2023年下半年的全球DDoS威胁情报报告

想象一下，由于残酷无情的分布式拒绝服务（DDoS）攻击，您的网站被淹没，服务器过载，客户被阻挡在门外。这不是一个假设的场景，这是一个真实且日益严重的威胁！

NETSCOUT近期发布了2023年下半年的全球DDoS威胁情报报告，我们的ASERT团队剖析了攻击者针对服务提供商、企业和最终用户所采用的攻击方法和趋势，并提供了从被动响应到预测响应所需步骤的可操作建议，以帮助您了解最新的DDoS威胁形势和防御方法。

该报告的主要结论包括：

• 全球DDoS攻击增加

2023年下半年共发生700万次DDoS攻击，较上半年增长15%。

• Hacktivism增加十倍

• 水刑攻击继续上升

• 针对游戏和赌博行业

威胁行为者被该行业巨大的经济价值和扰乱竞争对手的目标所吸引，尤其是在在线电子竞技赛期间。

DDoS威胁领域最显著的变化之一是DDoS黑客组织对世界各地网站和组织的持续攻击。尽管由于地缘政治动荡，许多这些组织的重点在于EMEA，但随着周边国家和地区在受影响地区投资网络基础设施和服务，攻击绝对会遍及全球。这些组织需要许多不同的响应来适当地防御它们，就像医生使用精确的工具来针对特定的疾病一样，我们必须对DDoS威胁行为者应用同样的精确水平。这些威胁行为者，无论是受到金钱、信仰还是政治的驱使，都是制造数字混乱的专家。通过密切关注他们，我们可以更好地建立我们的防御，保持我们的网络和所支撑的组织的安全和健全。

对于防御者来说，2023年是异常繁忙的一年，因为威胁参与者针对各种目标发起了许多DDoS攻击活动。NoName057(16)针对35个国家的780个目标网站中占据了榜首的位置。EXECUTOR DDOS紧随其后，针对29个国家的201个网站。其他值得注意的组织包括DDOS-V2、SYLHET GANG-SG和俄罗斯网络军团。Anonymous Sudan排名第九，共针对17个国家的81个目标网站。

NoName057(16)和Anonymous Sudan等组织的活动表明，DDoS攻击的增长趋势不仅是由单独的黑客或小型集体发起的，而且是由具有政治动机的团体发起的。这些组织越来越多地使用DDoS作为一种工具来攻击那些在意识形态上反对他们的人，执行无缝的跨越国界的攻击。

图：针对俄罗斯和乌克兰的DDoS攻击 (2022–2023)

图：针对以色列和巴勒斯坦的DDoS攻击(2023)

政治和国际冲突是DDoS威胁的主要动机。但也许DDoS攻击最具影响力的原因是游戏和与游戏相关的赌博。我们的研究结果一致表明，游戏行业是这些攻击的主要目标，吸引了全球各种各样的威胁参与者。

攻击游戏产业的吸引力在于其巨大的经济价值和扰乱竞争对手的目的。该行业对数字基础设施的严重依赖，以及经常受到媒体关注的高调性质，加剧了其面对DDoS攻击的脆弱性。这些攻击的一个值得注意的方面是它们经常发生在在线游戏比赛期间。虽然这些事件有时与周围广泛的赌博活动有关，但DDoS攻击本身构成了最重大的威胁。这些攻击不仅破坏了游戏体验，还威胁到游戏行业数字平台的完整性和稳定性，凸显了对强大网络安全措施的迫切需求。

对于权威和递归DNS服务器来说，附带损害是一个严峻的现实，因为如果它们中的任何一个出现故障，它们不仅会影响一个网站，而且会同时影响超过10万个网站。根据我们最新报告中的图表和趋势，攻击者继续增加DNS查询泛洪和DNS水刑攻击。

图：针对托管多达1000多个域名的权威DNS服务器的DDoS攻击

图：已确认的权威DNS服务器遭受的DNS查询泛洪攻击

当这些权威DNS服务器中的任何一个出现宕机时，在任何中断期间平均有7个Domain受到影响。自2020年以来，针对DNS服务器的攻击增加了553%以上。

DDoS攻击仍然是互联网最持久的安全挑战之一。仅仅几个相互串通的主机的数据包发送能力就能对互联网目标造成严重破坏。许多人想知道为什么互联网服务提供商不能直接阻止不良流量。毕竟，这能有多难呢？尽管分布式系统中的单个通信流似乎是无害的，特别是在加密或使用限制下，但灾难潜伏在看不见的地方。将这些来自攻击者的看似无害的信息流聚合在一起，可以对您的目标发动强大的攻击，通常会使传统的防御系统无能为力。

• 尽早消除或减少有害流量
• 增加网络容量以吸收有害流量
• 使匿名和远程系统完全无法访问目标

当前ISP常见的DDoS防御策略：

• 源地址验证（SAV）：防止哄骗的网络流量
• 远程触发黑洞过滤（S/RTBH）：使用BGP路由公告丢弃流量
• Flow Specification (FLOWSPEC)：过滤BGP设备间的特定流量
• 智能DDoS缓解系统（IDMS）：使用引流清除恶意流量
• 内容分发网络（CDN）：针对内容交付的大量负载平衡器

DDoS防御的未来：

• 预测性DDoS防御：在攻击前已知对手的基础设施
• DDoS抑制：当前只有1%的来自源网络的出站攻击得到了缓解
• DDoS封锁：阻断DDoS发起流量和部署反欺骗措施
• IPv6 防御
• 联合DDoS防御：跨网络协作，实现情报共享、DDoS抑制和封锁

可见性

报告中引用的信息来自NETSCOUT的ATLAS平台，该平台在全球范围内提供无与伦比的互联网可见性，收集、分析、优先排序和传播来自214个国家和地区、456个垂直行业和超过13,000个自治系统编号（ASN）的DDoS攻击数据。

通过与世界上最大的服务提供商和企业合作数十年，NETSCOUT对全球互联网具有深远的可见性，使我们能够辨别数字世界的脉搏。我们监控和响应DDoS攻击的能力由ATLAS遥测平台提供支持，该平台使我们能够洞察每秒500Tbps的数据网络流量。如此全面的覆盖范围使我们能够深入了解世界上大多数DDoS攻击。

这一切对您来说意味着什么？没有人比NETSCOUT更了解全球DDoS攻击活动！这份报告证明了这一事实，并体现了我们的市场领导地位，也是我们无边界可见性的另一个例子。