FreeBuf ;腾讯-深渊背后的真相之DDoS威胁与黑灰产业调查报告

DDoSDDoS威胁与黑灰产业调查报告深 渊 背 后 的 真 相 之深 渊 背 后 的 真 相 之DDoS声明本报告为 FreeBuf 与腾讯云、腾讯安全云鼎实验室、大禹联合研究成果。报告中所涉及的数据来自腾讯安全云鼎实验室、大禹及网上公开数据，或采取合法技术手段、深度调查、抽样调查等方式获取。由于统计方法不同、视角和数据观察维度不同，与市场实情可能存在一定误差。FreeBuf 和腾讯安全云鼎实验室对本文数据和内容拥有全部版权，未经许可不得擅自使用。 本报告最终解释权归 FreeBuf 和腾讯安全云鼎实验室所有。本文仅从学术角度做分析研究，任何非法行为都将受到法律严惩。关于腾讯安全云鼎实验室腾讯安全云鼎实验室，关注云主机与云内流量的安全研究和安全运营。利用机器学习与大数据技术实时监控并分析各类风险信息，帮助客户抵御高级可持续攻击；联合腾讯所有安全实验室进行安全漏洞的研究，确保云计算平台整体的安全性。相关能力通过腾讯云开放出来，为用户提供黑客入侵检测和漏洞风险预警等服务，帮助企业解决服务器安全问题。关于 FreeBuf 研究院FreeBuf.COM 是斗象科技旗下、国内领先的互联网安全新媒体，每日发布新鲜安全资讯、技术剖析，分享国内外热门安全资源，是深受安全从业者与爱好者关注的网络安全网站与社区。FreeBuf 研究院则集结了行业内经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，进行专业的安全行业现状和趋势分析。目录声明 目录 第一章 概述 1.1 DDoS 概念及种类 1.2 DDoS 现状及趋势1.3 DDoS 产业链第二章 DDoS 热点事件与关键技术 2.1 DDoS 热点攻击事件 2.2 DDoS 新颖的攻击技术2.3 DDoS 关键防御技术 第三章 2018年 DDoS 攻击情况3.1 DDoS 攻击发生时间段3.2 DDoS 攻击持续时间3.3 攻击类型各流量区间分布3.4 全球 DDoS 攻击目标国家占比3.5 中国 DDoS 攻击目标各省份占比3.6 攻击目标行业分布3.7 僵尸网络 C2 服务器全球分布3.8 僵尸网络 C2 服务器国内分布3.9 典型攻击事例第四章 DDoS 产业链及新变化4.1 DDoS 产业链4.2 产业新变化第五章 安全建议附录参考来源关于报告1.1 DDoS 概念及种类DDoS 全名分布式拒绝服务攻击（Distributed Denial of Service），将多台设备联合起来作为攻击平台，对一个或多个目标发动拒绝服务攻击，使得攻击威力成倍提高。DDoS 攻击最早可追溯到1996年，这种古老的攻击方式经过近二十年的演变沿用至今。DDoS 攻击素来以成本较低、效果显著、影响深远为攻击者所青睐。目前主流的DDoS攻击方式主要包括传统攻击：ICMP Flood、UDP Flood、SYN Flood、HTTP Flood 等；反射放大攻击：NTP Flood、SSDP Flood、DNS Flood等；及根据攻击目标的特点进行的有针对性的混合攻击。据统计，2018年最流行的DDoS攻击方式包括异军突起的反射放大攻击、SYN Flood 和 HTTP Flood。从攻击类型来看，反射放大占比最多，约为55.8%。 Memcached 作为2018年三月以来的新兴反射放大力量，迅速被 DDoS 黑产界利用，其在整体的占比中也相当大。反射放大占比如此之多的一个原因是 DDoS 黑产的自动平台化，即无需人工干预，完全自动流程可完成攻击的所有操作。SYN Flood 排名第二，一直是 DDoS 的主要攻击手法。随着 DDoS 黑产的平台化，SYN Flood 的载体也发生了改变，由海量的肉鸡渐渐转移到了发包机上（以伪造源 IP 的 SYN Flood 为主）。HTTP Flood 作为7层攻击的主要方式，因为要建立完整的 TCP 连接，不能够伪造源 IP，所以还是以肉鸡侧发动攻击为主。但经调查发现，HTTP Flood 也开始向代理服务器和发包机发展。深 渊 背 后 的 真 相 之 「 D D o S 威 胁 与 黑 灰 产 业 调 查 报 告 」第一章 概述1.2 DDoS 现状及趋势互联网大潮的冲击之下，人工智能、云计算、大数据、物联网等新技术愈发成熟，社会及企业数字化转型进入关键阶段，网络空间安全面临的威胁也在不断变化升级。作为影响最深远的安全威胁之一，DDoS 攻击仍然活跃。DDoS 攻击流量峰值每年都不断地被超越，...