In 2023, global digitalization is accelerating, and network security is an important guarantee for digital development. At the same time, cyber threats are growing. Among them, DDoS attacks, as one of the main threats to network security, have shown a trend of increasing year after year, posing a huge challenge to enterprise business stability.
On February 21, Tencent Security joined hands with China Telecom Security, NSFOCUS, and Tencent Cloud Developer Community to hold an open class on the theme of "New Trends in DDoS Attacks and New Ideas for Enterprise Protection in 2023", inviting Tencent security experts You Jingtao and Xiong Wentao , Based on the "2022 DDoS Attack Threat Report", four experts, Sun Anji, a telecom security expert, and Lan Xing, an NSFOCUS technology expert, shared their research and judgment on DDoS attack trends and new ideas for enterprise protection.
The keynote speeches are as follows:
Interpretation of the threat landscape in 2022, DDoS attacks enter an active period
You Jingtao, Senior Security Architect of Tencent Security , as a representative of the three parties, brought the theme sharing "Overview Interpretation of DDoS Attack Threat Report in 2022", interpreting the report and opinions.
1. Threats continue to increase, and large-traffic attacks of more than 100 G are growing rapidly
You Jingtao: DDoS threats will continue to increase in 2022, with the maximum attack traffic reaching terabytes and the peak attack peak at the highest level in history, an increase of 15% year-on-year. On the whole, the attack value in 2022 will have a particularly large increase compared with 2021.
At the same time, driven by the rapid growth of cloud computing, big data, AI, live video and other industries, the number of attacks with traffic above 100 G is increasing. In 2022, there will be one attack every hour on average, and the number of attacks has increased for four consecutive years. It is worth noting that the total number of attacks from 2020 to 2022 is greater than the total number of attacks from 2010 to 2019, which shows that the situation of DDoS attacks has become more severe in recent years.
2. There are various attack methods, and the large-traffic attack is mainly based on UDP
You Jingtao: UDP DDoS attack is the most popular attack method of hackers. Generally speaking, UDP reflection accounts for more than 40% of large traffic attacks, and UDBC reflection accounts for about 20%. The proportion of SYNFLOOD attacks dropped to about 15%, of which SYN large packet attacks accounted for less than 10%. On the one hand, it is because the attack cost is relatively high, and on the other hand, it is because for defenders, large SYN packets are easier to filter.
3. The game industry is still a high-incidence area for DDoS attacks
You Jingtao: Through the analysis of the industry attributes of DDoS attack targets, it is found that the Internet has become the main target of DDoS attacks, and the game industry ranks first, accounting for more than 60%. A large part of the attacks on games is related to competing products, among which mobile games are most frequently attacked by DDoS.
4. DDoS attacks are not affected by time, and the attack persistence increases
You Jingtao: DDoS attacks usually attack the target IP for a long time, and 80% of them will last for ten to thirty minutes. This proportion has increased significantly compared with 2021, indicating that targeting a single IP and continuously attacking it has become the current trend of DDoS attacks . In terms of attack ports, the victim ports are mainly small ports. Therefore, when protecting, enterprises must hide IP addresses and ports, and shut down unnecessary services as much as possible to reduce the possibility of being attacked.
Interpretation of DDoS attack trend and protection in 2022 from the perspective of operators
Sun Anji, a senior expert in China Telecom's network security technology category and a senior operation expert in DDoS attack protection of China Telecom Security Company, interpreted and shared DDoS attacks from the unique perspective of the operator industry based on the main changing trends of DDoS attacks in the past year Protection practice experience.
1. The scale of DDoS attacks will rebound in 2022, and the number will continue to grow
Sun Anji: With the rapid development of the Internet and the acceleration of digital transformation, network security issues have become increasingly prominent. DDoS attacks are one of the most representative network security threats, causing huge losses to enterprises, institutions and individuals every year.
2019年,在国家治理等背景下,DDoS攻击已进入到低谷期。然而,由于疫情以及国际局势等多方面原因,2022年攻击规模明显回升,攻击总流量增长了79%,达到64.13万TB。单次攻击的平均峰值也达到了42.8Gbps,较2021年增加204%。同时,根据监测数据显示,和2021年相比,2022年的月均攻击次数增加了三倍以上。具体而言,2022年的攻击次数达到45.9万次,较2021年增长了272%。
2、特大型流量攻击事件持续增长,成为网络安全的重要挑战
孙安吉:2022年,针对客户接入带宽的大流量DDoS攻击再创历史性突破。其中,11月份的攻击峰值达到3.18Tbps,相比2021年7月的1.85Tbps,攻击峰值增长了76%。与2021年相比,2022年攻击规模在持续增大,中大型规模的攻击有所增加,其中特大型流量攻击事件持续增长。大流量攻击事件正在成为网络安全的重要挑战。
据统计,2022年800Gbps以上的特大流量DDoS攻击事件已达到了65次,100Gbps以上的大流量攻击事件达到6684次,平均每个月557次。可见,超大型攻击在不断增加,而攻击方式还是以混合攻击为主,极少是单一攻击方式。这给运营商的安全防护带来了极大挑战。
3、DDoS攻击形式趋向短时、高频,SSDP反射攻击“异军突起”
孙安吉:据最新数据显示,攻击持续时长在十分钟以内的攻击事件占比接近79%,而在三十分钟内的攻击事件占比近95%。目前绝大多数攻击的特征是快速发起,在达到峰值之后迅速回落并结束。这种缩短攻击时长的方法可以增加攻击频度,也可以利用防护启动的时间差提高攻击效果,同时也会增加溯源追踪难度。
另外,SSDP反射攻击成为2022年攻击新趋势,自2月份开始攻击频次迅速增加,全年攻击占比最大。其他常见攻击的变化幅度相对较小,例如TCP攻击,其占比基本保持稳定,没有明显变化。
探索DDoS防御新手段实现对攻击组织的刻画与溯源
绿盟科技伏影实验室高级安全研究员兰星结合多年攻击溯源经验,提出和探索DDoS防御新手段,实现对攻击组织的刻画与溯源。
1、DDoS攻击主要作用于关基设施,造成负面社会影响
兰星:结合全球网络空间的监测来看,当前DDoS攻击可总结为以下几点:
DDoS攻击成本较低廉,具有极高的作战费效比。
DDoS攻击的主要作用是致瘫关键基础设施和重要网络系统,这些系统被破坏后往往会遭受巨大经济损失,并带来极坏的社会影响。
DDoS攻击不同于其他攻击,会有更多非国家行为体,甚至是个人的参入。可以说DDoS攻击已成为网空博弈重要的致瘫武器。
2、DDoS攻击监测、溯源和刻画成为攻击应对新思路
兰星:当前行业内主要的应对手段是以阻断应对防护为主,视野不够宽泛,没有对攻击者形成威慑的能力。攻击者被阻断之后,过段时间还会去持续地攻击目标。为了实现真正的防护,攻击监测、溯源和刻画十分必要。
首先,要对DDoS攻击进行监测,发现主要攻击活动以及重点攻击事件,感知DDoS威胁对抗的发展,挖掘新型威胁。
其次,防护者需要找到攻击参与者,例如僵尸主机和反射器,背后真正的控制主机以及主机控制者。结合控制者的身份信息,包括所属工作单位,国家政策以及社交平台,找到所在攻击组织的信息。
在具备了DDoS攻击监测和溯源的能力之后,就可以基于这两部分内容对DDoS攻击进行刻画。结合监测到的攻击事件、组织还有僵尸网络的恶意文件、域名、IP,经过关联分析,最终形成犯罪团伙和控制团伙的画像,完成对DDoS攻击组织的刻画。
3、通过DDoS全球异域监测主动进行攻击防御
兰星:在DDoS攻击监测方面,防护者可以从两个方向去主动开展防御行动。
攻击事件发生前,攻击者需要去探测全球部署的支持脆弱协议的反射器。攻击者探测到这种反射器后,会将其作为攻击资源收录到他们的基础设施池里。在这一过程中,防护者可以伪装成反射器,把自身作为攻击者攻击资源的一部分,监测攻击者的攻击指令和攻击目标,实现对DDoS攻击事件的威胁狩猎。
攻击事件发生时,防护者可以进行僵尸主机的伪装监测,获取攻击者的攻击指令以及攻击目标。
4、层次化溯源深挖攻击者背后的信息
兰星:当前针对僵尸网络的溯源是以僵尸网络家族为主。但关注僵尸网络溯源不仅仅只关注其家族,更要关注其背后的控制者、攻击团队及其动机,以形成对攻击者较为全面的认知。
以反射放大攻击溯源为例。反射放大攻击主要有两个阶段:第一个阶段,攻击者会在全球范围内寻找可利用的反射器。第二个阶段,攻击者会利用探测到的反射器发起攻击报文。这时,防护者可以在攻击者探测阶段隐藏在反射器背后,控制这些反射器,还原攻击者的攻击路径,顺藤摸瓜找到真正的攻击者。
腾讯EdgeOne助力游戏行业构建安全、快速、稳定业务体验
腾讯海外安全产品专家熊文韬就游戏出海浪潮下的安全防护这一话题,基于腾讯EdgeOne产品分享自己的思考与实践。
1、游戏行业面临业务稳定、流量盗刷、DDoS攻击、Web攻击四大挑战
熊文韬:游戏行业目前面临着四个比较大的挑战:
游戏业务对时延、下载、突增要求越来越高。
CDN流量盗刷猖獗,致使用户蒙受损失。流量盗刷通常有两种方式:一是通过盗链网站模式消耗CDN流量,二是通过机器人模拟真实访问消耗CDN流量。
大流量DDoS攻击成为业界新常态。如今物联网的普及为黑客提供大量优质肉鸡,加上低廉的DDoS攻击成本,导致海外攻击态势愈发严峻,大流量攻击逐年攀升。
针对Web应用的攻击成为游戏面临的主要安全问题之一。游戏企业的官网和游戏业务本身使用7层业务接入,遭受Web攻击往往会导致页面被篡改、业务瘫痪、用户数据泄露等问题,对游戏企业的经济利益及声誉造成重大损害。
2、应对思路:融合是趋势,分裂的产品形态无法满足游戏多种诉求
熊文韬:游戏行业存在多种场景,例如官网,大厅,战斗服等,每个场景对应不同的安全产品需求,单一产品难以做到全部覆盖。如果按单个场景去采购安全产品,可能会出现采购成本高,部署运维复杂,产品间无法协同等问题。
腾讯安全基于这些行业痛点打造了安全产品EdgeOne,它对传统的CDN节点进行了升级,整合DDoS防护、Web防护和BOT防护等主流防护功能,兼具边缘JavaScript函数计算、KV存储等能力,能让客户在更靠近用户的地方实现业务逻辑,保障用户安全和优质访问体验。
3、针对游戏四大核心场景,EdgeOne配置场景化解决策略
熊文韬:游戏行业主要有四大核心场景,腾讯安全EdgeOne可以针对不同场景需求匹配相应解决方案。
第一个场景是游戏安装包下载及热更新。游戏的下载和更新对于传输速度、传输稳定性、防突增、边缘层和中间层等有较高要求。因此,腾讯安全团队建议下载速率要大于5MB/s,带宽储备不少于5~10T;开启CDN主动预热,缓解源站压力;检查客户端行为,确保HTTP RANGE请求参数在合理逻辑内;优化EdgeOne回源链路,开启多级缓存和分片回源优化能力;开启4、7层安全策略,解决可能存在的DDoS、CC等攻击。
第二个场景是游戏行业CDN防盗刷,它要解决的核心问题是盗链和机器人模拟真实访问的问题。EdgeOne可通过Web防护开启referer管控解决盗链问题,通过BOT管理功能解决机器人攻击,同时还配备了IP黑白名单配置,IP访问限频配置,鉴权配置,UA黑白名单配置等,综合去解决游戏盗刷场景威胁。
第三个场景是平台服/大厅服安全防护及加速。针对这个场景,腾讯安全可提供DDoS防护策略,包含全球联防超过5T能力,保障游戏业务体验;提供Web防护策略,缓解大规模CC攻击,提高安全防护力;提供全球访问体验优化,减少客户端访问的延迟与连接丢包率,提升全球玩家的访问质量。
第四个场景是战斗服安全防护及加速。战斗服的防护较为复杂,对于传输速度、质量和安全的要求较高。针对战斗服的防护需求,腾讯安全可提供包括水印防护、EO代播的云原生高防包、AI智能防护等能力在内的安全防护方案,在保证防护的同时,也能保障网络质量。
针对游戏行业安全防护难题,腾讯安全凝聚七大核心能力护航游戏业务,包括动静态加速,T级防护能力,Web攻击防护,边云协同架构,BOT管理,统一控制台,丰富的节点和带宽储备,可为客户提供综合性、全方位的4、7层安全防护和快速、稳定的业务体验。
「产业安全公开课」
汇聚行业智慧,打造卓越产品,解读最新趋势。腾讯安全邀你相聚云端,共话产业安全。
