「产业安全公开课」精彩回顾：2021年DDoS威胁态势一文掌握

9月23-26日，腾讯安全携手腾讯产业互联网学堂、绿盟科技举办了产业安全公开课-DDoS防护专场，邀请到腾讯云抗DDoS资深安全运营经理杨欢、腾讯云抗DDoS资深安全专家梁海兵、腾讯安全高级算法工程师孙国锦和绿盟科技伏影实验室负责人吴铁军，基于《2021上半年全球DDoS威胁报告》，就2021年DDoS攻击趋势以及境内、海外互联网业务DDoS防护方案与实践等内容进行了深度分享，为各行业全面解析了当下DDoS攻击的应对之道。详细的课程回顾，可点击文末“阅读全文”观看。

| 腾讯云抗DDoS资深安全运营经理杨欢

1.DDoS攻击不降反升，攻击峰值、次数、肉鸡资源不断刷新记录

DDoS攻击是一种非常古老的攻击手法，但是近些年却没有因此被打败，反而越来越活跃。近几年来，DDoS攻击的主要变化呈现在如下几个方面：

一是攻击峰值，以往攻击流量也就几十个G，百G攻击都比较少见，但是近几年攻击峰值过T的已经成为常态，这也意味着黑客的肉鸡资源越来越丰富；二是攻击次数，从2016年开始攻击次数呈现上升的趋势，按照腾讯云的数据统计，现在我们每1个小时就会遭遇20次的DDoS攻击；三是肉鸡，其中北上广深以及沿海地区由于信息化发展靠前，成为主要的肉鸡输出地。

2.DDoS攻击的产业链趋于成熟，攻击门槛降低

随着技术的发展，DDoS攻击的成本成下降趋势。举三个例子，今年年初某网吧因为一个竞争关系，以4000元每人每月雇佣黑客攻击网吧，把网吧打到不能营业；第二个是某酒类的电商，顾客因商品不符合描述且商家售后态度恶，于是到网络上寻找到攻击机会，最终用1000块钱的价格就使其网站瘫痪9个小时；第三个是某境外的DDoS服务网站，以购买会员的方式，只需输入要攻击的IP地址，即可完成DDoS攻击，从铜牌到金牌会员，收费10元-800元不等。

网络充斥的这些各种各样的工具和服务商家进行售卖和攻击，造成DDOs攻击的门槛越来越低，防护的成本和难度反而越来越高。

3.互联网行业排行DDoS攻击目标首位，游戏、网络服务、直播位列前三

通过对DDoS的攻击目标的行业属性分析发现，互联网已然成为DDoS攻击的主要目标，排在第一位的是游戏行业，第二位网络服务平台，第三位是文创直播，第四则是电商。

另外，近两年由于疫情影响，电商、游戏迎来新的机遇，针对互联网的攻击大幅增长，通过平台监控发现，去年全年攻击频率增长了53%，并且今年还有进一步增长的趋势。

4.DDoS攻击手法复杂化，防护策略需对应升级

随着技术的发展，DDoS攻击手法在不断迭代。最直观的就是，传统flood攻击的防护算法已经非常成熟，通过静态的防护策略就已经可以轻松应对。但是现在，攻击者已经不局限于某种单一的flood攻击，他们会利用模拟业务，协议漏铜，https cc进行TCP四层cc、TCP反射等攻击手法。对应的，在防护侧，我们的防护能力也要突破技术屏障，利用AI、算法、水印、设备指纹等多种方式去构建新一代的防御体系。

1.受疫情影响，海外DDoS攻击增长态势明显

梁海兵：受疫情影响，加上黑产团伙的复苏，海外的DDoS攻击态势相比于国内增长得更为明显。2021年H1同比2020年H1增长了91%，相当于翻番。同时超过100G以上的攻击超过2500次，占比非常高。

2.游戏行业仍旧是海外DDoS攻击最核心的目标行业

梁海兵：从行业分布来看，游戏行业仍旧是海外DDoS攻击的重灾区，占比40%，同时网络服务、电商、直播这两年也是有较大幅度的增长，分别占比20%、14%和4%。游戏行业如何抗D是需要重点关注一个方面，根据统计，31%的游戏公司每年因为海外网络攻击遭受1-10万元人民币经济损失，8%的游戏公司每年遭受经济损失达100万以上。

3.恶意竞争、敲诈勒索、游戏外挂和恶意报复是游戏遭受攻击的主要原因

梁海兵：过去几年，游戏行业受攻击的量一直特别大，有几个主要原因：一是恶意竞争，在国内每个月或者每天都有新的游戏在发行，来自于不同的游戏厂商，而且很多是同类型的游戏，所以在游戏的发行过程中就会造成彼此的内卷；二是敲诈勒索；三是游戏外挂，主要是为了游戏作弊，在国外更为盛行；四是恶意报复，出于各种原因对你的业务进行攻击。但是总体来说，所有的原因都是皆为利来。

4.硬件模式、云原生模式、代理模式和情洗中心是海外DDoS防护的四种常见模式

梁海兵：国内和海外的DDoS防护存在比较大的差异区别，从高防来看，常见的海外DDoS防护模式主要有四种：

• 第一种是硬件模式，适用于企业内网或者私有云；
• 第二种是云原生模式，主要提供的是3层到4层的防护，其优势在于海外线路多，防护质量好，并且云原生的接入对于用户来说是透明的，不需要用户做任何的配置与转发规则或者是做网络代播处理的，主要适用于公有云厂商；
• 第三种是代理模式，代理防护在3、4、7有比较好的表现，在7层防护和web层防护上有一些功能的叠加，这种模式主要覆盖在域名和IP，因为有缓存加速和网络加速的能力，所以主要针对一些电商或者网站需要缓存内容的业务；

• 第四种是清洗中心，主要防护DDoS的3层和4层，解决流量攻击的问题，稳定性最强；

5.场景化定制海外游戏的防护策略方案

梁海兵：游戏行业分为大厅服、战斗服、页游、直播、安全加速等不同场景业务，每种业务下对于防护需求和时延要求是不一样的，因此需要制定不同的防护策略方案。

对于大厅服来说，它对于实时性的要求较低，但对于可靠性、稳定性要求比较高，在防护上可采用云上云原生抗D产品（类似于高分光）与云下边缘防护相结合的方案。腾讯安全的边缘防护采用的是域名和IP接入的方式，节点数量超过40个，基本覆盖北美、欧洲和亚太区域，回源质量高。明年还会在东北亚、东南亚和欧洲区域提升节点数量。

战斗服的防护比较复杂。首先，战斗服的安全数量较大；其次，战斗服对地域的时延要求非常高。基于这两个因素，腾讯安全提供了云原生抗D+水印的方案，其中，水印是通过腾讯自研游戏所开发的一套方案，具有防护智能的能力，再加上云原生在出口的位置做防护。另外，在各个区域指定的大的带宽的运营商出口广播地址，在保证防护的同时，也能保障网络质量。

网页在防护时面对的web攻击、TCP攻击会比较多，因此在海外网页游戏防护上需要进行特殊处理。腾讯安全的海外边缘防护节点有上千万CC的TPS的处理能力，强大的CC处理能力足以对于抵抗现在所有的CC攻击规模，同时流量进来后还能基于AI算法进行更细致的处理。

针对于业务出海下的防护加速难题，腾讯安全携手国内运营商打造了定向安全加速的产品，能提供超过来自中国方向的2T的防护，丢包率在1%，是目前业内最好的一个方案。

6.腾讯安全的边缘防护与AnycastIP两种就近清洗方案的区别与选择

AnycastIP不是高防IP，只是云上的一个形态，主要是覆盖的云内的客户，对于云外客户，还是要通过边缘防护去解决。由于腾讯在海外的节点非常多，云内的AnycastIP大概有十几个节点去广播，虽也可以就近处理，但防护能力没有边缘防护那么强。边缘防护目前是有40个节点，超过8个T的带宽，不论服务器是在AWS还是GCP，都是可以覆盖的。另外AnycastIP可以绑定云内的服务，而边缘防护则是通过转发模式，和云内的绑定没有关系。

| 腾讯安全高级算法工程师孙国锦

| 绿盟科技伏影实验室负责人吴铁军

1.有效、简捷和隐蔽性，是导致DDoS攻击保持高速增长的原因

吴铁军：DDoS攻击的有三个特别明显的特性，导致DDoS攻击即使在不断治理的情况下，仍然保持了增长的态势：第一是攻击的有效性，由于攻击效果好，攻击者热衷于挖掘新型DDoS攻击手段，甚至多国高校把DDoS威胁作为研究目标并揭露威胁；第二是执行攻击简单易操作，早期的DDoS攻击攻击工具操作界面几乎是傻瓜式，近几年推出攻击技服务的模式让能够实施DDoS攻击的攻击者人群再次扩展；第三是隐蔽性强，早期伪造源IP、反射攻击、僵尸网络等都能有效隐藏其真实攻击资源，而且随着近几年物联网的持续发展，黑产团伙可利用的攻击资源更是不断攀升。

2.DDoS攻击与挖矿之间存在肉鸡的竞争关系

孙国锦：由于肉鸡资源可以用于发起DDoS攻击，又可用于挖矿，所以DDoS和挖矿出于肉鸡争夺的竞争关系。2020年时比特币疯涨，这一阶段DDoS攻击者就突然消失的销声匿迹，但在2021年左右的时候，比特币又经历过一个腰斩阶段，于是在整个年终期间，包括年初的时候，DDoS攻击又疯狂地涌入到游戏行业和互联网行业中。所以，假设有一天游戏行业DDoS攻击减少了，可能并不是黑客销声匿迹了，而是把肉鸡资源全部拿来挖矿了。

3.黑客的攻击目标不仅是大型企业

吴铁军：黑客发起攻击最主要的动因是钱，大企业由于自身的贷款资源比较足，自己有一定的抗攻击意识，所以针对大企业的敲诈其实是很难实现的。大多数针对大企业的一些攻击往往都是出于市场竞争，用巨额的金额来支撑黑客发起这种DDoS攻击。除此之外，还有另外一部分攻击团伙，主要针对中小企业进行一些敲诈勒索，以获得丰厚的赎金。

4.溯源取证仍是DDoS攻击领域的一大难题

吴铁军：一直以来，DDoS攻击溯源都是一个难题，UDP和TCP反射攻击，最终暴露的是网络空间的反射源，这把攻击团伙的攻击资源隐匿在网络空间的一角，僵尸网络攻击也仅仅暴露C2地址，把攻击团伙隔离在C2之外。从攻击防御的角度是无法观测到攻击团伙的攻击资源，使得攻击链路无法向前推进导致溯源链路中断，无法彻底曝光和摧毁攻击团伙。

孙国锦：攻击溯源取证困难主要有两大原因：其一，黑客把自己的IP都藏起来了；其二，由于原来IP伪造技术的存在。在服务器端，我们没有办法确认这个原IP是否为真，而非被别人伪造出来的。整个取证的过程漫长无比，需要持续不间断地攻击，才有可能拿到一个完整的证据链。

5.面对复杂且充满不确定性的攻击环境，前置安全方为企业防护上策

孙国锦：DDoS攻击充满不确定性，企业需要化被动为主动，提前做好防护准备，避免“亡羊补牢，为时已晚”的局面。

在遭遇DDoS时，企业要在保障业务连续性、可操作性和所需成本之间找到最佳平衡点。对于中小企业来说，可以通过接入大公司的服务及资源，有效抗击DDoS攻击。另一方面，当前黑产的算法化程度非常高，对企业的防护系统和防护速度造成一定挑战，所以利用人工智能作为打击黑产的利器也是十分有必要的。

在DDoS威胁级别不断上升的今天，加大网络安全投入，建立健全安全防护体系是每个企业的必修课。腾讯安全深耕网络安全领域20余年，积累了丰富的技术、人才优势和黑灰产对抗经验，能为各行业提供针对性的、高可用、高可靠的防护方案，保障业务安全稳定运营。

目前，腾讯安全针对企业DDoS防护的三款产品高防包、高防IP和边缘防护正在进行优惠活动。截止到10月22日活动期间，高防包与高防IP买一送一，边缘防护提供免费试用30天的产品体验名额，后台留言咨询即可预留优惠资格。