9月26日，绿盟科技伏影实验室负责人吴铁军、腾讯安全高级算法工程师孙国锦参加由腾讯安全携手腾讯产业互联网学堂举办的「产业安全公开课」，围绕 2021年DDoS攻击趋势带来解读。

DDoS攻击趋势高增长是哪些原因导致的？

哪些行业是DDoS的重灾区？

DDoS攻击技术的最新特征和趋势？

DDoS攻击溯源取证执法为何如此困难？

DDoS攻击威胁治理方案与举措建议

......

让我们一起来看看，他们都分享了哪些干货

↓↓↓

话题一：最近发布的《2021年上半年全球DDoS威胁报告》中，DDoS攻击趋势高增长是哪些原因导致的？

吴铁军：DDoS攻击的三个特性，导致其在不断治理的情况下仍然保持增长态势：一是攻击的有效性立竿见影，由于攻击效果好，攻击者热衷于挖掘新型DDoS攻击手段，甚至多国高校把DDoS威胁作为研究目标并揭露威胁；二是执行攻击简单易操作，早期的DDoS攻击攻击工具操作界面几乎是傻瓜式，粗懂网络知识的人员输入IP地址或域名即可发起海量DDoS攻击并使目标失去服务能力，然而近几年来开始推出攻击即服务的模式，特别是BaaS、Botnet即服务模式，让实施DDoS攻击的攻击者人群再次扩展；三是隐蔽性强，早期伪造源IP、反射攻击、僵尸网络等都能有效隐藏其真实攻击资源。黑产攻击团伙分工逐步明晰，随着近几年物联网的持续发展，黑产团伙可利用的攻击资源不断断攀升，这些都导致了DDoS攻击仍然保持着增长态势。

孙国锦：在疫情影响下，各类企业业务持续线上迁移，游戏、直播、电商、线上教育等行业繁荣发展，引来黑产团伙觊觎。2017年，DDoS攻击黑产团伙从重创中逐步恢复；2019年，海外DDoS黑产开始复苏；2020年，DDoS攻击黑产更是瞄准了重点行业。四年以来，黑产始终保持活跃的状态。

话题二：哪些行业是DDoS的重灾区？

吴铁军：黑产团伙始终追求利益最大化，因此，黄赌毒、游戏、在线交友互动等容易遭受攻击。随着物联网设备的增加和云服务的发展，反射攻击源的获取成本降低，攻击者把部分僵尸网络用于挖矿以降低被暴露的危险，在需要使用CC攻击的情况下用僵尸网络发起攻击。总之为了保障利益的持久化和最大化，黑产团伙会灵活采取一些应对策略。

孙国锦：在行业低门槛、高竞争性、高利益特性的持续影响下，游戏仍然是DDoS攻击最集中的行业。研究表明，挖矿活动和DDoS攻击活动对于肉鸡资源存在竞争关系，而2020年下半年比特币/以太坊等虚拟货币的价格处于历史高位，导致大量肉鸡资源流入挖矿领域。

话题三：从目前的现状来看，黑产的产业链和攻击成本都非常低，黑客是专挑大企业打，还是无差别攻击？

吴铁军：黑客并不只挑大企业进行攻击，还有另外一部分攻击团伙是针对中小企业进行敲诈勒索，以图获得丰厚的赎金。目前，黑产产业链发展已从分工明晰转向自动化，专业化，包括脆弱资源探测、漏洞利用、弱口令收割、脆弱配置探测、反射源探测等。大的DDoS攻击团伙会收购或侵吞小型僵尸网络控制者，也就是“黑吃黑”。

话题四：目前主流的攻击手段有哪些？DDoS攻击技术的最新特征和趋势？黑客最青睐哪种?

吴铁军：近年来，UDP反射成为最受攻击者欢迎的攻击方式，其放大攻击既有大量的攻击资源，又有较为可观的放大倍数，且很难溯源；另外，黑产产业链对UDP反射放大攻击进行了充分的封装，进一步降低了攻击的门槛。

孙国锦：在攻击资源上，由于互联网上大量开放的TCP端口和大量家庭网络的暴露，导致TCP服务器成为数量最大的DDoS反射攻击资源，受攻击次数、规模双双增长。2021年以来，百G以上的TCP攻击屡见不鲜，包速率动辄数以亿计，对上下游网络设备、防护设备以及云端清洗服务的性能造成了严峻挑战。

话题五：DDoS攻击溯源、取证执法为何如此困难？

吴铁军：攻击溯源在网络安全行业一直是一个难题。UDP和TCP反射攻击，最终暴露的是网络空间的反射源，这把攻击团伙的攻击资源隐匿在网络空间的一角，僵尸网络攻击也仅仅暴露C2地址，把攻击团伙隔离在C2之外。DDoS攻击大多是以量获胜，量大容易暴露，所以DDoS攻击者一开始就在思考使用伪造源IP、利用反射、僵尸网络等手段发起攻击并隐藏自己。同时，从攻击防御的角度是无法观测到攻击团伙的攻击资源，使得攻击链路无法向前推进，溯源链路中断，导致无法彻底曝光和摧毁攻击团伙。

孙国锦：攻击溯源取证困难主要有两大原因：其一，黑客把自己的IP都藏起来了；其二，由于原来IP伪造技术的存在。在服务器端，我们没有办法确认这个原IP是否为真，而非被别人伪造出来的。整个取证的过程漫长无比，需要持续不间断地攻击，才有可能拿到一个完整的证据链。

话题六：面对DDoS攻击的复杂性和不确定性，企业如何应对？

孙国锦：在遭遇DDoS时，企业要在保障业务连续性、可操作性和所需成本之间找到最佳平衡点。其一，可以通过接入大公司的服务及资源，有效抗击DDoS攻击；其二，面对不断升级的黑产技术，人工智能正在逐步成为打击黑产的利器。

话题七：DDoS攻击威胁治理方案与举措建议

吴铁军：受害者为了确保业务顺畅进行，在被攻击之后往往会在多个防护厂商之间游走，寻求不同的攻击庇护，与此同时攻击团伙间资源已然相互租用、相互联合。DDoS攻击治理需要各防御厂商携手面对共同的敌人，建立DDoS联防联控联盟，形成协同防御、情报共享、共同发展的机制。