年 DDoS 攻击态势概览

执行摘要

2020 年，得益于主管部门治理成效显著以及设备防护能力增强，我们监控到 DDoS 攻击次数相比 2019 年总量有所下降。但是在疫情期间的 DDoS 攻击有增无减，特别是医疗、政府、教育行业。 1 到 4 月份是中国疫情最严重的时候，同时也是遭受 DDoS 攻击最频繁的时候，期间大部分的 DDoS 攻击都来 自境外，美国是最大境外攻击来源国。 5G 环境下的 DDoS 攻击带宽增加，中小型
攻击替代小型攻击占 主导地位，半数攻击峰值在 5-50Gpbs 区间。随着 HTTP2.0 的逐步应用， HTTP2.0 协议漏洞接二连三 爆出，新协议带来了新的攻击威胁。 DDoS 反射型攻击数量和反射源数量占比增加，新型反射攻击层出不穷。从攻击源 IP看 ，中国是 DDoS受控攻击源最多的国家。某国产品牌手机逾两千万部沦为”肉鸡”， 移动终端不断沦陷，成为黑客的”帮手”。参与 DDoS攻击的物联网
设备占比相较去年有所提升，投入小、 收益高、更新快、基数庞大等一系列优越条件使得物联网设备逐渐发展成发起大规模 DDoS攻击的利器。本报告的第二章的是 2020 年的 DDoS攻击态势概览。在第三章，本文从攻击次数、流量、攻击类型、 时间、地域、行业等多个维度，以及从攻击资源、团伙性行为、物联网和僵尸网络四个视角，力求全面
剖析 2020 年的 DDoS 的变化和演进，以便抛砖引玉，帮助各组织 / 机构持续改善自身网络安全
防御体 系及技术。

年 DDoS 攻击态势概览

vs

下降： 攻击次数减少了 16.16%，攻击总流量下降了 19.67%
平均： 相比 2019 年攻击峰值向 1-5G单侧分化， 2020 年的攻击峰值在 5-50G 的各区间分布趋于平均， 占全部攻击的 53.06%
持平： 平均峰值为 38.64Gbps，和 2019 年同期的 40.05Gbps 基本持平 增长： 反射攻击增长明显，占所有攻击类型的 34%

重要观点

观点一： 2020 年 DDoS 攻击次数和总流量下降，国家主管部门 4 月 11 日开展的“净网 2020”专 项治理效果明显。
观点二：受新冠疫情爆发的影响，二月份的 DDoS 数量激增，攻击势力主要来自境外，美国是最大 境外攻击来源国。
观点三：5G 环境下的 DDoS 攻击带宽增加，中小型攻击替代小型攻击占主导地位。
观点四： DDoS 反射型攻击数量和反射源数量占比增加，新型反射攻击层出不穷，反射攻击防护需 要及时更新。
观点五：新型 HTTP2.0 DDoS 攻击预警，CC2.0 时代即将到来。 观点六：攻击平均时长缩短，攻击成本不断下降。
观点七：医疗、教育、政府行业疫情期间遭受 DDoS 攻击次数增长显著。 观点八：单一团伙的攻击总流量最高达到 3624TB，这个最大攻击总流量是去年的两倍以上。 观点九：我们监测到的 Mirai和 Gafgyt 仍旧是当今世界范围内影响最大的两个 Linux/IoT DDoS家族。

年 DDoS 攻击分析

DDoS 攻击次数和流量峰值情况

DDoS 攻击次数和攻击流量

2020 年 （截止 2020 年 12 月），我们监控到 DDoS 攻击次数为 15.25 万次，攻击总流量为 38.65 万 TB，与 2019 年同期相比，攻击次数减少了 16.16%，攻击总流量下降了 19.67%。 当然这未必是好 消息，因为攻击次数和攻击流量减少最主要的原因是抗 D设备检测和防护能力越来越强，防护及时有效， 使得攻击者连续打击没有效果，所以前结束攻击。另一部分得益于主管部门治理的结果，众所周知，
黑灰产一直是 DDoS 中占比较高的攻击对象，而今年的“净网 2020”专项治理行动重点打击黑灰产
业链。

图 3.1　2020 年 DDoS 攻击态势
数据来源：中国电信
云堤我们统计了 2016 年至 2020 年的 DDoS 攻击次数和攻击流量，从历史趋势变化来看，在经历了
2017 年和 2018 年 DDoS 攻击大年后， 2019 年和 2020 年似乎相对平静。但是平静不意味着祥和，在
5G 酝酿之际， IoT 设备和移动终端不断沦陷，新的流量源泉在暗自涌动，同时，伴随着 HTTP2.0 等新 技术的发展，新型攻击手段也在暗自研制当中，从 DDoS 往年的攻击经验来看，当前的下降绝不是悄无 声息的消失，未来可能会面临更大的高峰。

图 3.2　DDoS 多年攻击态势
数据来源：中国电信云堤
正如外交部发言人汪文斌 29 日说的一样，中国仍是网络攻击
的主要受害者之一，在疫情期间遭受 的网络攻击有增无减。对于国内的 DDoS 攻击，从各月攻击次数来看，今年的 DDoS 主要集中在上半年，其中 2 月份为 14.5%，占比最高。要知道，往年的 2 月份都是 DDoS 最“消停”的时候，今年不降反增，并且成为全 年攻击最高峰。这和新冠疫情的爆发脱不开干系。中国作为率先爆发新冠疫情的国家，很快在全球成为 了众矢之的，使得国内 DDoS 数量激增。同时，人们当时的生产活动、娱乐消遣主要集中在线上，互联 网娱乐行业之间的恶意竞争也容易导致 DDoS 增加。

上面的统计是从攻击事件的角度来看攻击态势，一次攻击事件通常由多个攻击源同时发起，规模有 大有小。如果我们从攻击源的视角来看，把攻击来源区分为国内和国外分开统计，我们发现， 1-4 月份 的攻击中，74.21% 的攻击都来自国外。美国是最大境外攻击来源国，攻击占比 24%。

图 3.4　国内外攻击次数与占比
数据来源：中国电信云堤

参考资料

绿盟 2020 DDoS攻击态势报告

友情链接

GB-T 17901.1-2020 信息技术 安全技术 密钥管理 第1部分：框架