DDoS报告团伙规模

攻击资源活跃度分析

在攻击源活时间的监测中发现，和 2019 年趋势一致，存活时间大于 10 天的攻击资源占比 11%。像这种能够长期被控制的肉鸡大部分都是物联网
设备，物联网设备大都存在设备系统老，人员维 护少，更新慢等问题。一旦被感染，就会成为僵尸网络中的一员，并且长期被控制。

高活跃度资源类型
高活跃度资源物联网设备占比 22%，相比去年占比提高了 10 个百分点。

活跃攻击资源地域分布

根据攻击源 IP 的活跃持续时间分布，活跃时间达十天以上的攻击源，我们视为高活跃度攻击资源， 这些资源一般存在明显的安全隐患极易被利用，威胁程度较高。
从全球分布来看，高活度攻击源主要分布在美国、中国，其次是俄罗斯。从国内来看，高活 度攻击源在沿海和经济发达地区分布密集，其中中国台湾、浙江、中国香港和安徽的高活度攻击源 最多。这些地区往往网络基础设施
数量基数更大，同等安全防护水平下存在安全隐患的设备资源也 更多。

图 3.29　活跃程度较高的攻击资源全球分布 数据来源：绿盟科技威胁情报中心（NTI ）

图 3.30　活跃程度较高的攻击资源全国分布 数据来源：绿盟科技威胁情报中心（NTI ）

攻击资源惯犯分析

在 2020 年的 DDoS攻击中， 4%的惯犯 [^1] 承担了 78% 的攻击事件。可以看出，惯犯的威胁程度大， 不容忽视。

攻击资源异常行为类型分析

参与 DDoS 攻击的攻击资源异常行为类型相比去年更为丰富。 2020 年参与过 DDoS 的攻击源中， 41% 攻击源发起过多种异常行为，相比 2019 年，最高异常行为由 8 种增加到 12 种。

从下图中的异常行为类型分布可知， 8.7% 的攻击源曾被僵尸网络所控制； 8% 的攻击源有过发送垃 圾邮件行为； 58. 1% 的攻击源被威胁情报标记曾经多次进行 DDoS 攻击，这些攻击源往往包含能够被远 程控制且长期未得到修复的漏洞，或具备反射能力。

图 3.33　DDoS 惯犯异常行为类型占比 数据来源：绿盟科技威胁情报中心（NTI ）

此处，“ DDoS 惯犯”意指长期出现且发起 DDoS 攻击 20 次以上的 IP

####　攻击资源团伙行为分析
DDoS 攻击通常以协作方式从多个来源发起， DDoS 惯犯们常常共同组合发起攻击，我们将这样的
群体称为“ IP 团伙”。在本报告中，我们基于绿盟科技 2020 年全年 DDoS 攻击数据，识别了多个 IP 团伙并系统研究了他们的团伙行为。
采用这种研究方法背后的逻辑是：如果两个 IP的历史攻击行为相似，那么他们则被划分为一个团伙。 团伙行为的相似性主要体现在两方面：
（1）短时间内行为相似：反复在同一时刻用相同攻击手段对同一目标发起攻击。 （2）长周期行为相似：在不同时期反复对相同目标发起相同手段攻击。
在本节中，我们对 IP团伙行为进行了统计分析，并且对重点团伙进行了刻画。通过分析，我们发现： 观点一：能够长期稳定被控制的攻击团伙，组成成员大部分是物联网设备， IDC数据中心等基础设施。 观点二：单一团伙的攻击总流量最高达到 3624TB，这个最大攻击总流量是去年的两倍以上。

团伙规模

2020 年共发现 45 个活跃团伙，团伙规模分布如下，大部分团伙规模都在 200 到 1 万之间。成员数 量大于 1 万的大团伙有 4 个，其中规模最大的团伙成员高达 4.9 万个。

3.6.5.2　团伙攻击总流量
各团伙的流量分布如下，涵盖了来自同一团伙所有成员的全部攻击。单一团伙的攻击总流量最高达 到 3624TB，这个最大攻击总流量是去年的两倍以上。
图 3.35　攻击总流量各区间团伙数量分布 数据来源：绿盟科技威胁情报中心（NTI ）
3.6.5.3.　团伙攻击资源类型
能够长期被操控的团伙攻击资源主要就是 IDC和物联网设备，统计团伙所有攻击资源类型，占比最高 的就是物联网设备，占比 31%。其中，占比最高的为 15%的摄像头、 12%的路由器设备和 3%的网络电话。

###　物联网攻击资源分析

参考资料

绿盟 2020 DDoS攻击态势报告

友情链接

GB-T 31167-2014 信息安全技术 云计算服务安全指南