1、& 绿盟科技 中国电信云堤2018 DDoS 攻击态势报告A目录1. 执行摘要 12. 2018 年 DDoS 攻击态势概览 32.1 2018 vs. 2017 42.2 重要观点 53. 2018 年 DDoS 攻击分析 63.1 DDoS 攻击次数和流量峰值情况 73.1.1 DDoS 攻击次数和攻击流量 73.1.2 攻击峰值分布 93.1.3 单次攻击最高和平均峰值113.2 DDoS 攻击类型分析 123.2.1 攻击类型占比 123.2.2 攻击类型各流量区间分布143.2.3 反射攻击 153.3 DDoS 攻击时间 183.3.1 DDoS 攻击持续时间占比 183.3.2

2、DDoS 攻击时间画像 193.3.3 一天中 DDoS 攻击活动分布 193.3.4 一周中 DDoS 攻击活动分布 203.4 攻击资源行为分析 203.4.1 攻击资源异常行为类型分析 213.4.2 攻击资源活跃度分析 223.4.3 活跃攻击资源地域分布 233.4.4 攻击资源团伙行为分析 253.5 物联网攻击资源分析 283.5.1 异常物联网设备的 DDoS 参与度分析 283.5.2 参与 DDoS 攻击的物联网设备的地域分布 293.5.3 参与 DDoS 攻击的物联网设备类型分布 313.6 攻击目标行业分布 322018 DDoS 攻击态势报告B3.7 DDoS 攻击

3、地域分布 333.7.1 DDoS 受控攻击源地域分布 333.7.2 DDoS 攻击目标地域分布 343.7.3 DDoS 控制端地域分布 354. DDoS 防护与治理 364.1 网络架构技术升级 374.2 暴露服务管理374.3 僵尸网络治理384.4 流量可视化 385. 总结 392018 DDoS 攻击态势报告1执行摘要1. 执行摘要1执行摘要2018 DDoS 攻击态势报告2执行摘要2018 年，得益于互联网的快速发展，以及云计算、大数据、人工智能、物联网和工业 4.0 等技术与概念的落地，变革的触角伸向了网络空间和现实世界的各个角落，无时无刻不影响着人民的生活、商业的发展和

4、国家的实力。在技术高速革新的背景下，网络空间面临的威胁，也在随之改变和升级。技术环境和产业环境在变， 攻防战场在变， 网络攻击的手段和强度在迭代更新， DDoS攻击从未缺席。在 2018 年 2 月，一次针对 DNS 服务器，并且基于 IPv6 协议的 DDoS 攻击首次载入史册，根据 DNS 提供商 Neustar 的研究，黑客正在部署新的 IPv6 攻击方法，而不是简单地使用 IPv6 协议复制 IPv4 攻击 1。2018 年 3 月，著名代码托管网站 GitHub 遭受到峰值达到 1.35Tbps 的 DDoS 攻击，攻击者利用暴露在公共互联网上的大批量 Memcached 服务器 (

5、 一种分布式缓存系统 )，以及 Memcached 协议上存在的认证和设计缺陷，无需僵尸网络即能实现大规模的攻击流量；截至目前，基于 Memcached 协议的DDoS 反射攻击已经创造了达到 1.7Tbps 峰值攻击2。攻击手段有效性和获利便捷性是 DDoS 攻击经久不衰的主要原因，DDoS 和挖矿活动在近两年高居攻击者选择榜首。在 2017 年，随着网络安全法的实施，以及下半年以比特币为代表的虚拟货币开始暴涨，黑产掌控下的优质 Botnet 资源从犯罪成本较高的 DDoS 攻击活动，转向了犯罪成本相对较低但收益更高的挖矿活动中。比特币价格的涨跌和 DDoS 的攻击流量有着明显的相关性。20

6、18 年，我们发现，当挖矿的短期收益降低的时候，攻击者选择 DDoS 攻击的倾向性则相应增高。获利是攻击者永恒的诉求，DDoS 始终是攻击者手中的利剑之一，不容忽视。本报告的第二章为 2017 年与 2018 年的 DDoS 态势对比分析以及总结 2018 年 DDoS 攻击的重要特点。在第三章，本报告通过攻击流量、频次、攻击规模变化情况，结合攻击资源分析，攻击类型分析，攻击持续时间、攻击地域分布、物联网设备参与度、攻击目标行业分布等多个维度力求全面呈现 2018年 DDoS 攻击变化趋势，以便抛砖引玉，帮助组织及机构持续改善自身网络安全防御技术及体系。1https:/ DDoS 攻击态势报告

7、32018 年 DDoS 攻击态势概览2. 2018 年 DDoS 攻击态势概览22018年DDoS攻击态势概览2018 DDoS 攻击态势报告42018 年 DDoS 攻击态势概览2.1 2018 vs. 20172018 vs. 2017 攻击次数 14.8 万次，下降了 28.4%2018 vs. 2017 攻击总流量 64.31 万 TB，基本持平2018 vs. 2017 单次攻击平均峰值达到了 42.8Gbps，增加了 204%2018 vs. 2017 单次攻击最高峰值 1.4Tbps，与去年基本持平2018 vs. 2017 平均攻击时长为 42 分钟，下降了 17%2018

8、VS 2017攻击次数14.8万次， 比2017年下降了28.4%攻击总流量64.31万TB， 与2017年相比变化不大单次攻击平均峰值达到了42.8Gbps， 比2017年增加了204%单次攻击最高峰值1.4Tbps， 与2017年基本持平平均攻击时长为42分钟， 比2017年下降了17%2.1下降平稳增加持平下降2018 DDoS 攻击态势报告52018 年 DDoS 攻击态势概览2.2 重要观点观点 1：2018 年 DDoS 攻击规模持续普遍增大，DDoS 即服务增长迅速。观点 2：DDoS 攻击活动受政策监管、国家治理和利益驱动的影响明显。观点 3：反射攻击放缓，综合多种攻击手段的

9、DDoS 攻击值得关注。观点 4：物联网威胁日渐增强，恶意软件利用的漏洞涵盖多种物联网设备。观点 5：DDoS 攻击多发生于业务使用高峰期，以实现对目标的精准打击。观点 6：攻击目标的行业排名前三的是云服务 /IDC，游戏，电商，行业内恶意竞争是主要攻击动机。观点 7：僵尸网络控制端主要分布在美国和中国。观点 8：中国仍是首要攻击源与攻击目标。重要观点2.2观点1观点2观点3观点4观点5观点6观点7观点82018年DDoS攻击规模持续普遍增大， DDoS即服务增长迅速。DDoS攻击活动受政策监管、 国家治理和利益驱动的影响明显。DDoS反射型攻击放缓， 综合多种攻击手段的DDoS攻击值得关注。

10、物联网威胁日渐增强， 恶意软件利用的漏洞涵盖多种物联网设备。DDoS攻击多发生于业务使用高峰期， 以实现对目标的精准打击。攻击目标的行业排名前三的是云服务/IDC， 游戏， 电商， 行业内恶意竞争是主要攻击动机。僵尸网络控制端主要分布在美国和中国。中国仍是首要攻击源与攻击目标。2018 DDoS 攻击态势报告62018 年 DDoS 攻击分析3. 2018 年 DDoS 攻击分析3 2018年DDoS攻击分析2018 DDoS 攻击态势报告72018 年 DDoS 攻击分析3.1 DDoS 攻击次数和流量峰值情况3.1.1 DDoS 攻击次数和攻击流量2018 年，我们监控到 DDoS 攻击次

11、数为 14.8 万次，攻击总流量 64.31 万 TB，与 2017 年相比，攻击次数下降了 28.4%，攻击总流量没有明显变化。这主要是因为 DDoS 攻击规模逐年增大，即中大型规模的攻击有所增加，具体见 3.1.2 节。图 3.1 攻击次数与攻击流量1.50.00.51.02.02.53.03.50.01.02.03.04.05.06.07.08.09.0攻攻击击流流量量单单位位：万万TB攻攻击击次数单单位位：万万次JanFebMarAprMayJunJulAugSepOctNovDecJanFebMarAprMayJunJulAugSepOctNovDec月份月份2017年2018年数据

12、来源：中国电信云堤从全年来看，2018 年 DDoS 攻击次数明显下降，得益于对反射攻击有效的治理。2018 年以来，CNCERT 组织各省分中心，联合各地运营商、 云服务商等对我国境内的攻击资源进行了专项治理，包括使用虚假源地址治理以及对反射攻击源通告等手段。通过治理，有效的减少了反射攻击的成功率，迫使攻击者转向其它攻击手段。从数据来看，2018 年反射攻击减少了 80%，而非反射攻击增加了 73%，反射攻击仅占 DDoS 攻击次数的 3%。2018 DDoS 攻击态势报告82018 年 DDoS 攻击分析图 3.2 反射攻击次数与其他类型的攻击次数对比图Q1Q2Q3Q4Q1Q2Q3Q420

13、17年2018年反射攻击非反射攻击数据来源：中国电信云堤从 2018 年各月攻击次数来看，上半年 DDoS 攻击逐月小幅增长，而下半年有加速增加的趋势。我们认为，DDoS 攻击逐月增加，与虚拟货币的价格回落相关。在2017 DDoS 与 Web 应用攻击态势报告 1中，我们指出，随着虚拟货币的升值，黑产开始将掌握的“优质” Botnet 资源从犯罪成本较高的DDoS 攻击活动转而投向犯罪成本相对较低但收益更高的挖矿活动中。在 2018 年，随着虚拟货币的价格回落，挖矿的收益日益减少，攻击者选择 DDoS 攻击的倾向增高，DDoS 攻击逐月增加。将各月份比特币价格与 DDoS 总流量趋势对比，其

14、 Pearson 相关系数为 -0.48，呈一定的负相关性，这更加证实了我们去年的观点。1http:/ DDoS 攻击态势报告92018 年 DDoS 攻击分析图 3.3 比特币价格与 DDoS 攻击总流量趋势对比图2017年AprJulOct2018年AprJulOct虚拟货币价格指DDoS攻击总流量数据来源：中国电信云堤3.1.2 攻击峰值分布DDoS 攻击峰值以 20-50Gbps 为主，这部分攻击在全部攻击中占比 23.1%。和去年相比，攻击峰值分布向两侧分化，攻击峰值 20Gbps 以下的小规模攻击减少，攻击峰值 20-200Gbps 以上的中大型DDoS 攻击有所增加，200Gbp

15、s 以上的超大模型攻击比例基本上成倍增加。图 3.4 攻击峰值分布13.6%10.1%8.2%13.2%15.6%23.1%10.3%4.0%2.0%小于 1G1-5G5-10G10-20G20-50G50-100G100-200G200-300G300G大于2017年2018年数据来源：中国电信云堤2018 DDoS 攻击态势报告102018 年 DDoS 攻击分析从各季度来看，DDoS 攻击峰值在 100Gbps 以上的大型攻击持续增加，在进入 Q2 后，大型攻击明显增加，特别是在 Q3，大型攻击占了全部攻击的 23%。图 3.5 2017 年 vs2018 年各季度各类规模攻击次数占比Q

16、1Q2Q3Q4Q1Q2Q3Q4大于 300G200-300G100-200G50-100G20-50G10-20G5-10G1-5G小于 1G2017年2018年数据来源：中国电信云堤近年来，超大规模的攻击事件日益普遍。2018 年 3 月，著名代码托管网站 GitHub 遭受到峰值达到1.35Tbps 的 DDoS 攻击，而截至目前， DDoS 攻击已经创造了达到 1.7Tbps 峰值带宽的攻击2 。从最近两年各月数据来看，攻击峰值在 100Gbps 以上的大型攻击的次数呈加速上升趋势。大流量攻击事件的增多，说明攻击者掌握的攻击资源规模上升和攻击能力的增强。2https:/ DDoS 攻击态

17、势报告112018 年 DDoS 攻击分析图 3.6 峰值大于 100Gbps 的攻击次数变化2017年AprJulOct2018年AprJulOct数据来源：中国电信云堤3.1.3 单次攻击最高和平均峰值2018 年，DDoS 攻击的平均峰值达到了 42.8Gbps，和 2017 年的 14.1Gbps 相比，增加了 2 倍有余。尤其是在 2018 年下半年，平均峰值达到 67Gbps，主要原因是网络带宽的普遍提高和攻击者掌控的 DDoS 攻击能力有了大幅的提升。从最大峰值来看，我们检测到 2018 年 6 月份的某次攻击，最大峰值达到了 1.41Tbps，与去年基本持平。2018 DDoS

18、 攻击态势报告122018 年 DDoS 攻击分析图 3.7 攻击平均峰值和最高峰值00708090平平均均攻攻击击峰峰值值单单位位：Gbps月月份份020040060080001600最最大大攻攻击击峰峰值值单单位位：Gbps月月份份JanFebMarAprMayJunJulAugSepOctNovDecJanFebMarAprMayJunJulAugSepOctNovDec2017年2018年数据来源：中国电信云堤无论是 DDoS 攻击能力的普遍提高，还是平均峰值创历史新高，都说明 DDoS 攻击态势的严峻性。可以说，黑客普遍拥有了释放特大流量的

19、能力，并且能力仍然处于持续快速提高的进程中，这是防御和治理人员需要应对的挑战。3.2 DDoS 攻击类型分析3.2.1 攻击类型占比2018 年，主要的攻击类型3为 SYN Flood，UDP Flood，ACK Flood，HTTP Flood，HTTPSFlood，这五大类攻击占了总攻击次数的 96，反射类攻击不足 3%。和 2017 年相比，反射类型的攻击次数大幅度减少了80%， 而非反射类攻击增加了73%， 之所以如此， 是相关部门对反射源进行了有效的治理 （见3.1.1 节）。从攻击流量来看， ACK Flood占了全部流量的42.6%。 因为某些行业 （如游戏） ， 用户量大， 会

20、话数多，且多为长连接，容易受到 ACK 攻击，并且 ACK 报文比较大，从而产生大量的攻击流量。 3此处对混合攻击进行了拆解2018 DDoS 攻击态势报告132018 年 DDoS 攻击分析图 3.8 攻击类型的攻击次数分布37.6%21.9%18.4%12.3%17.6%42.6%14.4%16.5%8.3%0.3%1.5%1.1%2.7%1.2%0.5%1.0%0.6%0.4%0.3%1.0%SYN FloodUDP FloodACK FloodHTTP FloodHTTPS FloodNTP Reflection FloodSSDP Reflection FloodDNS Reflec

21、tion FloodDNS Request Floodother攻击流量占比攻击次数占比数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)SYN Flood 依然是 DDoS 的主要攻击手法。攻击者利用 TCP 协议缺陷，发送大量的 TCP 连接请求，从而使得被攻击方资源耗尽的攻击方法。ACK Flood 很少单独使用，经常与 SYN Flood 一起使用，使主机和防火墙耗费大量的精力来计算 ACK 报文是否合法以致不堪重负，既消耗了目标的资源，又进行了流量攻击。UDP Flood 是长期活跃的流量型 DDoS 攻击。常见的情况是利用大量 UDP 小包冲击 DNS 服务器或Radius

22、认证服务器、 流媒体视频服务器。 UDP Flood无需建立连接， 协议简单， 容易打出大流量攻击报文，因此深受攻击者的青睐。HTTP Flood/HTTPS Flood 是针对 Web 服务在应用层发起的攻击，攻击者通过模拟正常用户对网站执行网页访问行为。 这类攻击会引起严重的连锁反应， 当客户端不断请求而且附带大量的数据库操作时，不仅直接导致被攻击的 Web 前端响应缓慢，还间接攻击到后端服务器程序，严重的情况下可造成数据库等后端服务卡死、崩溃，甚至对相关的主机，例如日志存储服务器和图片服务器都带来影响。从 DDoS 攻击事件来看，有 13% 的攻击事件使用了多种攻击手法。攻击者根据目标系

23、统的具体环境灵动组合，发动多种攻击手段，既具备了海量的流量，又利用了协议、系统的缺陷，尽其所能地展开攻2018 DDoS 攻击态势报告142018 年 DDoS 攻击分析势。对于被攻击目标来说，需要面对不同协议、不同资源的分布式的攻击，分析、响应和处理的成本就会大大增加。图 3.9 混合攻击分布混合攻击13.0%5种及以上4种类型0.1%0.3%3种类型1.4%单一类型87.0%11.3%2种类型数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)3.2.2 攻击类型各流量区间分布在2018年， 峰值10Gbps以下的攻击以SYN及ACK等传统攻击手法为主；10Gbps-100Gbps的

24、攻击，主要使用了 UDP 及 SSDP 反射攻击两种手法；100Gbps 以上的大流量攻击中，UDP、NTP、SSDP 和SYN 是主要的攻击手段。与 2017 年数据相比，UDP 攻击替代了 SYN 攻击，在今年的大流量攻击中占据主导地位。SYN 报文大包的流行是去年 SYN Flood 主导大规模 DDoS 攻击的主要原因，但该攻击手段特征比较明显，较易被防护设备所拦截，也能看出攻防是在不断地迭代演进的。物联网安全态势日渐严峻，大量低功耗联网设备成为肉鸡，同时普遍扩大的带宽，使得 UDP Flood 这种无连接，低性能消耗和高带宽占用的攻击方式成为大规模 DDoS 中的主流。2018 DD

25、oS 攻击态势报告152018 年 DDoS 攻击分析图 3.10 DDoS 攻击类型各流量区间小于1G1-5G5-10G10-20G20-50G50-100G100-200G200-300G300G以上SYN FloodACK FloodUDP FloodSSDP Reflection FloodNTP Reflection FloodOther数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)3.2.3 反射攻击2018 年，虽然反射类型的攻击次数大幅减少，仅占全部攻击的 3%，但攻击流量却占了全部流量的10%，由于反射攻击对流量的放大作用，其危害仍不可忽视。从攻击次数来看，NTP

26、 反射攻击独占鳌头，在全部反射攻击中占比 60；从产生的流量来看，SSDP 反射攻击占了全部反射攻击流量的 42%。2018 DDoS 攻击态势报告162018 年 DDoS 攻击分析图 3.11 各类反射攻击次数与流量占比60.3%23.2%15.1%1.4%0.0%22.8%42.5%25.5%9.3%0.0%NTP Reflection FloodSSDP Reflection FloodDNS Reflection FloodMemcached Reflection Flood SNMP Reflection Flood攻击流量攻击次数数据来源：绿盟科技全球 DDoS 态势感知系统 (

27、ATM)从活跃反射源数量来看，2018 年下降了 60%，其中 SSDP 反射源有显著的减少，而 DNS 反射源有一定程度的增加。由此可见，相关部门对攻击源的治理，特别是 SSDP 反射源，是卓有成效的。图 3.12 活跃反射源数量变化Q1Q2Q3Q4Q1Q2Q3Q4SSDPSNMPNTPMemcachedDNSCHARGEN2017年2018年数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)对参与 DDoS 攻击的反射源的地理位置进行分析，从全球来看，反射源主要集中在中国，占了全部反射源的 46，剩余 TOP5 国家依次是俄罗斯、美国、巴西和加拿大。从国内来看，反射源分布最多的是山

28、东省，占了全国反射源的 18，其它依次为辽宁，浙江，台湾，江苏等省份。2018 DDoS 攻击态势报告172018 年 DDoS 攻击分析图 3.13 DDoS 反射源境内分布DDoS 反射源全球分布 1865460HighLowDDoS 反射源全国分布 337680HighLow数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)2018 DDoS 攻击态势报告182018 年 DDoS 攻击分析3.3 DDoS 攻击时间3.3.1 DDoS 攻击持续时间占比2018 年，DDoS 攻击的平均时长为 42 分钟，和 2017 年相比，下降了 17%，这说明随着 DDoS 攻击的服务化，

29、产业化，工具化，攻击效率有了较大的提升。我们检测到，2018 年，持续时间最长的DDoS 攻击在 12 天左右，也远远小于前期的攻击时长。2018年， 短时攻击增加， 攻击时长在30分钟以内的DDoS攻击占了全部攻击的77%， 和2017年相比，增加了 33%，但平均攻击流量却增加了 1.5 倍。该数据说明攻击者越来越重视攻击成本和效率，倾向于在短时间内，以极大的流量导致目标服务的用户掉线、延时、抖动。在长周期内，多次瞬时攻击能够严重影响目标服务质量，同时攻击成本得到有效控制。图 3.14 攻击持续时间占比4%5%3%3%5%3%30-60分钟1-3小时3-6小时6-12小时12-14小时1天

30、以上77%小于30分钟数据来源：中国电信云堤日渐缩短的单次攻击时长也让攻击者能够接收到更多的攻击任务，这也是僵尸网络即服务（Botnet-as-a-Service）和 DDoS 即服务（DDoS-as-a-Service）的重要特点之一4。以往，僵尸网络是由攻击者主动制作并扩散恶意软件以感染设备，并根据购买者的需求来操作这些设备发动大规模的 DDoS 攻击，其攻击时间亦完全取决于攻击者的工作时间，也是需要较高的技术水平和长时间的僵尸资源积累方能达成4http:/ DDoS 攻击态势报告192018 年 DDoS 攻击分析的，因此在很长一段时间内由于杀毒软件的普及，由僵尸网络引起的大规模 DDo

31、S 攻击占比曾一度下降。而 Botnet-as-a-Service 模式的僵尸网络或 DDoS-as-a-Service 服务平台提供了租赁服务，即提供给没有僵尸资源和技术水平的用户一定时间内一定数量僵尸的使用权，并根据用户所需的规模、配置等参数的不同提供定制化的服务，加上自动支付平台的普及，用户们只要付款就可以即时获得一批佣兵式的攻击资源，不仅提供了随时随地发动攻击的敏捷性，也大大提高了作为用户时“一切都在自己控制下”的趣味性及对控制欲望的满足。这些因素降低了大规模 DDoS 攻击的发起门槛，也使得僵尸网络获利更为便捷。3.3.2 DDoS 攻击时间画像3.3.3 一天中 DDoS 攻击活动

32、分布从一天 24 小时攻击占比可知，业务高峰时段（10 点 -22 点）为攻击者发起 DDoS 攻击的高峰期，占全天攻击的 70%。这段时间也是在线业务的访问量高峰区间，攻击者在访问高峰期发起 DDoS 攻击，以此来提升攻击的效果和影响。图 3.15 一天 24 小时 DDoS 攻击占比2017年2018年6.6%0.0%1.0%2.0%3.0%4.0%5.0%6.0%7.0%8.0%00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23数据来源：中国电信云堤2018 DDoS 攻击态势报告202018 年

33、 DDoS 攻击分析3.3.4 一周中 DDoS 攻击活动分布从每周中 DDoS 攻击活动的分布来看，一周中各天所发生的 DDoS 攻击事件比例并无明显差别。背后的一个重要原因是现有网络服务往往提供 7 X 24 服务，因而一周中每一天都可能被攻击。图 3.16 一周七天 DDoS 攻击占比13.5%14.6%14.7%14.5%14.3%14.4%13.9%Mon.Tue.Wed.ThuFir.Sat.Sun.2017年2018年数据来源：中国电信云堤3.4 攻击资源行为分析在2018 上半年网络安全观察5中我们提到，DDoS 惯犯数量不容小觑，所有攻击类型中，25%的惯犯承担了40%的攻击

34、事件。 在DDoS攻击中， 7%的DDoS惯犯承担了12%的攻击事件 （此处， “DDoS惯犯”意指发起过 DDoS 攻击且被威胁情报平台标记的攻击源 IP）。可以看出，在 DDoS 攻击中惯犯的比重有所减少，资源重复利用性较低，产生这种现象的原因主要有两个方面：首先，公共互联网上可供利用的攻击资源较多，攻击者通过多次扫描就能获得鲜活的攻击资源，而无需长期保活攻击资源。惯犯大多是互联网上长期存在安全隐患的资源，且极易被世界各地的攻击者利用。其次，DDoS 攻击通常位于攻击链的最后一环， 当主机/设备资源被利用发起DDoS攻击时， 此攻击资源也很容易被维护人员发现，5http:/ DDoS 攻击

35、态势报告212018 年 DDoS 攻击分析从而被修复。因此 DDoS 攻击中的僵尸主机，有很大一部分会丢失掉，就是俗称的“掉鸡”，从而需要黑客重新扫描、感染去扩大僵尸网络的规模。此外，我们注意到，无论哪种攻击类型，惯犯产生的攻击占比往往是其数量占比的将近 2 倍，其威胁程度较大，不容忽视。图 3.17 惯犯的数量占比和攻击事件占比93%7%88%12%惯犯攻击事件占比惯犯数量占比DDoS惯犯其他DDoS惯犯其他数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心3.4.1 攻击资源异常行为类型分析参与 DDoS 攻击的攻击资源异常行为类型往往较为单一。在参与过 D

36、DoS 的攻击源中，历史上只发起过一种异常行为的个数占 89%，少数攻击源发起过多种异常行为，最高达到 6 种。图 3.18 DDoS 惯犯参与的攻击类型数量分布9.23%=3种异常行为2种异常行为1.46%89.31%1种异常行为数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心从图 3.18 中的异常行为类型分布可知，41% 的攻击源曾被僵尸网络所控制；18% 的攻击源有过扫2018 DDoS 攻击态势报告222018 年 DDoS 攻击分析描行为，扫描行为是攻击入侵的前期准备阶段，通过信息收集，掌握目标机器的系统，漏洞信息，对进一步进行入侵攻击起到关键作用；

37、18% 的攻击源被威胁情报标记曾经多次进行 DDoS 攻击，这些攻击源往往包含能够被远程控制且长期未得到修复的漏洞，或具备反射能力。图 3.19 DDoS 惯犯异常行为类型占比0.01%9.68%18.15%18.30%40.93%9.51%Other2.38%漏洞利用发送垃圾邮件DDos攻击扫描探测僵尸网络通讯钓鱼0.10%Web 攻击0.89%传播恶意软件0.06%代理数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心3.4.2 攻击资源活跃度分析在攻击源活跃时间的监测中发现，10 天是一个分水岭，活跃时间小于 10 天的占比 98%，大于 10天的仅占 2%

38、，最高达 280 天。95% 的攻击源活跃时间在 1 天到 5 天之间，一方面是由于攻击者为保证攻击资源的鲜活，防止攻击资源进入防护者的黑名单，打一枪换一炮；另一方面也侧面说明了公共互联网存在安全隐患的 IP 资源分布广泛，攻击者的获取成本极低且易行。2018 DDoS 攻击态势报告232018 年 DDoS 攻击分析图 3.20 短期攻击资源活跃时间分布2.37%0.26%0.33%0.47%0.64%0.93%1.75%3.28%7.18%19.10%66.05%21活跃时间：天数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)3.4.3 活跃攻击资源地域分布

39、根据攻击源 IP 的活跃持续时间分布，活跃时间达十天以上的攻击源，我们视为高活跃度攻击资源，这些资源一般存在明显的安全隐患极易被利用，威胁程度较高。从全球分布来看，高活跃度攻击源在中国、美国以及俄罗斯数量最多。从国内来看，高活跃度攻击源在沿海和经济发达地区分布密集，其中广东、江苏、北京的高活跃度攻击源最多。这些地区往往网络基础设施数量基数更大，同等安全防护水平下存在安全隐患的设备资源也更多。2018 DDoS 攻击态势报告242018 年 DDoS 攻击分析图 3.21 活跃程度较高的攻击资源全球分布 1000010HighLow数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟

40、科技威胁情报中心图 3.22 活跃程度较高的攻击资源全国分布 34870HighLow数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心2018 DDoS 攻击态势报告252018 年 DDoS 攻击分析3.4.4 攻击资源团伙行为分析团伙攻击是指通过相对独占的攻击资源，基于一定的攻击手法进行规模化攻击的行为。与其他大量由个体发起的普通攻击事件不同，团伙攻击行为往往带有典型的情报、经济等利益目标。因此形成基于网络数据的攻击团伙行为视角，掌握数据中的主要虚拟攻击团伙具有重要意义。基于绿盟科技近期发布的IP 团伙行为分析 6报告，我们在此仅从团伙规模和攻击流量、次数三

41、个方面对攻击资源以群体方式勾结“作案”的行为进行简单介绍。团伙规模从团伙规模的整体分布来看，大多数团伙成员数量不到 1000，但我们也发现有一个团伙成员数量超过 26,000。图 3.23 IP 团伙规模分布 0---20002000数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心6http:/ DDoS 攻击态势报告262018 年 DDoS 攻击分析图 3.24 展示了我们所识别的各 IP 团伙按规模大小的分布。图中的每个点代表一个团伙，共有 82个团伙。图 3.24 IP 团伙规模分布（每团伙）050

42、000000250003000060708090数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心攻击总流量各团伙的攻击总流量分布情况，涵盖了来自同一团伙所有成员的全部攻击。虽然不同团伙的攻击总流量看似存在巨大差异，但大多数团伙的攻击总流量都超过了 50TB。图 3.25 攻击总流量分布0-50TB50-500TB500-800TB800-1000TB数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心2018 DDoS 攻击态势报告272018 年 DDoS 攻击分析图 3.26 攻击总流量

43、分布 (GB)02000004000006000008000000608090数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心攻击总次数从各团伙的攻击总次数分布中可以看出近 60 个团伙所发起的攻击次数均在 5000 以内。毫不意外，大约 20的团伙发起了 80的攻击。图 3.27 攻击总次数分布（每团伙）050000000250003000035000400004500050000550006000060708090数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心

44、2018 DDoS 攻击态势报告282018 年 DDoS 攻击分析3.5 物联网攻击资源分析3.5.1 异常物联网设备的 DDoS 参与度分析结合绿盟科技的物联网威胁情报、DDoS 攻击事件和物联网设备进行关联，进一步分析 DDoS 攻击源 IP 中的物联网设备比例可知，DDoS 攻击源 IP 中有 3.14% 为物联网设备，虽然占比较小，但是由于DDoS 攻击源 IP 的基数较大，物联网设备所进行的 DDoS 攻击仍然不可小觑。图 3.28 参与 DDoS 的物联网设备 IP 与全部 DDoS 的 IP 占比IoT设备3.1%Linux/Unix 主机36.3%Window 主机60.5%

45、数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心我们监测到，全球异常物联网设备的 IP 总量为 408685 个，在全球物联网设备中占比 0.94%。其中参与过 DDoS 的物联网设备所使用过的 IP 数量为 205167，占全部异常物联网设备的 IP 总量的50.20%。通过图 3.29 异常物联网设备异常行为占比可以看出，在异常物联网设备的异常行为中 DDoS攻击占比是各个种类中最高的。可以说，异常物联网设备主要被利用进行 DDoS 攻击。2018 DDoS 攻击态势报告292018 年 DDoS 攻击分析图 3.29 异常物联网设备异常行为占比75.41%

46、0.03%2.65%3.85%4.20%8.68%18.29%20.63%50.20%其它Web攻传播恶意软件发送垃圾邮件恶意挖矿漏洞利用扫描探测僵尸网络通讯DDoS攻击击数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心3.5.2 参与 DDoS 攻击的物联网设备的地域分布从全球视角对参与 DDoS 攻击的物联网设备的地域进行分析发现，参与 DDoS 攻击的物联网设备 IP最多国家为中国，高达 9 万余 IP，其主要原因可能在于部署在国内的物联网设备的数据收集探针与国外相比较多。参与程度前五名国家还包括俄罗斯、越南、美国和巴西。7由于各某些设备有多种异常行为，从

47、而导致图 3.29 中累计百分比大于 100%。2018 DDoS 攻击态势报告302018 年 DDoS 攻击分析图 3.30 参与 DDoS 攻击的物联网设备的国家分布1.18%1.47%1.60%1.73%2.48%3.07%3.71%4.46%6.99%50.52%土耳其泰国印度印尼克乌兰巴西美国越南罗俄斯中国数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心从图 3.30 可知，中国的参与 DDoS 攻击的物联网设备的 IP 最多，因此接下来对国内省份的参与DDoS 攻击的物联网设备的 IP 数量进行分析发现，省份总量的前四名分别为江苏、山东、广东和浙江

48、。通过 2018 年各省份全年国内经济生产总值可知，前四名包括广东、江苏、山东和浙江。图 3.31 参与 DDoS 攻击的物联网设备的国内分布2.40%3.18%4.02%4.83%5.03%5.69%11.73%11.98%13.63%13.83%河北河南台湾辽宁福建重庆浙江广东山东江苏数据来源：绿盟科技全球 DDoS 态势感知系统 (ATM)、绿盟科技威胁情报中心2018 DDoS 攻击态势报告312018 年 DDoS 攻击分析在2018 年物联网安全年报8中指出，物联网设备的大批量普及与当地的高科技水平和服务业的繁荣是分不开的，经济发达的省份更有财力和动力采购、部署物联网设备和相关智能

49、系统。广东、江苏、山东和浙江的 GDP 组成中第三产业服务业的产值均为其 GDP 的重要组成部分，这四省的经济总量与物联网设备的部署量是一致的。因此，在广东、江苏、山东和浙江等省份经济大力发展的同时，也提高了物联网设备的普及程度，增加了省份的物联网设备的总量。由图 3.29 异常物联网设备异常行为占比可知，物联网设备的安全问题最突出的异常行为是 DDoS 攻击，因此在经济发达地区，物联网设备总量较高的地区，物联网设备的DDoS 攻击威胁更加严重。3.5.3 参与 DDoS 攻击的物联网设备类型分布路由器和摄像头是物联网设备的重灾区，2018 年多个僵尸网络大量利用路由器漏洞和摄像头漏洞对该两类

50、设备进行渗透控制，例如：2018 年 2 月，JenX 9利用 CVE-201717215 和 CVE-2014-8361 感染华为 HG532 路由器和运行 Realtek SDK 的设备形成僵尸网络，据报道其控制的设备数量至少有 2.9万台；2017 年底爆出的 IoTroop 10的新型僵尸网络，则借用了一部分 Mirai 的代码。与 Mirai 类似，该恶意软件针对的是网络设备，例如由普联（TP-Link）、Avtech、MikroTik、Linksys、Synology 和GoAhead 等公司制造的路由器和摄像头。据 Insikt Group 称 11，在这个僵尸网络中，有 80%