DDoS攻击势态如何？

超大规模攻击异常活跃。

1.攻击强度

2023年T级攻击主要聚集在Q1和Q4。2023年10月30日21:15:45，电信安全团队监测到年度最大带宽攻击。攻 击者采用以SSDP反射为主、叠加UDP Flood和ICMP Flood的混合攻击，攻击共持续2小时31分钟，峰值带宽 2.505Tbps，攻击目标IP位于江苏电信网络。

攻击成本持续降低，导致攻击规模持续增长。从近年全球记录的年度最大攻击来看，单次攻击的峰值流量带 宽稳定在2.5Tbps-3.5Tbps区间2,3，峰值包速率则稳定在900Mpps-1000Mpps区间。单次扫段攻击峰值规模维 持在200-600个C段。应用层攻击的峰值RPS则依然呈现迅速增长趋势。

2023年8月份以前，高速应用层攻击主要利用HTTP2.0 Multiplexing特性发起，攻击峰值请求速率维持在千万 级RPS4,5。2023年8月，HTTP2.0 Rapid Reset漏洞被发掘，应用层攻击峰值RPS直接飙升至亿次级RPS2 （同 月，Google云遭受的加密攻击峰值请求速率高达398Mrps，成为互联网史上最大应用层攻击）。超大规模加 密攻击对防御成本构成严峻挑战。

从2023年年度攻击峰值带宽和包速率地域分布来看，APAC攻击强度远超其他大洲。2023年超500Gbps攻击共发生3291次，Q1超500Gbps攻击最活跃，共发生1467次，占全年45%。超800Gbps攻击全年共计发生248次，略高于2022年的232次。同样，Q1超800Gbps攻击最活跃，共计136 次，占全年54%。

2023年1月27日02:41:45，中国电信安全团队监测到年度最大包速率攻击，采用小报文UDP Flood，攻击共持 续2小时44分钟，峰值包速率972Mpps，攻击目标IP位于四川电信网络。2023年月度平均峰值带宽最大值为121Gbps，首次突破100Gbps。对比历年年度攻击平均峰值带宽，2023年 为75Gbps，2022年为56Gbps，2021年为54Gbps，说明攻击流量强度逐年提升。

2023年月度平均攻击包速率最大值为21Mpps，出现在2月份。对比历年年度攻击平均峰值包速率，2023年为 16Mpps，高于2022年的13Mpps和2021年的15Mpps。

2023年的第二、第三和第四季度相比往年，攻击流量峰值区间分布发生较大变化。其中第二季度100- 200Gbps攻击异常活跃，占比高达24.75%，主要原因是该季度针对UDP游戏的UDP Flood攻击活跃；第三季 度，<1Gbps攻击活跃，占比34.47%，是因为该季度中国境内低速扫段攻击异常活跃；第四季度，1-5Gbps攻 击占比提升至2021年水平，主要源于低速应用层攻击快速增长。

2.攻击频次

DDoS攻击频次呈持续增长趋势。2023年攻击频次是2022年的1.6倍，2021年的1.8倍。攻击频次按地域分布，APAC攻击活跃，占比88.83%。APAC扫段攻击异常活跃，拉升了APAC攻击频次占比。

3.攻击速度

大流量攻击持续秒级加速态势，爬升速度2023年再创新高。瞬时泛洪攻击2秒流量即可爬升至近500Gbps，10 秒即可爬升至900Gbps-1Tbps区间，挑战防御系统响应速度。

4.攻击复杂度

 近三年，UDP Flood、UDP反射、SYN Flood、ACK Flood、UDP分片均维持TOP5网络层攻击类型。 2023年UDP Flood频次明显快速增长，占比提升至40.80%。UDP Flood频次提升原因主要有两个，一方面针 对TCP业务采用低成本的UDP Flood挤占带宽一直是攻击者优选；另外一方面，针对UDP游戏的UDP Flood难 防御，因此备受攻击者青睐。

近三年ACK Flood占比持续保持高位的原因是针对TCP游戏的网络层CC攻击效果明显，防御困难，网络层CC一 直被作为攻击TCP游戏服务器的杀手锏。 TOP5 UDP反射中，2023年DNS反射呈快速增长态势，占比从2022年的5.62%提升至45.15%；SSDP反射占比 连续三年恒定；NTP反射占比处于减少态势，从2022年的58.51%减少至18.24%。

2023年，TOP10 TCP反射端口新增58000和30010。其中58000是某品牌光猫的配置端口，30010是vsftp服务 端口。利用58000和30010端口的反射攻击2022年就已经出现，但整体占比较小，2023年开始活跃。电信安 全监测到的2023年11月份针对ChatGPT的DDoS攻击事件，以TCP反射为主，TOP4反射源端口就包括30010和 58000。

2023年，加密攻击占比快速提升至63.65%，防御难度大幅度增加。2023年混合攻击占比较2022年有所降低，占比53.75%，但仍然是主流。单一攻击占比提升的主要原因是 2023年扫段攻击频发，导致大量IP无辜“躺枪”。

HTTP/HTTPS应用层攻击两级分化，高速攻击挑战WAF解密防御性能，低速攻击bypass WAF，高速、低速攻 击混合，挑战防御成功率。高速HTTP/HTTPS应用层攻击强度一般在千万级甚至亿次级RPS，一次攻击事件使用的肉鸡数量在5,000- 30,000之间，肉鸡多为高性能的服务器或云主机，单个肉鸡的攻击速率约2,000-10,000rps，攻击多采用 HTTP1.1 pipelining、HTTP2.0 multiplexing甚至HTTP2.0 Rapid Reset手法。 2023年2月，Cloudflare缓解的攻击峰值速率为71Mrps的加密攻击就属于典型的高速应用层攻击。攻击采用 HTTP2.0 multiplexing攻击手法，共30,000个肉鸡参与攻击，平均每个肉鸡请求速率是2,367rps4 。 HTTP协议从1.0开始先后演进至1.1和2.0，HTTP传输速度不断提升，应用层攻击速率亦得以快速攀升6 。

借助HTTP1.1 pipelining特性，2022年8月，加密攻击峰值速率达到46Mrps5 ，成为互联网史上最大应用层攻 击。随着HTTP2.0普及，攻击再次提速。2023年2月，HTTP2.0 multiplexing被利用，互联网史上最大应用层攻 击记录被刷新至71Mrps4 。2023年8月，HTTP2.0 Rapid Reset漏洞被利用，互联网史上最大应用层攻击记录再 次被刷新至惊人的398Mrps1 。

四层代理场景，业务需要通过TOA（TCP Option Address）获取用户原始IP，但TOA由于缺乏严格的校验机 制，便于伪造，从而引发TCP四层代理业务场景的互联网业务信任风险。2023年12月初，TCP四层代理机制 TOA（TCP Option Address）漏洞被披露8 ，12月13日，华为云监测到利用TOA漏洞的攻击报文。

5.攻击发生时段

2023年攻击发生时间段和往年一样，为达到以最低的攻击成本实现最大化的攻击效果，攻击发生时间和互联 网用户的作息时间保持一致。攻击频次周天分布显示，攻击一周内分布较均匀。

6.攻击持续时间

2023年，56.25%的网络层攻击持续时间不超过5分钟，可见“瞬时泛洪”依然是网络层攻击的一大特点，瞬 时泛洪攻击挑战防御系统的自动化程度和运维团队的响应速度。对比近三年应用层攻击持续时间可发现，持续10-30分钟的应用层攻击占比持续提升。说明应用层攻击成本持 续降低，为了提升攻击目标的攻击损失或提升防御成本，攻击者普遍采取延长攻击时长的做法。