概述

阿里云是国内最大的公共云计算服务提供商。阿里云安全团队依托阿里云云盾系统为用户提供四到七层的所有类型的DDoS攻击防护服务。阿里云安全团队通过对阿里云云计算服务平台、互联网用户和阿里集团系统的安全防护，以及对网络攻击持续的分析与研究，于2015年10月13日发布了第三季度云盾互联网DDoS状态和趋势报告。

摘要

在2015年第三季度中，阿里云安全团队发现中国范围内的互联网DDoS攻击，无论从攻击数量，还是攻击流量（平均）上，均呈上升态势。其中流量达到300Gbps以上的攻击次数达到60次。

阿里云安全团队监控到DDoS攻击事件数6万次，月均2万次，攻击总量约为600,000Gbps，峰值攻击为450.2Gbps。CC攻击450亿次，单日最高峰值在50亿次，最大QPS为350万次/秒。

从被攻击者的行业分布来看，游戏和企业的官方网站是重灾区，其他如电子商务、社区论坛，知名媒体等都是攻击者乐意光顾的目标。一个值得关注的现象是，在往年的监控数据中，针对互联网金融行业和电商行业的DDoS攻击并不多。

在第三季度，阿里云安全团队监测到的DDoS攻击手段主要包括TCP flood，UDP flood，DNS flood和CC攻击。其中UDP flood中包含了SSDP反射攻击、NTP反射攻击、SNMP反射攻击和DNS 反射攻击。

重要发现

发现1： 第三季度攻击流量持续走高，峰值流量达到450Gbps,日平均流量维持在200-300Gbps左右。

发现2： 从攻击类型的分析来看，攻击者使用最多的是TCP、UDP、SYN、DNS、CC协议攻击，其中UDP占比最多（36%）。

发现3： 持续时间0-30分钟的攻击超过70%，说明攻击者更喜欢使用短时大流量的DDoS攻击来冲击用户业务，而不是选择长时间持续性攻击。

发现4: 攻击者更热衷于20-50Gbps左右的攻击，这个范围内的攻击数量最多。与此同时，300Gbps以上的攻击占总攻击数量的3.3%。

发现5: 由僵尸网络发起的DDoS攻击中，以Windows平台控制端居多。从国内僵尸网络的监控数据发现，广东、江苏、浙江等省份的控制端系统最多。

发现6: 游戏行业是DDoS攻击的重灾区，超过40%的DDoS攻击目标是游戏行业用户。同时，针对互联网金融行业和电商行业的DDoS攻击数量明显上升。

发现7: 阿里云安全团队预测攻击者的攻击流量将持续提升，来自僵尸主机、智能终端以及恶意爬虫的CC攻击将严重影响网站业务，游戏、互联网金融等行业仍将是DDoS攻击的主要目标，同时出于竞争和勒索的目的，在重大活动期间发起攻击将愈发成为攻击者重要选择。