近日，騰訊安全云鼎實驗室發布“2018上半年互聯網DDoS攻擊趨勢分析”，從2018年上半年DDoS攻擊情況的全局統計、DDoS黑色產業鏈條的人員分工與自動化操作演進兩個方面闡述。

2018年以來，以IoT設備為反射點的SSDP反射放大尚未平息，Memcached DDoS又異軍突起，以最高可達5萬的反射放大倍數、峰值可達1.7Tbps的攻擊流量成為安全界關注的新焦點。

一.整體分析

1. DDoS流量峰值情況

根據2013-2018DDoS攻擊流量峰值統計表明，DDoS攻擊流量峰值不斷被超越。今年3月份針對某游戲攻擊的Memcached DDoS，其峰值1.7 Tbps 達到了一個新的高度。目前，Memcached DDoS 已成為反射放大的一股主要力量。

2. DDoS攻擊行業情況

騰訊安全云鼎實驗室列出了受DDoS攻擊的14種主要行業。游戲行業因日流水量最大、變現快，成為DDoS攻擊的首選目標和遭受攻擊最多的行業。

隨著許多行業的互聯網化，DDoS的攻擊面不斷增多。根據分析，游戲占DDoS攻擊的37%，其次是門戶網站/社區和IT服務/軟件。

在游戲行業，手機游戲已超過了 PC 客戶端游戲成為了 DDoS 攻擊的主要目標。H5 游戲的崛起，也成為了 DDoS 的關注點，占整體攻擊的1.4%。

3. DDoS攻擊類型

在攻擊類型中，反射放大占比最多，約為55.8%。 Memcached 作為今年三月以來的新興反射放大力量，迅速被 DDoS 黑產界利用，其在整體的占比中也相當大。反射放大占比如此之多的一個原因是 DDoS 黑產的自動平臺化，即無需人工干預，完全自動流程可完成攻擊的所有操作。

SYN Flood 排名第二，一直是 DDoS 的主要攻擊手法。隨著 DDoS 黑產的平臺化，SYN Flood 的載體也發生了改變，由海量的肉雞漸漸轉移到了發包機上(以偽造源 IP 的 SYN Flood 為主)。

4. DDoS 所對應的C2地域分布

通過監控發現，在國內的C2漸漸有外遷的現象。還有一些持有高性能肉雞的黑客，看到了虛擬貨幣的逐利遠遠大于 DDoS攻擊，將一部分高性能肉雞轉去挖礦。鑒于以上原因針對用于 DDoS 的 C2 監控難度越來越大。

5. 被攻擊IP的地域情況

DDoS 攻擊目標按地域分布統計中，國外受攻擊最多的國家是美國，其次是韓國、歐洲國家為主，DDoS 攻擊的主要目標還是聚集在互聯網發達的國家中。

二.DDoS 黑色產業鏈條演進

騰訊安全云鼎實驗室分析了傳統的DDoS攻擊和目前的DDoS攻擊特點。

1. 傳統DDoS攻擊

早期的 DDoS 一般是黑客一個人的游戲，從工具開發、bot 傳播、接單、攻擊等都獨自完成。隨著互聯網經濟的飛速發展，網絡攻擊獲利越來越多，催生了DDoS 攻擊的大量需求，例如競品的攻擊、DDoS 勒索等。高額的利益便會催生對應工作的精細化分工，DDoS 的黑產也不例外。我們針對傳統 DDoS 攻擊的專業化人員分工進行分析：

發單人：也可以稱為金主，是 DDoS 攻擊后的直接獲利者，提出攻擊需求。

擔保商：也可以稱為中間人，是 DDoS 黑產中較出名的人物，在各個不同分工人員間做“信任”擔保，與交易環節的資金中轉工作。擔保商也會自己架設接發單平臺或即時通訊工具群等形式來擴大自己的知名度，帶來更多的 DDoS 攻擊業務。

接單人：也可以稱為攻擊手，通過操作 C2 服務器或發包機直接發起 DDoS 攻擊。

流量商：通過擔保商或直接將國外購買的流量服務器售賣給攻擊手。

肉雞商：手頭上擁有大量的肉雞資源，通過擔保商或直接將肉雞售賣/出租給攻擊手。

黑客軟件作者：開發 botnet 程序，反射放大程序等各種 DDoS 工具。

這樣的多種分工，使 DDoS 在技術難度上被拆解，技術門檻降低，部署更容易。同時給互聯網安全人員的分析與溯源帶來更大的困難。在分析中我們發現，有一些人員也可能同時擔當多個角色。

2. 目前 DDoS 攻擊

鑒于傳統 DDoS 攻擊的不足，促使了 DDoS 多個環節的自動化發展，頁端 DDoS 攻擊平臺便是發展的結果之一。其高度集成管理，在成單率、響應時長、攻擊效果等方面都得到了可行的解決。在人員分工上，有了新的發展：

擔保商淡出 DDoS 黑產圈，發單人可直接在頁端 DDoS 攻擊平臺下單、支付費用，且可以根據自己的攻擊目標的情況選擇攻擊方式與流量大小，保障了百分之百的成單率。

攻擊手已被自動化的攻擊平臺取代，不需要手動操作攻擊。從發起攻擊命令到真正開始攻擊，一般延時在10s 左右，再也不用等幾小時或幾天了。

發包機提供人替代了流量商角色，且完成發包機的程序部署、測試，最終給出發包機的攻擊類型、穩定流量、峰值流量等各種定量且穩定的攻擊能力。穩定的攻擊流量保障了最終的攻擊效果。

站長成為了頁端 DDoS 攻擊平臺的核心人員，進行平臺的綜合管理、部署、運維工作。例如：DDoS 攻擊套餐管理、注冊用戶(金主)管理、攻擊效果與流量穩定保障、后續的升級等。

三.總結與趨勢展望

綜上所述，上半年的 DDoS 攻擊無論從流量的角度還是從次數的角度來看，都上升了一個新的高度。

DDoS 黑色產業鏈的人員與技術的演進降低了整體 DDoS 入門的門檻，在溯源監控中發現，有的 DDoS 黑產團伙平均年齡 20 歲左右，甚至有未滿 16 周歲的學生也是其中的一員。

在 DDoS 的整體防御上，建議用戶采用具備大帶寬儲備和 BGP 資源的云服務商防御方案。如騰訊云大禹擁有30線 BGP IP 接入資源，豐富的場景化防護方案。

隨著智能 AI 設備與物聯網的飛速發展， DDoS 的新宿主平臺不斷出現，DDoS 攻防戰會越來越激烈。可以預期，2018年下半年 DDoS 會呈現出多樣化的發展：

1. 類似于 Memcached DDoS 的新反射放大方式會不斷的被曝光與利用

2. 智能設備的發展會催生出新平臺下的 botnet 產生，且這些平臺基本防護措施薄弱，更成了DDoS 的溫床

3. 隨著打擊 DDoS 力度的不斷加大， P2P 式僵尸網絡或半去中心化變種方式有望重回風口，讓 DDoS 難于監控與溯源分析

4. 基于暗網的 DDoS 平臺將逐漸替代目前流行的頁端 DDoS 攻擊平臺，使其平臺的存活時間更長。

注：本文主要內容為騰訊安全云鼎實驗室發布的“2018上半年互聯網DDoS攻擊趨勢分析”，有刪減。