Tb级攻击时代，企业如何应对DDoS“毒瘤”？｜产业安全观智库访谈

后疫情时代，用户生活方式逐渐转至线上，企业对数字化工具需求也随之增加。持续高速增长的线上业务像是一块巨大肥肉让黑产团伙愈加虎视眈眈。与此同时，DDoS攻击量级、强度持续提升，不断催生出新型攻击手法，企业的网络安全防护正面临严峻挑战。

根据腾讯安全与绿盟科技联合发布的《2021全球DDoS威胁报告》，Tb级DDoS攻击时代已逾五年，DDoS攻击峰值及大流量攻击发生的次数持续增长，攻击手法和行业分布呈现多元化，攻击方式较以往对防护系统性能和灵敏性要求更高，弹性应对成为企业DDoS攻防关键。

本期「产业安全观智库访谈」由安全419创始人张毅主持，邀请到绿盟科技伏影实验室负责人吴铁军和腾讯安全DDoS防护安全专家徐祖军，针对《2021全球DDoS威胁报告》进行全面解读，详细剖析当前Tb级DDoS攻击发展的严峻态势及特点，分享腾讯安全及绿盟科技应对DDoS攻击的实战经验，共同探讨面对DDoS攻击逐步升级现状的有效应对“招数”。

张毅：当前DDoS攻击呈现出怎样的态势？

徐祖军：第一，攻击流量越来越大。进入Tb时代DDoS攻击流量已持续五年，腾讯安全连续两年监测到Tb级攻击流量。

第二，攻击种类多样，攻击门槛低。比如从前需要用到UDP等攻击方式才能达到100个G的流量攻击，如今只需要TCP反射、IP协议等其他类型的攻击就可以轻易打出100G攻击流量，情况非常严峻。

第三，在时间分布上，下半年攻击强度高于上半年。8月份攻击最明显，判断由于大量扫段攻击导致了次数明确区别于往年。且很多相关业务在年底比较活跃，容易被黑客盯上、被攻击。

吴铁军：从DDoS攻击地理位置分布上，近几年攻击趋势逐步向东南亚国家聚集，而且密度越来越高，专业化和组织化程度也逐步提升，东南亚国家市场后续需要重点关注。

张毅：造成当前DDoS攻击严峻态势的主要原因是什么？

徐祖军：首先，从企业角度来看，互联网发展处于蓬勃发展期，技术革命带来了翻天覆地的变化。基于现在的技术和条件，即使是非常弱的服务器也可轻易打造10个G、100个G的攻击流量。

其次，最近两年的新冠疫情态势，很多企业数字化进程深入，大量业务从线下往线上转变。这种态势吸引了更多黑客关注，对业务进行打击。

吴铁军：从技术层面上看，一是由于互联网反射放大协议不断涌现，初步统计当前可供反射放大协议有40多种，并在不断更新迭代。且由于互联网迅猛地发展，对网络安全的重视却没有及时跟进，当安全问题出现时企业无法快速修补，给攻击者钻空子的机会，导致用于发起DDoS攻击的控制资源逐步增加。

二是由于挖矿行业被治理，压缩了黑客团伙的利润空间。为保证利润最大化，部分僵尸网络被重新用于DDoS攻击，这类增量和回量导致了Tb级流量明显上升。

张毅：哪些行业是DDoS攻击重灾区？

吴铁军：博彩、视频直播、游戏，以及互联网网购等行业是重灾区。一般来说，DDoS攻击区域分布和当地经济发展水平以及人口数量呈正相关。

同时，集中于东南亚国家的出海企业之间竞争激烈，往往会成为DDoS攻击的主要目标。也因此，东南亚成了海外DDoS攻击的主要聚集区域。

徐祖军：游戏行业仍是DDoS攻击重灾区，易攻难守，主要原因有：

• 黑客可以很好地利用一些攻击手段对当前业务发起攻击，而防守方缺乏好的防守策略。

• 广大黑客将游戏行业视为一块大肥肉，通过DDoS攻击勒索，可以轻易逼迫游戏玩家、游戏企业运营商交钱。

• 游戏行业竞争激烈，竞争对手的恶意挑衅也导致游戏行业成为高风险的攻击对象。

张毅：基于《2021年DDoS全球威胁报告》，DDoS攻击手段呈现出什么新的特点？具体有哪些升级和改变？

徐祖军：区别于往年，2021年的攻击手段、手法上呈现出两个特点：

第一个是扫段攻击。攻击者对防护手段非常了解，可同时对一个或多个网段的IP进行扫段攻击。而企业在设定一个防御系统的时候，会考虑到容量问题，面对大范围扫段攻击时，大部分防御系统不能够及时对IP做处理，导致防御失败，这是一个非常严酷的事实。

第二个是利用僵尸网络内容时差感染主机。企业没有及时对僵尸网络进行漏洞修复，导致被感染攻击。腾讯安全监测到，去年11月31日后，Mirai僵尸网络主机大幅增加，其中60%是有漏洞或是集成Web的主机。

吴铁军：脉冲攻击和高频瞬时攻击已成为主要网络攻击手法。

高频瞬时攻击，即攻击团伙通过定制的工具，以固定时间间隔向目标发起业务流量上千倍的流量攻击，短时间内攻击又会突然消失，让企业安全运维人员不堪重负。由于攻击流量增长快、消失也快，因此对防护系统的性能、灵敏度需求更高。

脉冲攻击对于攻击企业来说，极具挑战性，是黑产团伙和防御者之间心理上、体力上的对抗。看似是一个零星的攻击，但攻击团伙对攻击IP地址、攻击间隔、攻击时间、攻击频度不断变化，也说明黑产团伙对攻击目标进行了深入研究与调研。这一类攻击是对DDoS监测与防御中的单IP流量的人工阈值以及牵引消耗策略针对性的对抗，尽管当前的攻击防御中引入了智能算法，但是黑产团伙从未放弃博弈。

张毅：技术层面上，当前DDoS主要攻击手段是什么？为什么？

徐祖军：2021年黑产大量涌现UDP攻击手段，主要有两方面原因：

首先是反射攻击的大量使用，这种手段可通过极小的报文反弹出非常大的报文，对服务器造成影响，也是放大系数的问题。

其次，互联网有很多开放的端口，给获取资源带来便捷。比如NTP服务器，天然被黑产利用做攻击源，他们只需要扫描出端口，给服务器发送报文，通过网上的资源就可以对在线的服务进行攻击。

吴铁军：从僵尸网络上看，总结出以下几个特点：

第一个特点是僵尸网络结构发生变化，新型结构提升了僵尸网络的隐秘性，为躲避追踪、躲避管理提供了条件。在P2P网络结构不再安全的情况下，僵尸网络运营者积极升级通信信道，更多使用安全系数高的Tor网络来构建新型僵尸网络。根据统计，2021年使用Tor网络比例在逐渐增加，因此，僵尸网络的活动将愈发隐秘和难以追踪。

第二个特点是僵尸网络攻击者优先选择IoT平台的僵尸网络家族构建攻击网络和投递网络。因为IoT的设备数量每年呈几何数增长，而扩大僵尸网络规模，是黑产团伙提升DDoS打击能力的重要手段。DDoS僵尸网络充分利用弱口令和系统漏洞扩张控制范围，当前被僵尸网络利用的漏洞达72种，甚至一天内可集成新漏洞，并抢在设备修补漏洞前迅速感染设备。

同时，主要活跃的四大僵尸网络家族Dofloo、XOR DDoS、Mirai和Gafgyt，也打破一家独大的局面，呈现出将各自扩大势力范围的趋势，因此新的一年需更加专注家族的工作活动变化。

此外，DDoS僵尸网络家族可高度集中地控制攻击频率以及攻击目标，使用真实的IP地址发起CC攻击，比如脉冲攻击、扫段攻击等等，大流量的掩护则会放大攻击能力，需在防护中保持高度关注。

张毅：腾讯安全和绿盟科技分别有什么对抗DDoS攻击的经典案例？

徐祖军：一个腾讯安全典型案例是针对热门业务的攻击，具有攻击持续时间长、手段复杂、对抗程度强的特点。当时这个攻击团伙非常专业，不仅能攻击，还能开发攻击工具，对被攻业务的分布、关键端口、服务器位置了如指掌，非常难以对抗。

前期发现其使用大量UDP攻击方式。UDP是无状态的攻击方式，若在Payload没有载荷特征，和正常流量搅和在一起，防守方很难区分。这个时候攻击者频繁切换攻击特征，需要人工对攻击特征进行识别，下发策略，周期非常长，一般安全人员根本无法应对，因此，需要用我们腾讯云自研的技术进行对抗。

当攻击者发现用一种攻击手段无法奏效，会切换另一种攻击方式，最极端的情况会模拟正常的流量对业务攻击，在这种情况下，任何一种限速策略，包括特征策略，都会失效，导致无法应对。

因此，整个攻击强度非常强，从5月份到8月份整整4个月，腾讯安全攻防团队7×24小时跟这个团伙做对抗，每当有新攻击发生就用新策略覆盖，帮助用户及时解决了问题。

吴铁军：2021年6月发生了一起海外业务攻击，攻击者早期发起的是脉冲攻击，防护难点是流量蹿升速度非常快，在攻击峰值时，每秒钟有634G的DPS。在基于秒级的监测、告警和响应的情况下，大多数情况下第一波攻击就会达到这样的顶峰。

攻击手法是混合性攻击。早期脉冲攻击包均为小包，当时我们已经将此类流量挡在外面。时隔一周之后的一个深夜，攻击势头突然发生变化，扫段攻击、脉冲攻击、反射攻击一波接一波，有点鱼死网破的势头。

这样的攻击大约持续了20天，我们防御了20天，不仅是对我们防御能力的考验，也是对我们防护人员体力的考验，在如此高强度的对抗下，对我们的防御信心具有非常大的挑战。

最后，攻击者久攻不下就停止了。这个事件说明了多种攻击手段在不同的攻击者手中会打出不同的攻击效果，作为防御者，必须做到见招拆招，熟悉地掌握手中的防御算法、防御策略，做到善于分析、灵活调度，才能运营好防护系统。

张毅：面对如此严峻的DDoS攻击态势，对企业来说意味着什么？企业应该怎么做？

徐祖军：从目前观察看，DDoS攻击不仅不会消失，还会愈加强势，防范工作也会愈加困难。对于企业来说做好风险防范非常重要，就像建一栋大厦必须要配备相应的消火栓、防火设备一样。作为企业建设者，在做市场规划时必须将安全需求考虑进去，同时结合安全专业人员做好相应规划，从而做到当有攻击来时能够非常从容地应对。

此外，企业一定要跟专业度高的安全团队合作，有几方面原因：

• 对企业而言，不可能有足够大的带宽，跟DDoS大流量做对抗，从带宽因素而言，企业一定需要找一个能够对DDoS做清洗的服务商进行合作，解决大流量攻击的场景。

• 对于黑产而言，他们甚至具有比防守方更丰富的经验。通过高强度、变换攻击手法来应对某种攻击不能奏效的情况，造成非常大的危害，这个过程需要非常专业的7×24小时的团队才能对抗。

• 对于普通企业而言，具备这样有丰富经验的专业团队非常困难，因此需要跟专业度强的安全团队合作。

吴铁军：互联网行业中，只要网络可达，DDoS攻击是所有网络威胁中唯一一个可以指哪打哪的攻击，效果立竿见影。对于有在线业务的企业来说，DDoS攻击就是悬在头上的一把刀，可能随时都会掉下来。一旦利润丰厚，就会被攻击者盯上，特别在企业经营关键环节上，务必将应对DDoS攻击提到战略中心上来。

张毅：临近春节，在绝大多数人休假的情况下，针对企业DDoS攻击防御腾讯安全和绿盟科技分别有什么实用技巧和优势？

徐祖军：去年，腾讯很多热门业务在春节期间被大量攻击，攻击强度比平时更高，手法变新层出不穷。春节期间黑产往往最活跃，他们有更多时间来做相应的攻击。

腾讯安全团队能有效应对高强度DDoS攻击，从应对方案上有几个特点：

第一，带宽大容量的清洗是一个做清洗服务商必须具备的属性。腾讯拥有遍布全球的T级防护资源，完全能够应对这种大容量的攻击情况。

第二，腾讯安全针对不同的用户，提供不同的接入方式，不同用户可以根据业务不同的防护需求，接入防护系统。

第三，非常重要也是非常致命的环节，一定需要做到秒级监测、秒级清洗，否则脉冲型攻击和扫段攻击很容易对服务造成严重的影响。

第四，腾讯安全具备非常专业的7×24小时专家团队，在与黑产的不断对抗中，积累了丰富的实战经验。

腾讯T-Sec DDoS防护方案在春节期间也准备了促销活动，能够帮助有需求的用户缓解春节期间的后顾之忧，安心过年。

吴铁军：绿盟科技具有二十年DDoS防御经验，为充分体现绿盟抗DDoS产品能力和市场业务发展的需求，绿盟推出了ADS。ADS不同于特征规则匹配的防护机制，采用了绿盟科技独有的多层智能识别与净化矩阵引擎，对于网络和应用层的DDoS攻击达到非常高的识别精度和阻断的效率。

此外，绿盟科技也研发了公有云流量清洗业务运行系统（ADbos），实现运营的自动化、流量可视化和操作简单化，大幅降低了运营成本。在流量场景中，流量清洗业务将异常流量、监控监测能力与防护能力进行整合调度，实现搭建规模化运营和增值创收的效果。

绿盟科技做了大量抗D相关的研究，未来，DDoS攻击溯源、智能防护决策系统等研究成果将结合绿盟科技现有技术，一起助力完善DDoS防护系统。

腾讯安全正在护航产业安全

金融行业

中国银行 | 招商银行 | 华夏银行 | 中国建设银行 | 江苏银行 | 光大银行 | 微众银行 | 交通银行 | 富途 ……

交通行业

海航集团 | 祥鹏航空 | 长龙航空 | 电科航电 | 国铁吉讯 | 广汽集团 | 上汽集团 | 如祺出行 ……

零售行业

贵州茅台 | 蒙牛乳业 | 东鹏饮料 | 家乐福 | 洋河酒厂 | 永辉超市 | 联合利华 | 国美 | 苏宁易购 | 农夫山泉 ……

互联网

同程艺龙 | 虎牙直播 | 唯品会 | 哔哩哔哩 | 快手 | 知乎 | 京东 | 顺丰 | 蘑菇街 | 三七互娱 | 完美世界 ……