隨著產業(yè)數字化進程日益深入，企業(yè)面臨的網絡環(huán)境也愈發(fā)復雜。抵御網絡安全風險對于企業(yè)而言，不光是生存的保障，也是發(fā)展的基礎。掌握黑灰產的最新動向，是企業(yè)有效應對網絡安全威脅的重要手段之一。那么，過去一年網絡攻擊都有哪些新的動態(tài)和趨勢呢?

　　近日，騰訊安全發(fā)布《2020年騰訊云DDoS威脅白皮書》(以下簡稱《白皮書》)，從威脅態(tài)勢、攻擊手法、攻擊資源三個維度總結出了2020年DDoS攻擊的十四大特征，幫助企業(yè)見招拆招。

　　DDoS攻擊次數、增幅均創(chuàng)新高，走勢與疫情防控密切相關

　　●2020年成DDoS攻擊增幅最大的一年

　　2020年，在疫情推動和國家新基建戰(zhàn)略的指引下，企業(yè)數字化進程加速?；ヂ摼W經濟的蓬勃發(fā)展，吸引了大量黑灰產覬覦。DDoS攻擊在經歷了2018年底司法機關的重拳打擊后迎來強勢反彈，攻擊次數創(chuàng)下歷史新高，同比增幅高達135%。

　　●8月和9月DDoS攻擊最密集

　　從時間分布上看，2020年下半年的DDoS威脅要明顯高于上半年，主要集中在第三季度，并在8月和9月達到最高峰。

　　●海外攻擊出現大幅增長

　　地理分布上，2020年海外DDoS攻擊的次數和增速均創(chuàng)下歷史新高，其中歐洲和北美是海外DDoS攻擊較為密集的區(qū)域。

　　●DDoS攻擊走勢與當地疫情防控形勢呈現明顯相關

　　2020年，受疫情影響，人們日常生活的許多場景轉移到線上。活躍的線上經濟吸引黑產火力，帶來了大量DDoS攻擊。因此，疫情爆發(fā)往往導致DDoS攻擊大幅增加，這個趨勢在歐洲、北美和日韓等地尤其明顯。

　　●游戲行業(yè)仍是主要被攻擊行業(yè)

　　2020年，游戲行業(yè)的DDoS攻擊次數不僅再創(chuàng)新高，而且在整體DDoS攻擊中的占比超過7成。除游戲行業(yè)外，過去一年蓬勃發(fā)展的電子商務、直播、在線辦公、在線教育等行業(yè)，也受到了嚴重的DDoS攻擊威脅。

　　攻擊手法持續(xù)多元化，復合型攻擊成為常態(tài)

　　●UDP反射攻擊仍是攻擊者發(fā)起DDoS攻擊的主流

　　成本低、易操作的UDP反射放大攻擊一直是攻擊者發(fā)起DDoS攻擊的首選。2020年，UDP反射攻擊的占比超過6成，其中NTP反射、DNS反射、CLDAP反射和SSDP反射是現網最為普遍的UDP反射手法。而在超過300G的超大流量UDP反射型DDoS攻擊中，SSDP反射手法通常是主要的攻擊流量來源。

　　●CoAP、WS-DD和ARMS等新型UDP反射被大量用于攻擊游戲業(yè)務

　　這些新型UDP反射放大攻擊的包長和反射源數量較小，通常難以發(fā)起大流量DDoS攻擊，以數百M流量的攻擊最為常見。這類攻擊雖然無法擁塞機房帶寬，但是擠占服務器CPU和連接數等資源綽綽有余，可以大幅降低玩家的游戲體驗。同時，由于攻擊包包長較小，和業(yè)務流量接近，這類攻擊可以有效穿透粗粒度的檢測和防護。

　　●TCP反射攻擊威脅持續(xù)擴大

　　TCP反射攻擊在2020年下半年持續(xù)增長，無論攻擊次數還是最大攻擊流量，均高于去年同期和上半年。TCP反射攻擊中，發(fā)起攻擊的都是真實服務器，且產生的攻擊包包長極小，靠反向挑戰(zhàn)等傳統防護算法難以防御。TCP反射攻擊不僅危害被攻擊企業(yè)，還會消耗公共服務器的CPU和帶寬等資源，危害十分嚴重。

　　●應用層攻擊(CC攻擊)呈海量化態(tài)勢

　　2020年以來，超大流量的應用層攻擊(HTTP/HTTPS CC攻擊)也愈加頻繁。應用層攻擊中以HTTP協議CC攻擊為主，HTTPS協議攻擊占比為15%，兩種場景下都是以GET請求為主。

　　●復合型攻擊成為常態(tài)

　　為了追求更好的攻擊效果，攻擊者不斷尋找更多更強的攻擊手法，組合多種現有攻擊手法的復合型攻擊成為常態(tài)。最常見的組合方式包括：SYNFLOOD+UDP反射放大攻擊，多種不同UDP反射放大攻擊組合，以及SYNFLOOD+TCP反射等。

　　攻擊資源擴大，大量秒撥IP流入DDoS攻擊黑產

　　●UDP反射源仍是最主要攻擊資源

　　UDP反射源仍是現網攻擊源的主要來源，其中SSDP反射源數量最多，總數在千萬級別。DNS反射源、NTP反射源、PORTMAP反射源、SNMP反射源處在第二梯隊，數量在50-200萬之間。其余反射源數量均在50萬以下。

　　●中美TCP反射源數量遙遙領先

　　由于TCP反射源是利用互聯網開放服務的服務器發(fā)起攻擊，所以這部分攻擊源的分布非常廣泛，其中中美兩國的反射源數量遙遙領先。此外，德國、日本、法國等發(fā)達國家的TCP反射源數量也較多。

　　●XOR.DDoS僵尸網絡為現網最活躍僵尸網絡家族

　　所有參與DDoS攻擊的肉雞中，XOR.DDoS僵尸網絡的肉雞占整體比例超過6成。進入第四季度以來，XOR.DDoS僵尸網絡的活躍程度進一步加強，發(fā)起的DDoS攻擊次數遠超前幾個季度。

　　●大量秒撥IP被黑客用于發(fā)起應用層DDoS攻擊

　　大量秒撥IP流入DDoS攻擊黑產大軍，是2020年應用層DDoS攻擊達到海量的主要推手。這些秒撥IP的分布區(qū)域以國內為主，主要分布在安徽、江蘇、浙江等經濟或人口大省。除了參與發(fā)起DDoS攻擊外，這些IP還大量在刷單、秒殺、養(yǎng)號等風控場景出現，表明DDoS攻擊黑灰產和風控場景的黑灰產間存在頻繁的資源流轉。

　　針對攻擊者越來越大的攻擊強度和越來越豐富的攻擊手法，《白皮書》建議企業(yè)選擇能夠覆蓋多種防護場景的防護方案，通過多層防護聯動，一站式解決各類攻擊場景。

　　騰訊云T-Sec DDoS防護具備覆蓋全球的秒級響應延遲和T級清洗能力，已經為游戲、互聯網、視頻、金融、政府等諸多行業(yè)的客戶提供了安全保障。2020年，騰訊云聯合安全平臺部宙斯盾等多個團隊的安全專家，為全國兩會、廣交會等多個重要會議提供了7*24小時全方位網絡安全防護，保障期間業(yè)務安全穩(wěn)定運營。

　　此外，騰訊云T-Sec DDoS防護服務也收獲了行業(yè)的廣泛認可和關注，入選了2020年4月Forrester《Now Tech ：DDoS Mitigation Services, Q2 2020》云服務商類別推薦名單。