本报告由电信云堤&绿盟科技联合出品，重点研究2018年DDoS攻击变化趋势。

2018年，得益于互联网的快速发展，变革的触角伸向了网络空间和现实世界的各个角落。在技术高速革新的背景下，网络空间面临的威胁，也在随之改变和升级。近两年来，DDoS和挖矿活动高居攻击者选择榜首，攻击手段有效性和获利便捷性是DDoS攻击经久不衰的主要原因。

报告通过多个维度力求全面呈现2018年DDoS攻击变化趋势，以便抛砖引玉，帮助组织及机构持续改善自身网络安全防御技术及体系。

2018 VS. 2017

1. 攻击次数8万次，比2017年下降了28.4%
2. 攻击总流量31万TB，与2017年基本持平
3. 单次攻击平均峰值达到了8Gbps，比2017年增加了204%
4. 单次攻击最高峰值4Tbps，与2017年基本持平
5. 平均攻击时长为42分钟，比2017年下降了17%

DDoS攻击趋势

1. 攻击规模扩大，攻击能力普遍提高。

在总流量与2017年持平的情况下，2018年的攻击规模普遍扩大。攻击峰值20-200Gbps 以上的中大型DDoS 攻击有所增加，200Gbps 以上的超大模型攻击比例基本上成倍增加。

2. 反射攻击放缓，治理有效。

2018年，平均每个月反射攻击下降了0.93万次，非反射攻击增加了0.35万次。DDoS攻击活动受政策监管和国家治理的影响明显。

3. 利益驱动。

DDoS 流量与比特币价格，呈一定的负相关性。在DDoS攻击和挖矿活动中，攻击者倾向在不同时期选择投入产比更高的获利方式。

4. 多发于高峰期，打击精准。

攻击者倾向于在短时间内，以极大的流量导致目标服务的用户掉线、延时、抖动。

5. 物联网威胁不容小觑。

2018年，参与DDoS攻击的物联网设备总量超过23万，恶意软件利用的漏洞涵盖多种物联网设备。

DDoS攻击现状

• 2018年，我们监控到DDoS攻击次数为8万次，攻击总流量64.31万TB，与2017年相比，攻击次数下降了28.4%，攻击总流量没有显著变化。

 攻击次数与攻击流量（数据来源：电信云堤）

• 反射攻击数量的降低是整体攻击量的下降的重要因素，国家监管机构和电信运营商长期以来对反射攻击的治理显现成效。

反射攻击次数与其他类型的攻击次数月度对比图（数据来源：电信云堤）

• 随着虚拟货币的升值，黑产从DDoS攻击活动转而投向犯罪成本相对较低但收益更高的挖矿活动中。2018年随着比特币价格的回落，DDoS总流量有明显的上升趋势。各月份比特币价格与DDoS总流量趋势对比，其Pearson相关系数为-0.48，呈显著的负相关性。

比特币价格与DDoS攻击总流量趋势对比图（数据来源：电信云堤）

• 攻击服务通过瞬时极大流量对目标业务高峰实时精准打击，实现利益最大化。

2018年，短时攻击增加，攻击时长在30分钟以内的DDoS攻击占了全部攻击了77%，和2017年相比，增加了33%，但平均攻击流量却增加了1.5倍。日渐缩短的单次攻击时长也让攻击者能够接收到更多的攻击任务，这也是僵尸网络即服务（Botnet-as-a-Service）和DDoS即服务（DDoS-as-a-Service）的重要特点之一。

攻击时间占比（数据来源：电信云堤）

• 2018年，DDoS攻击的平均峰值达到了8Gbps，和2017年相比，增加了2倍有余。尤其是在2018年下半年，平均峰值达到67Gbps。业务高峰时段（10点-22点）为攻击者发起DDoS攻击的高峰期，占全天攻击的70%。

攻击平均峰值和最高峰值（数据来源：电信云堤）

一天24小时DDoS攻击占比（数据来源：电信云堤）

• DDoS攻击占据物联网设备异常行为“半壁江山”。

异常物联网设备异常行为占比

（数据来源：绿盟科技全球DDoS态势感知系统(ATM)、绿盟科技威胁情报中心）

DDoS攻击、僵尸网络通信和扫描探测三类异常行为占总量90%左右，这三类异常行为正是物联网僵尸网络的主要功能。当物联网设备被感染后，往往会通过扫描探测和漏洞利用来扩大攻击资源规模，来提升后续恶意活动（DDoS和挖矿）的有效性。

• 云服务/IDC需特别留意，游戏、电商行业仍是攻击的重头戏

攻击行业分布

（数据来源：绿盟科技全球DDoS态势感知系统(ATM)、绿盟科技威胁情报中心）

云服务/IDC为各行各业提供网络基础设施，受到DDoS攻击的比例是最高的。排名随后的是游戏和电商。这几类网站遭受攻击的主要动机往往为同行间的恶意竞争，企图通过降低对手的服务质量来争抢用户资源。

• DDoS防护与治理

1. 网络架构技术升级
2. 暴露服务管理
3. 僵尸网络治理
4. 流量可视化

总结

获利是攻击者永恒的诉求，DDoS始终是攻击者手中的利剑之一。DDoS攻击有着见效快和获利便捷等优势，将会长期受到攻击者的青睐。产业和技术的变革，意味着DDoS攻击会以更多的形态出现在攻防的战场上。DDoS的防护，同样也不能因循守旧，要充分利用大数据和人工智能技术，提供更有效的预警和检测方案，以及充分利用威胁情报体系，在监管机构和安全厂商之间共享威胁信息，协同防御，合作共赢。