一、背景

8月，绿盟科技伏影实验室全球威胁狩猎系统监测到针对利比亚的DDoS攻击趋势异常，伏影实验室整理了本轮DDoS攻击的流量变化，通过与利比亚在8月发生的重点事件进行对照，研判此次攻击或与8月利比亚局势动荡有关，具体攻击走势如下：

伏影实验室观测发现，8月6日，利比亚新任高级国务委员会主席当选，而在8月2日和8月5日，利比亚受到的DDoS攻击出现井喷态势；8月9日，利比亚与印度会晤讨论恢复两国关系，当日利比亚受到的DDoS攻击呈明显上升趋势；8月14日，利比亚首都的黎波里发生激烈的武装冲突，造成数十人死亡，8月14日到8月20日期间，利比亚遭受到持续不断的大规模DDoS攻击；8月21日，利比亚因内战而分裂的中央银行重新联合起来，当日利比亚遭受到的DDoS攻击趋势相对缓和。

根据观察，DDoS攻击的流量变化趋势与利比亚复杂的政治环境息息相关。监测结果显示，利比亚投票网遭受到多次DDoS攻击，这可能会破坏选民对选举过程的信任，并对利比亚主席选举的结果产生一定的影响；在此次大规模DDoS攻击中，现实世界中的武装部队冲突时间点与网空战场的DDoS攻击趋势基本吻合，监测结果显示，利比亚多个政府部门遭受DDoS攻击，这可能在一定程度上对冲突局势产生了影响。

二、典型攻击事件

在全球威胁狩猎系统监测到的一系列DDoS攻击活动中，利比亚的政府部门、教育行业、金融行业、能源行业等均遭到攻击。

2.1  针对重要部门机构的攻击

2.1.1  政府部门

8月1日20时29分21秒，全球威胁狩猎系统监测到利用DNS、NetAssistant、ONVIF等脆弱服务针对利比亚规划部（planning.gov.ly，41.208.72.166）的DDoS反射攻击，攻击持续到8月26日0时11分43秒。

利比亚规划部是利比亚的重要政府部门，负责国家的规划和发展事务，包括国家发展规划、经济和社会研究、预算编制和资源分配、政策制定和评估、国际合作和援助协调等多项重要职能。

8月1日20点32分39秒，系统监测到利用DNS、NetAssistant、ONVIF等脆弱服务针对比利亚司法部官方网站（aladel.gov.ly，41.208.72.213）的DDoS反射攻击，攻击持续到8月26日0时7分57秒，该网站目前疑似无法访问。

利比亚司法部是利比亚的政府部门，负责监督和管理国家的司法系统。该部门的职责包括制定和实施司法政策、管理法院系统、推进法律改革、维护法律秩序以及确保公民的法律权益。利比亚司法部在利比亚的政府体系中扮演着重要的角色，致力于建立公正、透明和有效的司法体系，以促进法治和保护公民的权益。

2.1.2  教育行业

8月1日7时49分15秒开始，全球威胁狩猎系统监测到利用DNS服务针对利比亚的扎维耶大学（zu.edu.ly，41.208.74.26）的DDoS反射攻击，攻击持续到8月26日0时4分49秒。扎维耶大学是位于利比亚扎维耶市的一所知名大学，拥有丰富的教学资源和完备的教学设备。

2.1.3  金融行业

8月1日20时27分33秒，全球威胁狩猎系统监测到利用DNS、NetAssistant、ONVIF等脆弱服务针对利比亚的Yaqeen银行（yaqeenbank.com，41.208.71.20）的DDoS反射攻击，攻击持续到8月26日0时6分9秒。

Yaqeen银行是利比亚的一家重要的伊斯兰银行之一，在利比亚的金融体系中占据重要地位。Yaqeen银行旨在为利比亚的个人、企业和机构提供创新和道德的金融解决方案。它致力于支持利比亚经济增长和发展，同时遵守伊斯兰金融原则，禁止高利贷并促进道德和社会责任的投资实践。

2.1.4  能源行业

8月1日20时26分21秒，全球威胁狩猎系统监测到利用DNS、NetAssistant、ONVIF等脆弱服务针对利比亚石油研究所网站（lpilibya.com，41.208.72.193）的DDoS反射攻击，攻击持续到8月26日14分48秒。

利比亚石油研究所是利比亚的一个重要研究机构，专注于石油和天然气领域的科学研究、技术开发和培训。其主要使命是提供科学、技术和工程支持，为利比亚的石油和天然气行业提供解决方案和创新。利比亚石油研究所在利比亚石油和天然气行业中具有重要的地位和作用。它在促进石油资源的开发、提供技术支持、推动环境保护等方面发挥着关键作用，对利比亚的经济和能源领域的发展具有重要意义。

2.1.5  针对选举相关网站的攻击

8月1日7时52分6秒，全球威胁狩猎系统监测到利用DNS脆弱服务针对利比亚投票网（libyavotes.ly，41.208.74.174）的DDoS反射攻击，攻击持续到8月26日0时5分48秒，疑似与8月6日进行的利比亚国家最高委员会主席第二轮选举有关。

2.2  扫段攻击

本次利比亚遭受的DDoS攻击以扫段攻击为主。在本轮DDoS攻击活动中，有97个C段IP遭受到DDoS扫段攻击，其中包括连续IP段41.208.64.0 ~ 41.208.127.255共64个C段IP，这个IP段涉及政府关基，教育部门，金融行业，能源行业等多个重要服务，攻击具有极强的针对性。

DDoS扫段攻击与传统的针对单个目标IP的攻击方式有所不同，攻击者使用已知的通用攻击手法，对IP段内的每个IP都发起小流量的DDoS攻击，以超出接入交换机的带宽限制，进而影响整个IP段的用户业务。由于单个IP的攻击流量不会触发防御系统的清洗阈值，这种攻击方式可以绕过传统的DDoS防御系统，一定程度上增加了防护者的防御难度。

三、利比亚DDoS攻击分析

8月1日到8月26日期间，全球威胁狩猎系统监测到利比亚有25082个IP/域名遭受DDoS攻击，利比亚境内共有434258个公网IP，受攻击的IP占比达到了全国的5.8%。

3.1  受害IP分布

3.1.1  受害IP区域分布

通常情况下，DDoS攻击的地域分布和当地的经济发展水平以及人口数量呈正相关趋势，针对利比亚的DDoS反射攻击中，其首都的黎波里作为利比亚重要的政治、文化和经济中心，受攻击占比超过99%，是本次DDoS攻击最集中的区域。

3.1.2  受害IP ISP分布

伴随着数字化技术的快速发展，网络攻击愈演愈烈，而且攻击手法愈来愈复杂，互联网服务供应商(ISP)面临着日益增长的DDoS攻击威胁。在本次攻击事件中，利比亚遭到DDoS反射攻击的ISP主要以利比亚的电信网络运营商自治系统LTT Autonomous System,Tripoli Libya为主，占比超过97%。

LTT（Libyan Telecommunication and Technology）是利比亚的一家重要电信运营商，总部位于首都的黎波里。作为利比亚的国家电信公司，LTT提供各种电信服务，包括固定电话、移动通信、互联网接入和数据服务等，在利比亚境内建设和维护了广泛的通信基础设施，满足个人、企业和政府的通信需求。

3.1.3  受害IP所属行业分布

根据全球威胁狩猎系统监测数据，利比亚遭受DDoS反射攻击的IP所属行业呈现多元化趋势，政府、能源、交通运输、教育等行业作为重要的关基行业，遭受DDoS攻击较为严重，总占比达到68%。对于这些重要关基行业， DDoS反射攻击具有很强的针对性，容易致使目标服务瘫痪，造成严重的经济损失。

3.2  攻击发生时段

将此次针对利比亚的DDoS攻击时间转换为利比亚当地时间进行分析，发现攻击发生的最高峰时段发生在晚上7点到8点之间，而在凌晨2点到15点之间的攻击活动较少，攻击活跃时段大体上与利比亚的政府机构的常规工作时间（一般为9点到16点）错峰，可以看出这是一场精心策划的攻击活动。

3.3  具体受害域名 (部分)

根据全球威胁狩猎系统监测数据，受害域名涉及政府网站、能源网站、金融行业、教育部门等，均是利比亚重要的核心部门，可以看出这是一场针对性较强的DDoS攻击行动。

四、总结

随着数字化时代的迅猛发展，网络威胁日益加剧，各种类型的攻击不断涌现。在这些攻击中，DDoS攻击以其极高的破坏性和隐蔽性备受黑客青睐，成为网络战中重要的攻击手段。针对本次利比亚的大规模DDoS攻击，主要有以下启示：

1.攻击时间较长，受害行业广泛，或与利比亚境内局势动荡有关

据绿盟科技伏影实验室全球威胁狩猎系统监测，从8月1日至今，利比亚境内的政府、教育、金融、能源等多个重要行业均遭受到DDoS攻击，显而易见，这是一次持续时间较长且目的性极强的DDoS攻击活动，很显然与8月份利比亚境内动荡不安的局势有关。全球威胁狩猎系统将持续全程监测实时攻击动态。

2.重要关基依然是大规模DDoS攻击的主要目标，石油企业需重点关注

在这次大规模的DDoS攻击中，攻击者的主要目标均为国家的重要关键基础设施。包括政府和行政系统，金融系统、能源供应系统等。利比亚拥有非洲最大的石油储量，其多个石油公司遭受DDoS攻击，攻击者的攻击意图可见一斑。一旦关键基础设施瘫痪，将对国家体系的正常运转产生严重威胁，并可能对社会经济发展造成长期的负面影响。

 关于绿盟科技伏影实验室  

研究目标包括Botnet、APT高级威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

 绿盟威胁情报中心

绿盟威胁情报中心（NSFOCUS Threat Intelligence center, NTI）是绿盟科技为落实智慧安全3.0战略，促进网络空间安全生态建设和威胁情报应用，增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。

绿盟威胁情报中心官网：https://nti.nsfocus.com/

绿盟威胁情报云：https://ti.nsfocus.com/