产业安全公开课：2023年DDoS攻击趋势研判与企业防护新思路

2023年，全球数字化正在加速发展，网络安全是数字化发展的重要保障。与此同时，网络威胁日益加剧。其中，DDoS攻击作为网络安全的主要威胁之一，呈现出连年增长的态势，给企业业务稳定带来巨大挑战。

2月21日，腾讯安全联合电信安全、绿盟科技、腾讯云开发者社区举办了《2023年DDoS攻击新趋势与企业防护新思路》主题公开课，邀请到腾讯安全专家尤景涛、熊文韬，电信安全专家孙安吉，绿盟科技专家兰星四位专家，基于《2022年DDoS攻击威胁报告》，就DDoS攻击趋势研判，以及企业防护新思路进行分享。

以下为重点演讲内容：

腾讯安全高级安全架构师尤景涛作为三方代表，带来了主题分享《2022年DDoS攻击威胁报告概览解读》，解读报告和观点。

1、威胁持续增加，百G以上大流量攻击增长迅速

尤景涛：2022年DDoS威胁仍在持续增加，最大攻击流量达到TB级，同时攻击峰值达到历年之最，同比2021年增加15%。整体来看2022年攻击数值较2021年有一个特别大的增幅。

同时，在云计算、大数据、AI、视频直播等行业高速增长驱动下，百G以上流量攻击次数越来越多，2022年平均每隔一个小时就会出现一次，攻击次数连续4年增长。值得注意的是，2020年-2022年三年的攻击次数总和大于2010年-2019年的攻击次数总和，可见近几年DDoS攻击态势愈发严峻。

2、攻击手法多样，大流量攻击以UDP为主

尤景涛：UDP类DDoS攻击是黑客最为青睐的攻击手法。通常来说，大流量攻击用UDP反射占比较大，达40%以上，UDBC反射约占20%。SYNFLOOD攻击占比则跌落到15%左右，其中SYN大包攻击占比已不足一成。一方面是因为攻击成本较大，另一方面是因为对于防护者来说，SYN大包较容易进行过滤。

3、游戏行业仍是DDoS攻击高发区

尤景涛：通过对DDoS攻击目标的行业属性分析发现，互联网已成为DDoS攻击主要目标，排在第一位的是游戏行业，占比达到了60%以上。针对游戏的攻击，很大一部分原因与竞品有关，其中手游遭到DDoS攻击最为频繁。

4、DDoS攻击不受时间影响，攻击持久性增加

尤景涛：DDoS攻击通常会对目标IP进行长时间的持续打击，80%会持续十到三十分钟，这一占比较2021年有明显上升，说明锁定单个IP不断打击成为当前DDoS攻击的趋势。在攻击端口方面，受害端口以小端口为主，因此企业在进行防护时，要做IP地址隐藏以及端口隐藏，尽可能关闭不必要的服务，以减少被攻击可能。

中国电信网信安全技术类高级专家、中国电信安全公司DDoS攻击防护资深运营专家孙安吉，根据过去一年DDoS攻击的主要变化趋势，从运营商行业的独特视角对攻击趋势进行解读并分享DDoS攻击防护实践经验。

1、2022年DDoS攻击规模回升，次数持续增长

孙安吉：随着互联网的快速发展和数字化转型的加速推进，网络安全问题日益突出，DDoS攻击是其中一种最具代表性的网络安全威胁，每年都会对企业、机构和个人造成巨大的损失。

2019年，在国家治理等背景下，DDoS攻击已进入到低谷期。然而，由于疫情以及国际局势等多方面原因，2022年攻击规模明显回升，攻击总流量增长了79%，达到64.13万TB。单次攻击的平均峰值也达到了42.8Gbps，较2021年增加204%。同时，根据监测数据显示，和2021年相比，2022年的月均攻击次数增加了三倍以上。具体而言，2022年的攻击次数达到45.9万次，较2021年增长了272%。

2、特大型流量攻击事件持续增长，成为网络安全的重要挑战

孙安吉：2022年，针对客户接入带宽的大流量DDoS攻击再创历史性突破。其中，11月份的攻击峰值达到3.18Tbps，相比2021年7月的1.85Tbps，攻击峰值增长了76%。与2021年相比，2022年攻击规模在持续增大，中大型规模的攻击有所增加，其中特大型流量攻击事件持续增长。大流量攻击事件正在成为网络安全的重要挑战。

据统计，2022年800Gbps以上的特大流量DDoS攻击事件已达到了65次，100Gbps以上的大流量攻击事件达到6684次，平均每个月557次。可见，超大型攻击在不断增加，而攻击方式还是以混合攻击为主，极少是单一攻击方式。这给运营商的安全防护带来了极大挑战。

3、DDoS攻击形式趋向短时、高频，SSDP反射攻击“异军突起”

孙安吉：据最新数据显示，攻击持续时长在十分钟以内的攻击事件占比接近79%，而在三十分钟内的攻击事件占比近95%。目前绝大多数攻击的特征是快速发起，在达到峰值之后迅速回落并结束。这种缩短攻击时长的方法可以增加攻击频度，也可以利用防护启动的时间差提高攻击效果，同时也会增加溯源追踪难度。

另外，SSDP反射攻击成为2022年攻击新趋势，自2月份开始攻击频次迅速增加，全年攻击占比最大。其他常见攻击的变化幅度相对较小，例如TCP攻击，其占比基本保持稳定，没有明显变化。

绿盟科技伏影实验室高级安全研究员兰星结合多年攻击溯源经验，提出和探索DDoS防御新手段，实现对攻击组织的刻画与溯源。

1、DDoS攻击主要作用于关基设施，造成负面社会影响

兰星：结合全球网络空间的监测来看，当前DDoS攻击可总结为以下几点：

• DDoS攻击成本较低廉，具有极高的作战费效比。

• DDoS攻击的主要作用是致瘫关键基础设施和重要网络系统，这些系统被破坏后往往会遭受巨大经济损失，并带来极坏的社会影响。

• DDoS攻击不同于其他攻击，会有更多非国家行为体，甚至是个人的参入。可以说DDoS攻击已成为网空博弈重要的致瘫武器。

2、DDoS攻击监测、溯源和刻画成为攻击应对新思路

兰星：当前行业内主要的应对手段是以阻断应对防护为主，视野不够宽泛，没有对攻击者形成威慑的能力。攻击者被阻断之后，过段时间还会去持续地攻击目标。为了实现真正的防护，攻击监测、溯源和刻画十分必要。

首先，要对DDoS攻击进行监测，发现主要攻击活动以及重点攻击事件，感知DDoS威胁对抗的发展，挖掘新型威胁。

其次，防护者需要找到攻击参与者，例如僵尸主机和反射器，背后真正的控制主机以及主机控制者。结合控制者的身份信息，包括所属工作单位，国家政策以及社交平台，找到所在攻击组织的信息。

在具备了DDoS攻击监测和溯源的能力之后，就可以基于这两部分内容对DDoS攻击进行刻画。结合监测到的攻击事件、组织还有僵尸网络的恶意文件、域名、IP，经过关联分析，最终形成犯罪团伙和控制团伙的画像，完成对DDoS攻击组织的刻画。

3、通过DDoS全球异域监测主动进行攻击防御

兰星：在DDoS攻击监测方面，防护者可以从两个方向去主动开展防御行动。

攻击事件发生前，攻击者需要去探测全球部署的支持脆弱协议的反射器。攻击者探测到这种反射器后，会将其作为攻击资源收录到他们的基础设施池里。在这一过程中，防护者可以伪装成反射器，把自身作为攻击者攻击资源的一部分，监测攻击者的攻击指令和攻击目标，实现对DDoS攻击事件的威胁狩猎。

攻击事件发生时，防护者可以进行僵尸主机的伪装监测，获取攻击者的攻击指令以及攻击目标。

4、层次化溯源深挖攻击者背后的信息

兰星：当前针对僵尸网络的溯源是以僵尸网络家族为主。但关注僵尸网络溯源不仅仅只关注其家族，更要关注其背后的控制者、攻击团队及其动机，以形成对攻击者较为全面的认知。

以反射放大攻击溯源为例。反射放大攻击主要有两个阶段：第一个阶段，攻击者会在全球范围内寻找可利用的反射器。第二个阶段，攻击者会利用探测到的反射器发起攻击报文。这时，防护者可以在攻击者探测阶段隐藏在反射器背后，控制这些反射器，还原攻击者的攻击路径，顺藤摸瓜找到真正的攻击者。

腾讯海外安全产品专家熊文韬就游戏出海浪潮下的安全防护这一话题，基于腾讯EdgeOne产品分享自己的思考与实践。

1、游戏行业面临业务稳定、流量盗刷、DDoS攻击、Web攻击四大挑战

熊文韬：游戏行业目前面临着四个比较大的挑战：

• 游戏业务对时延、下载、突增要求越来越高。

• CDN流量盗刷猖獗，致使用户蒙受损失。流量盗刷通常有两种方式：一是通过盗链网站模式消耗CDN流量，二是通过机器人模拟真实访问消耗CDN流量。

• 大流量DDoS攻击成为业界新常态。如今物联网的普及为黑客提供大量优质肉鸡，加上低廉的DDoS攻击成本，导致海外攻击态势愈发严峻，大流量攻击逐年攀升。

• 针对Web应用的攻击成为游戏面临的主要安全问题之一。游戏企业的官网和游戏业务本身使用7层业务接入，遭受Web攻击往往会导致页面被篡改、业务瘫痪、用户数据泄露等问题，对游戏企业的经济利益及声誉造成重大损害。

2、应对思路：融合是趋势，分裂的产品形态无法满足游戏多种诉求

熊文韬：游戏行业存在多种场景，例如官网，大厅，战斗服等，每个场景对应不同的安全产品需求，单一产品难以做到全部覆盖。如果按单个场景去采购安全产品，可能会出现采购成本高，部署运维复杂，产品间无法协同等问题。

腾讯安全基于这些行业痛点打造了安全产品EdgeOne，它对传统的CDN节点进行了升级，整合DDoS防护、Web防护和BOT防护等主流防护功能，兼具边缘JavaScript函数计算、KV存储等能力，能让客户在更靠近用户的地方实现业务逻辑，保障用户安全和优质访问体验。

3、针对游戏四大核心场景，EdgeOne配置场景化解决策略

熊文韬：游戏行业主要有四大核心场景，腾讯安全EdgeOne可以针对不同场景需求匹配相应解决方案。

第一个场景是游戏安装包下载及热更新。游戏的下载和更新对于传输速度、传输稳定性、防突增、边缘层和中间层等有较高要求。因此，腾讯安全团队建议下载速率要大于5MB/s，带宽储备不少于5~10T；开启CDN主动预热，缓解源站压力；检查客户端行为，确保HTTP RANGE请求参数在合理逻辑内；优化EdgeOne回源链路，开启多级缓存和分片回源优化能力；开启4、7层安全策略，解决可能存在的DDoS、CC等攻击。

第二个场景是游戏行业CDN防盗刷，它要解决的核心问题是盗链和机器人模拟真实访问的问题。EdgeOne可通过Web防护开启referer管控解决盗链问题，通过BOT管理功能解决机器人攻击，同时还配备了IP黑白名单配置，IP访问限频配置，鉴权配置，UA黑白名单配置等，综合去解决游戏盗刷场景威胁。

第三个场景是平台服/大厅服安全防护及加速。针对这个场景，腾讯安全可提供DDoS防护策略，包含全球联防超过5T能力，保障游戏业务体验；提供Web防护策略，缓解大规模CC攻击，提高安全防护力；提供全球访问体验优化，减少客户端访问的延迟与连接丢包率，提升全球玩家的访问质量。

第四个场景是战斗服安全防护及加速。战斗服的防护较为复杂，对于传输速度、质量和安全的要求较高。针对战斗服的防护需求，腾讯安全可提供包括水印防护、EO代播的云原生高防包、AI智能防护等能力在内的安全防护方案，在保证防护的同时，也能保障网络质量。

针对游戏行业安全防护难题，腾讯安全凝聚七大核心能力护航游戏业务，包括动静态加速，T级防护能力，Web攻击防护，边云协同架构，BOT管理，统一控制台，丰富的节点和带宽储备，可为客户提供综合性、全方位的4、7层安全防护和快速、稳定的业务体验。