腾讯安全：2021年全球DDoS威胁报告（37页）.pdf

1、第一章:专家观点Chapter one: Expert Opinions2021 年全球 DDoS 威胁报告-1目录第一章：专家观点第二章：整体威胁第三章：海外威胁1. 海外与国内攻击热点行业重合2. 扫段攻击使 8 月成攻击最多月份3. 东南亚成海外攻击热点区域4. 海外多次攻击超过 1Tb5. 高频瞬时攻击成对抗博弈的重要手段1. DDoS 攻击连增 2 年，Tb 级攻击时代已逾 5 年2. 下半年攻击又多又猛，8 月成攻击高峰3. 大流量攻击呈现多元化趋势4. 海外攻击数据占比 20%，东南亚成主要攻击战场5. 攻击行业分布多元化，游戏行业占比仍居第一6. 扫段攻击成网络公害，脉冲攻击防

2、不胜防1. 游戏仍然是攻击热点，出海游戏更易遭受 DDoS 攻击2. 虚拟货币监管加码，大量肉鸡流入 DDoS 攻击黑产3. 僵尸网络成扫段攻击重要推手4. 漏洞修复不及时，僵尸网络利用时差攻击5. DDoS 威胁或成为犯罪团伙首选勒索手段Contents目录第四章：黑产视角第五章：攻防对抗案例第六章：全球 DDoS 大事记第七章：关于腾讯云 T-Sec DDoS 防护案例一：热门游戏遭多轮攻击，防护团队见招拆招案例二：脉冲攻击并非无解，智能对抗升级策略案例三：僵尸网络扫段攻击，监测防护实时联动1. 中国是主要攻击源来源国之一2. DDoS 反射源分布与 IoT 发展速度及其基数相关3. UD

3、P 反射攻击类型利用喜好与反射放大倍数成正比4. UDP 反射仍是最主要攻击手法5. TCP 反射手法呈“U 型”走势6. 僵尸网络控制端（C&C）绝大多数位于国外7. 肉鸡主要来自中国、东南亚、北美8. DDoS 僵尸网络四大家族各有特色，“一统江湖”局面不再9. XOR DDoS 逐渐没落，BillGates 最为活跃10. 扩大僵尸网络规模是黑产团伙提升 DDoS 打击能力的重要手段Contents第一章:专家观点Chapter one: Expert Opinions2021 年全球 DDoS 威胁报告-4第一章专家观点 Expert Opinions第一章:专家观点Chapter o

4、ne: Expert Opinions2021 年全球 DDoS 威胁报告-5第一章专家观点 Expert Opinions12游戏仍然是攻击热点，出海游戏更易遭受 DDoS 攻击虚拟货币监管加码，大量肉鸡流入 DDoS 攻击黑产根据腾讯云 T-Sec DDoS 防护团队数据显示，互联网多元化发展迅速，云计算、视频直播等新兴行业倍受用户青睐，DDoS 黑产攻击目标也紧随热点业务产生变化，整体来看，今年游戏仍是受 DDoS 攻击最多的行业，但攻击占比为历年新低。相比于国内发行的游戏，出海游戏更易遭受 DDoS 攻击：一方面，出海企业大多复制国内已验证的成功商业模式，推出的游戏往往颇具竞争力，容易

5、成为海外 DDoS 攻击的目标；另一方面，国外环境比较复杂，以 ACCN为代表的黑产团伙肆无忌惮，出于敲诈勒索目的的 DDoS 攻击层出不穷。对黑产来说，考虑到动辄数十倍甚至数百倍的放大比，UDP 放大攻击是发起 UDP 类大流量攻击最经济有效的方式。但是腾讯云 T-Sec DDoS 防护团队通过分析数据发现，今年 5 月份以来，未使用 UDP 反射的大流量UDP flood 攻击比去年明显增多。出现这一现象的原因可能是国家针对虚拟货币挖矿行业进行了持续整治，大量肉鸡从挖矿领域回流进入 DDoS 攻击黑产。根据历史数据分析，比特币等虚拟货币的价格与肉鸡发起 DDoS 攻击呈现明显负相关。因为挖

6、矿僵尸网络会引起操作系统 CPU 负载消耗过高，往往被安全人员发现并清理。所以挖矿僵尸网络数量需要不断“补量”才能持续达到同等收益，当虚拟货币价格下跌时，黑产团伙选择投放僵尸网络 DDoS 攻击模块，虚拟货币价格上涨时，则选择投放挖矿模块，以实现团伙利益最大化的核心诉求。2021 年下半年以来，国家持续加强整治虚拟货币“挖矿”活动，以改善能源利用效率，维护社会稳定和国家安全。大量基于矿机挖矿的企业迁移海外，利用肉鸡进行挖矿的黑产也受到较大冲击。大量肉鸡从虚拟货币挖矿行业流出，进入 DDoS 攻击领域。黑客手里的肉鸡资源较为富余，在 5 月份之后的几个月，不通过反射放大而是利用肉鸡直接发起的 U