金融行业攻击频次月度分布显示，中国金融行业攻击频次呈持续增长趋势，2023年全年共发生4,924次攻击，是2022年的1.23倍，2021年的4.79倍。2021-2023年中国金融行业攻击频次月度分布数据来源于联通数科2023年2022年2021年1月3月5月2月4月6月7月8月9月10月11月12月48233

55、248620583202704643446565954925370385772021-2023年行业攻击频次分布显示，能源行业和工业互联网受攻击频次占比连续三年增长；其他企业受攻击频次占比上升明显，说明DDoS攻击已遍布各个行业。2021-2023年行业攻击频次趋势分布数据来源于联通数科2022年2023年2021年传媒和互联网生态环境教育金融文化旅游医疗卫生其他能源交通政府和公共事业工业互联网78.02%51.57%59.88%5.31%18.90%11.75%1.74%5.48%3.87%2.85%0.

56、33%2.83%1.31%0.72%0.38%6.30%0.11%0.13%0.03%4.22%12.31%17.52%0.43%0.22%0.14%0.70%0.18%0.01%2.98%9.62%0.17%28现状与趋势2023年全球DDoS攻击现状与趋势分析2021-2023年行业最大攻击峰值带宽分布显示，竞争激烈的传媒与互联网行业受攻击强度远大于其他行业，最大攻击峰值带宽维持在T级；金融行业受攻击强度一直居高不下，近两年攻击峰值带宽均超过100Gbps，远超金融数据中心实际网络链路带宽。2021-2023年行业攻击强度分布（Gbps）数据来源于电信安全&联通数科&华为2022年峰值20

57、23年峰值2021年峰值传媒和互联网政府和公共事业教育能源医疗卫生交通行业生态环境文化旅游其他金融工业互联网2,505 3,1891,880116 196 58 2 93 12 35 222 275 43 8 22 21351 361 1 1 2023年中国金融行业遭受的最大攻击峰值带宽为116Gbps，发生在11月，采用混合攻击，主要包括NTP反射、DNS反射和UDP Flood，攻击持续19分钟，攻击目标是门户网站。2021-2023年中国金融行业攻击峰值带宽月度分布（Gbps）数据来源于联通数科2023年2022年2021年1月3月5月2月4月6月7月8月9月10月11月12月223 7

58、352121 22 492958 54 19 196 116124 1 14 371 321 24 29现状与趋势2023年全球DDoS攻击现状与趋势分析2023年，中国TOP3攻击目标地域分布为吉林、山东和广东。和2022年相比，攻击目标中国地域分布突变源于扫段攻击在某些地域较聚集。2022-2023年攻击目标中国地域分布数据来源于电信安全&联通数科&华为吉林山东广东北京江苏浙江香港上海湖北辽宁四川湖南福建河北陕西天津黑龙江重庆内蒙古云南广西西藏安徽山西新疆江西海南宁夏甘肃青海贵州河南32.80%0.37%6.57%11.30%3.33%2.59%8.68%8.59%4.12%3.27%2.

59、26%3.41%9.41%12.41%6.23%16.92%2.28%2.89%6.58%4.62%3.77%3.23%2.07%1.18%1.72%4.64%1.36%2.69%1.03%2.03%0.68%0.78%0.47%0.45%0.39%1.06%0.29%0.33%0.27%0.55%0.18%0.28%0.04%0.14%1.59%2.36%0.88%4.69%0.59%4.22%0.39%0.73%1.37%1.08%0.28%0.42%0.23%2.09%0.08%0.19%0.04%0.38%0.02%0.09%2022年2023年2.1.9 攻击目标地域分布2023年攻

60、击目标大洲分布显示，攻击目标主要集中在APAC，占比83.81%。主要源于APAC大部分地域带宽资源较昂贵，扫段攻击威胁聚集，直接拉升了APAC攻击目标地域占比。2023年攻击目标大洲分布AMERLATAMAPACEMEA12.51%83.81%2.02%1.66%数据来源于Nexusguard30现状与趋势2023年全球DDoS攻击现状与趋势分析2.2.1 僵尸家族分布DDoS僵尸家族以IoT和Linux为主。2023年，按活跃C2数量排名的TOP5僵尸家族分别是Mirai、Gafgyt、Mozi、XorDDoS和Dofloo，其中Mirai、Gafgyt和Mozi是典型的IoT僵尸网络，而

61、XorDDoS和Dofloo是典型的Linux僵尸网络。2.2 DDoS僵尸网络态势2023年DDoS僵尸家族TOP5分布MiraiGafgytMoziXorDDosDofloo61.73%34.24%2.15%1.29%0.58%数据来源于百度安全&华为需要说明的是Mozi僵尸网络从2023年8月份开始，活跃度陡然下降，疑似Mozi作者在执法部门的要求下发布了“自杀开关”9。2.2.2 C2地域分布2023年DDoS僵尸网络C2海外地域分布显示，除LATAM外，C2在EMEA、AMER和APAC分布较均匀。2023年DDoS僵尸网络C2海外地域分布数据来源于百度安全&华为LATAMAMERE

62、MEAAPAC25.16%38.88%1.59%34.38%31现状与趋势2023年全球DDoS攻击现状与趋势分析2023年，DDoS僵尸网络C2中国TOP3地域分布依次为广东、河南和香港。2023年DDoS僵尸网络C2中国地域分布数据来源于百度安全&华为广东河南香港山东江苏浙江台湾湖南辽宁山西江西湖北福建上海广西四川黑龙江河北安徽吉林重庆海南新疆北京云南内蒙古天津甘肃贵州澳门青海陕西25.81%21.46%15.83%6.91%5.85%5.55%3.92%2.24%2.05%1.12%1.07%1.04%1.02%0.90%0.84%0.77%0.65%0.55%0.53%0.46%0.2

63、9%0.26%0.25%0.24%0.16%0.07%0.06%0.04%0.03%0.02%0.01%0.01%32现状与趋势2023年全球DDoS攻击现状与趋势分析2.3.1 肉鸡地域分布2023年，DDoS肉鸡海外地域分布显示，除LATAM外，肉鸡在AMER、EMEA和APAC分布较均匀。2.3 DDoS攻击源态势2023年DDoS肉鸡海外地域分布数据来源于百度安全&华为LATAMEMEAAMERAPAC30.42%32.17%33.34%4.07%肉鸡中国TOP3地域分布为河南、浙江和广东。2023年DDoS肉鸡中国地区分布数据来源于百度安全&华为河南浙江广东江苏香港辽宁山东四川台湾上

64、海湖北山西湖南河北福建安徽云南江西黑龙江广西海南吉林陕西贵州内蒙古新疆甘肃宁夏青海澳门西藏14.03%12.67%9.88%8.99%8.39%5.52%4.46%3.24%3.23%2.96%2.94%2.82%2.55%2.50%2.48%2.12%1.99%1.67%1.47%1.22%1.11%0.82%0.75%0.63%0.62%0.35%0.17%0.16%0.15%0.07%0.04%33现状与趋势2023年全球DDoS攻击现状与趋势分析2.3.2 肉鸡运营商/服务提供商分布DDoS肉鸡中国TOP5运营商/服务提供商分布依次为中国电信、中国联通、阿里云、中国移动和腾讯云。202

65、3年DDoS肉鸡中国TOP5运营商分布中国移动中国联通中国电信阿里云腾讯云53.18%6.24%5.90%1.49%33.19%数据来源于百度安全&华为DDoS肉鸡海外TOP3运营商分布依次为Amazon、KE和Google。公有云肉鸡分布占比较高，说明公有云提供商聚焦云基础设施安全，公有云和租户对云主机自身安全性投入不足。2023年DDoS肉鸡海外TOP10运营商分布AmazonLLCKEBSNLGoogleOVHNTTHetznerMicrosoftCloudflare59.56%10.88%5.34%5.24%4.62%3.72%3.37%2.72%2.36%2.18%数据来源于百度安全

66、&华为34典型 DDoS 攻击分析2023年全球DDoS攻击现状与趋势分析典型DDoS攻击分析03扫段攻击威胁范围广，成为攻击网络基础设施的惯用手段。3.1.1 扫段攻击频次快速增长2023年H2，扫段攻击频次激增。3.1 扫段攻击扫段攻击频次快速增长数据来源于电信安全2023年12月2023年6月2022年12月2023年9月2023年3月2022年9月2023年11月2023年5月2022年11月2023年8月2023年2月2022年8月2023年10月2023年4月2022年10月2023年7月2023年1月2022年7月2022年2月2022年4月2022年6月2022年1月2022年

67、3月2022年5月35典型 DDoS 攻击分析2023年全球DDoS攻击现状与趋势分析扫段攻击中，43.26%的C段攻击持续时间小于5分钟，挑战防御系统的响应速度。3.1.2 低速扫段攻击难检测低速扫段攻击单IP流量低，无法触发主机检测阈值，躲避能力强。2023年低速&高速扫段攻击分布数据来源于联通数科&华为高速低速73.19%26.81%2023年，73.19%的扫段攻击呈现低速态势，挑战传统检测算法有效性。3.1.3 惯用“短平快”战术，挑战防御系统响应速度2023年单个C段攻击持续时间分布数据来源于联通数科&华为30-60分钟5-10分钟12小时1-12小时14.85%22.54%43.

68、26%0.02%11.69%7.64%36典型 DDoS 攻击分析2023年全球DDoS攻击现状与趋势分析2023年扫段攻击单个目标IP攻击持续时间分布3秒5秒10秒其他43.40%33.20%17.30%6.10%数据来源于百度当一个C段攻击持续时间小于5分钟时，93.90%的单个目标IP的攻击持续时间不超过10秒，即使基于主机防御的抗D系统能检测到攻击，检测时延、引流时延也会造成大量攻击报文漏防。当针对单个C段的攻击持续时间较长且采用高速扫段时，攻击者会结合“脉冲”攻击手法，就单个目标IP而言，攻击呈现出典型的“脉冲”特点，挑战传统主机防御系统的响应速度。典型高速扫段攻击单个攻击目标IP流

69、量呈现“脉冲”波形攻击流量峰值带宽Gbps13:10:0012:10:0014:10:0011:40:0013:40:0012:40:0014:40:0011:10:0011:25:0013:25:0012:25:0014:25:0011:55:0013:55:0012:55:0014:55:0015:55:0018:10:0017:10:0015:25:0016:55:0016:10:0015:10:0017:25:0016:25:0015:40:0017:40:0016:40:0018:25:0017:55:004535250数据来源于华为37典型 DDoS 攻击分析

70、2023年全球DDoS攻击现状与趋势分析86.96%的扫段攻击采用混合攻击手法，即一次攻击事件采用多种攻击类型，提升防御难度。2.采用混合攻击手法，提升防御难度2023年扫段攻击矢量分布数据来源于联通数科&华为混合单一13.04%86.96%3.1.4 攻击手法复杂，难防御1.大规模扫段，挑战并发防御规格大规模扫段攻击发生时，每分钟多个C段被同时攻击，当采用传统的主机防御时，并发防御规格不足。典型大规模扫段攻击每分钟被攻击网段数量数据来源于联通数科&华为84202023/10/13 23:452023/10/13 23:492023/10/13 23:532023/10/

71、13 23:572023/10/14 0:012023/10/14 0:052023/10/14 0:092023/10/14 0:132023/10/14 0:172023/10/14 0:212023/10/14 0:252023/10/14 0:292023/10/14 0:332023/10/14 0:372023/10/13 23:472023/10/13 23:512023/10/13 23:552023/10/13 23:592023/10/14 0:032023/10/14 0:072023/10/14 0:112023/10/14 0:152023/10/14 0:19202

72、3/10/14 0:232023/10/14 0:272023/10/14 0:312023/10/14 0:352023/10/14 0:392023/10/13 23:462023/10/13 23:502023/10/13 23:542023/10/13 23:582023/10/14 0:022023/10/14 0:062023/10/14 0:102023/10/14 0:142023/10/14 0:182023/10/14 0:222023/10/14 0:262023/10/14 0:302023/10/14 0:342023/10/14 0:382023/10/13 23:

73、482023/10/13 23:522023/10/13 23:562023/10/14 0:002023/10/14 0:042023/10/14 0:082023/10/14 0:122023/10/14 0:162023/10/14 0:202023/10/14 0:242023/10/14 0:282023/10/14 0:322023/10/14 0:362023/10/14 0:402023/10/14 0:4138典型 DDoS 攻击分析2023年全球DDoS攻击现状与趋势分析攻击者通过使用反射攻击提升扫段攻击对被攻击企业的带宽拥塞威胁，通过使用虚假源泛洪攻击加大防御系统的防御难

74、度。2023年扫段攻击类型分布数据来源于联通数科&华为SYN FloodUDP ReflectionACK FloodUDP FloodTCP ReflectionICMP Flood24.84%25.23%35.15%2.31%9.94%2.54%39典型 DDoS 攻击分析2023年全球DDoS攻击现状与趋势分析3.2.1 DNS攻击频次快速增长DNS作为重要的网络基础设施，是DDoS攻击重要目标。对比近三年DNS攻击频次统计数据发现，2022年8月开始，针对DNS的攻击开始活跃，2022年10月达到顶峰，2023年3月份开始攻击活跃度有所下降，但相比2021年，2023全年依然处于活跃态

75、势。3.2 DNS攻击2021-2023年DNS攻击频次趋势数据来源于电信安全&百度安全2021年1月2021年2月2021年3月2021年4月2021年5月2021年6月2021年7月2021年8月2021年9月2021年10月2021年11月2021年12月2022年1月2023年1月2022年2月2023年2月2022年3月2023年3月2022年4月2023年4月2022年5月2023年5月2022年6月2023年6月2022年7月2023年7月2022年8月2023年8月2022年9月2023年9月2022年10月2023年10月2022年11月2023年11月2022年12月202

76、3年12月3.2.2 DNS攻击强度迅猛攀升至亿次QPS级别2023年DNS攻击峰值QPS从百万次级别快速提升至亿次级别。2023年11月份，百度监测到攻击流量峰值速率是572.84Mqps，攻击威胁攀升。2021-2023年DNS攻击峰值QPS趋势（Mqps）数据来源于电信安全&百度安全2021年1月2021年2月2021年3月2021年4月2021年5月2021年6月2021年7月2021年8月2021年9月2021年10月2021年11月2021年12月2022年1月2023年1月2022年2月2023年2月2022年3月2023年3月2022年4月2023年4月2022年5月2023年

77、5月2022年6月2023年6月2022年7月2023年7月2022年8月2023年8月2022年9月2023年9月2022年10月2023年10月2022年11月2023年11月2022年12月2023年12月572.84 40典型 DDoS 攻击分析2023年全球DDoS攻击现状与趋势分析2023年11月3日，华为监测到东欧某国DNS权威服务器遭受大规模NXDomain攻击，超80%的攻击流量通过DNS递归服务器发起，导致传统防御算法失效。攻击抓包如下图所示：透过递归服务器攻击权威服务器的攻击抓包3.2.3 DNS攻击复杂度再创新高1.攻击透过递归服务器攻击权威服务器透过递归服务器攻击权威

78、服务器DNS递归服务器僵尸网络DNS权威服务器攻击目标41典型 DDoS 攻击分析2023年全球DDoS攻击现状与趋势分析2023年7月初，华为监测到国内某运营商DNS递归服务器连续遭受DNS Query Flood攻击，攻击报文源IP和目的IP位于同一网段。递归服务器短时间内收到大量固定域名请求及NXDomain请求，消耗服务器性能；DNS请求报文的源IP和目的IP位于同一网段，引发大量ARP广播报文；NXDomain攻击导致递归服务器短时间内产生大量递归查询请求。攻击抓包如下图所示：源IP和目的IP位于同一网段的NXDomain攻击抓包2.用源IP和目的IP位于同一网段的请求报文攻击递归服

79、务器源IP和目的IP位于同一网段的NXDomain攻击僵尸网络DNS递归服务器攻击目标上级DNS递归服务器DNS请求报文源IP和目的IP位于同一网段1ARP广播报文2递归查询342专家观点2023年全球DDoS攻击现状与趋势分析观点1：瞬时泛洪攻击秒级加速，挑战防御系统的响应速度。需探索更为高效的检测和清洗技术。例如设备厂商研制高效随路检测路由器，运营商研发端网协同防御技术，以有效缩短TTM（Time to Mitigation）。瞬时泛洪攻击的规模和复杂性逐年增加，其秒级加速的特性对基于传统Flow检测的防御系统构成了重大挑战，Flow检测延迟直接导致TTM大于1分钟，不仅增加了网络的脆弱性

80、，而且在攻击达到峰值前，防御系统很难采取有效措施，从而导致服务中断等安全风险。为解决这类攻击问题，一种可行的解决方案是引入路由器随路检测技术。通过在路由器上基于包检测机制，可秒级发现异常流量。在算力及存储资源有限的情况下，设计高效的流量统计分析算法，以应对大规模攻击流量的检测和清洗时效性需求。为有效缩短TTM，除了在骨干网中部署随路检测路由器外，还可以采用端网协同技术。结合企业网络端点设备的细粒度数据反馈、网络设备的实时监控和处置能力，为瞬时泛洪攻击提供全面的处置视角。通过多源数据集成和多方协同，提高对大规模突发流量的识别精度和速度，实现瞬时泛洪攻击的秒级响应。观点2：高速加密攻击挑战解密防御

81、性能，低速CC攻击绕过WAF，挑战防御系统有效性。利用行为分析算法拦截高速CC，机器学习算法精准识别低速CC，分而治之，有效应对复杂攻击。日趋复杂的应用层CC攻击已经成为防御系统面临的一项严峻挑战，目前CC攻击分化为两大方向：高速攻击对解密防御性能提出了巨大挑战，而低速攻击则躲避检测能力强对防御系统的有效性构成了严重威胁。高速攻击通常利用高性能服务器或云主机构建的僵尸网络，基于HTTP协议的高速传输实现千万级甚至亿次级RPS攻击速率；而低速攻击则利用现有防御系统的算法漏洞，绕过源速率检测或内容过滤，对目标系统发动持续性攻击，耗尽目标资源。在防御资源有限的情况下，传统的防御方法难以有效识别这两类

82、攻击。学术界和工业界的广泛尝试已经表明，行为分析算法能够在不解密的情况下识别高速攻击，而机器学习算法则显示出对低速攻击的精准识别能力。综合应用这两种算法有望有效地应对复杂CC攻击。强对抗型CC攻击威胁不断升级，迫切需要研究软硬件结合的新型防御设备，以及如何将新的防御方法应用到现有的防御系统中，确保与其他防御机制高效协同工作。观点3：扫段攻击成为网络基础设施面临的最大威胁，需采取多种措施增强防御。增加网段检测能力提升攻击识别精准度，端网协同防御提高多网段攻击的发现及处置效率，有效应对大规模扫段攻击。2023年扫段攻击规模、频次和复杂程度进一步攀升，成为网络基础设施最大威胁。扫段攻击通过将攻击流量

83、分散在受害者的大量地址中，旨在绕过检测，挑战防御系统响应速度和处置规模。为了有效应对扫段攻击，必须采取多种措施增强防御系统的攻击清洗能力。专家观点0443专家观点2023年全球DDoS攻击现状与趋势分析首先，创新扫段攻击检测技术，以提升攻击检测灵敏度。目前，DDoS攻击检测算法主要基于单个攻击目标IP的流量统计进行攻击判定。然而，低速扫段攻击通过尽可能分散流量，使单个攻击目标IP受到的攻击流量较低，无法触发检测阈值，从而降低检测算法灵敏度。因此，需创新检测算法，在现有方案的基础上增加网段检测能力，以快速识别扫段攻击。其次，采用端云协同防御架构可以提高防御系统响应速度和并发防御规模。扫段攻击并发

84、攻击的C段数量不断攀升，同时采用“短平快”战术，对防御系统响应速度和并发防御规模提出更高要求。然而运营商网络普遍采用的Flow检测存在分钟级延迟，导致扫段攻击发现慢。通过企业网络边界防御系统提供的秒级发现能力，利用端云协同防御，主动请求上游运营商清洗服务，最大限度提升防御系统响应速度，并最大限度利用运营商网络路由器自身过滤能力，结合运营商网络清洗资源池的清洗能力，实现大规模扫段攻击有效防御。名词解释：1.瞬时泛洪攻击：也叫 Fast Flooding，形容大流量攻击发生时如决堤的洪水一样倾泻而下，攻击流量断崖式上升，在几秒内即可达到几百 Gbps。2.TTM：是 Time to Mitigat

85、ion 的缩写，指从攻击开始到启动清洗需要的时长，用于描述防御系统对攻击响应的速度。3.“脉冲”攻击：也叫 Pulse-wave，在攻击持续时间段内，攻击流量以相似的时间间隔反复冲高又迅速降落，且每次攻击流量冲高后形成的流量峰值相似，形成一个个规律的“脉冲”波形。3.网络层 CC：主要包括真实源 SYN Flood、真实源 ACK Flood，多数情况下，网络层 CC 攻击指的是真实源 ACK Flood，即攻击者利用僵尸网络和被攻击目标服务器建立大量 TCP 连接后，不断发送垃圾 ACK Flood，以消耗服务器连接资源或带宽资源。4.应用层 CC：难防御的 HTTP、HTTPS 应用层攻击

86、被统称为应用层 CC，即攻击者利用僵尸网络和被攻击目标服务器建立 TCP 连接，对目标服务器发起应用层请求，以消耗服务器资源甚至是网络链路带宽资源，按应用协议不同又可分为 HTTP CC、HTTPS CC 等。5.低速 CC：一般采用低速 CC 攻击时，僵尸多为低性能的 IoT 终端，僵尸数量较多，单个僵尸的攻击速率较低，企图绕过安全系统基于源请求速率的检测，挑战防御系统的检测灵敏度。6.高速 CC：一般采用高速 CC 攻击时，僵尸多为高性能的服务器或云主机，僵尸数量较少，单个僵尸的攻击速率较高，挑战防御系统的响应速度。7.加密 CC：属于应用层 CC 范畴，即加密的应用层 CC。8.扫段攻击

87、：也叫 Carpet bombing attack，属于一种新型攻击，攻击目标不再是单个服务器 IP 地址，同时针对 1 个或者多个 C 类 IP 地址段内多个 IP 地址进行攻击。8.低速扫段：到攻击目标 C 段内的单个 IP 的攻击流量较小，挑战防御系统检测灵敏度。但因被攻击的 C 段数量多，同时被攻击的 IP 地址数量庞大，导致整体的攻击流量较大，挤占被攻击网络带宽或消耗网络会话资源，达到 DDoS 攻击效果。9.高速扫段：相对低速扫段，到攻击目标 C 段内的单个 IP 的攻击流量较大，基于目的 IP 的攻击可以发现攻击，但因同时被攻击的 IP 数量多，挑战防御系统并发主机防御规格，同样

88、能达到 DDoS 攻击效果。10.攻击矢量：用于描述一次攻击事件采用几种攻击类型，采用一种攻击类型的攻击也叫 single-vector attack，采用多种攻击类型的攻击也叫 Multi-vector attack。11.混合攻击：也叫 Multi-vector attack，即一次攻击事件采用多种攻击类型。引用：1.https:/ 数据来源05数据来源45华为技术有限公司深圳龙岗区坂田华为基地电话：+86 755 28780808邮编：商标声明 ，是华为技术有限公司商标或者注册商标，在本手册中以及本手册描述的产品中，出现的其它商标，产品名称，服务名称以及公司名称，由其各自的所有人拥有。免责声明本文档可能含有预测信息，包括但不限于有关未来的财务、运营、产品系列、新技术等信息。由于实践中存在很多不确定因素，可能导致实际结果与预测信息有很大的差别。因此，本文档信息仅供参考，不构成任何要约或承诺，华为不对您在本文档基础上做出的任何行为承担责任。华为可能不经通知修改上述信息，恕不另行通知。版权所有 华为技术有限公司 2024。保留一切权利。非经华为技术有限公司书面同意，任何单位和个人不得擅自摘抄、复制本手册内容的部分或全部，并不得以任何形式传播。