地緣政治緊張導致DDoS攻擊活動增加，無差別攻擊和DNS反射攻擊呈上升趨勢。多數攻擊都是利用DDoS僵尸網絡發起的，他們比以往任何時候都更強大。

NETSCOUT最新的DDoS威脅情報報告中有幾個明顯的趨勢，其中包括自適應分布式拒絕服務、基于TCP的直接路徑DDoS、僵尸網絡的激增、社會政治的影響和附帶損害。這些趨勢的共同之處在于，它們都旨在逃避常見的DDoS防御措施，并對直接目標和附帶目標造成最大程度的傷害。

從視頻流媒體到游戲，再到即時通訊，世界已經轉向了可擴展的在線服務，惡意軟件的主要目標也跟著變化?？偟膩碚f，像僵尸網絡這樣的威脅正在以非?？斓乃俣劝l展和擴展，對于企業來說，主動管理來自它們的潛在安全威脅比以往任何時候都更重要。

2022年上半年DDoS最具針對性的目標行業

僵尸網絡的演變

僵尸網絡的英文是Botnets(機器人網絡)，泛指受惡意軟件感染的計算資源的集合，可用于攻擊任何聯網的目標系統。對于每個企業來說，它都是一個越來越大的風險，可能會產生各種威脅，從竊取密碼和非法訪問企業系統，到關閉整個網絡，甚至發起用勒索軟件劫持公司數據的破壞性攻擊。

根據ATLAS發布的2022上半年威脅情報報告，僵尸網絡的威脅正在以各種方式繼續演變——從加速增長到新型攻擊，再到更復雜的隱藏方式。特別是2022年以來受地緣政治、俄烏戰爭等因素影響，僵尸網絡的規模和擴展速度都在大幅增加。簡而言之，僵尸網絡對企業安全的威脅比以往任何時候都要大。

對手/機器人正在探測NETSCOUT在全球部署的蜜罐。NETSCOUT通過研究DDoS的傳播、創新和動機，使用了一個獨特的鏡頭來檢查僵尸網絡。

雖然僵尸網絡從20世紀90年代就已經存在了，但它們的增長速度驚人，尤其是在過去的一年里。正如報告所指出的，僅在2022年上半年，就有超過6700萬個連接，來自168個國家和3萬個組織的600,000多個唯一IP地址。

事實上，NETSCOUT僵尸網絡跟蹤指標在2022年上半年顯示出顯著增長，高可信度僵尸網絡節點的數量從第一季度的21,226個增長到第二季度的488,000多個。更多的節點意味著未來會有更多的僵尸網絡攻擊，而且可能會更復雜。

我們繼續看到僵尸網絡領域的創新，因為舊的惡意軟件（如Mirai）及其變體的作者繼續與在Meris、Dvinis和Killnet中發現的新惡意軟件和僵尸網絡技術保持同步。同樣，開放SOCKS4/5代理的使用也激增。此外，直接路徑攻擊作為首選工具的主導地位繼續上升。

就像主要的軟件供應商通過提供更快、更復雜、更容易使用的解決方案不斷創新一樣，創新也在推動僵尸網絡安全威脅。例如，有新的“DDoS外包（DDoS for hire）”服務，使任何人都比以往更容易對目標公司、組織或行業發起協調和復雜的攻擊。這種活動的目標通常是通過DDoS分散安全團隊的注意力，同時攻擊者正在積極地竊取數據，并使用勒索軟件鎖定數據，使其無法訪問。

此外，研究顯示，從2021年下半年到2022年上半年，僵尸網絡直接路徑攻擊顯著增加，導致更多的應用層攻擊。直接路徑攻擊數量的增加凸顯了從傳統反射/放大DDoS攻擊向更直接路徑攻擊的持續轉變。

僵尸網絡對中國網絡安全的影響

中國一向是DDoS攻擊的主要目標，攻擊者越來越多地使用強大的僵尸網絡來發起基于TCP的直接路徑攻擊，并經常將其與社會政治和娛樂事件聯系起來。

攻擊者不斷創新，嘗試新的攻擊方法、載體和動機。研究顯示，從2021年下半年到2022年上半年，僵尸網絡直接路徑攻擊顯著增加，導致更多的應用層攻擊。直接路徑攻擊數量的增加凸顯了從傳統反射/放大DDoS攻擊向更直接路徑攻擊的持續轉變。

2022上半年中國大陸遭受的DDoS攻擊統計

盡管DDoS攻擊頻率在2021年底略有下降，但是2022年上半年開始攻擊者又卷土重來。2022年上半年，亞太地區的DDoS中有11%都是針對中國大陸地區的。攻擊事件在4月初到6月之間顯著增加。這些攻擊頻率的激增可能與兩岸關系和中美關系緊張有關。針對大陸的DDoS攻擊大多針對云托管提供商、運營商、電子商務等行業，而云計算和托管公司，實際的目標可能是這些公司的客戶群體。

不要被常見的迷思所迷惑

DDoS總是試圖破壞和拒絕可用性，并且通常會成功。唯一能阻止其成功的是一個設計良好的網絡，并配備智能DDoS緩解系統（Intelligent DDoS mitigation systems, IDMS）。對于許多組織來說，當涉及到正確地構建解決方案時，常見的迷思會導致糟糕的選擇和過度自信。

常見DDoS迷思1：

許多組織確信，DDoS要么是不可能停止的，要么就是自己不會成為DDoS攻擊的目標對象。這就像自然災害，要么在你所在的地方不存在，要么無法減輕。停下來想想各種各樣的情況，比如洪水、野火和風暴。在全球許多地方，這些事件現在更頻繁地發生在以前相對安全的地區。全球氣候極其復雜，我們知道事情會隨著時間而變化?；ヂ摼W也是如此。

然而，即使情況發生了變化，面對如此巨大的災難，人們也很容易認為自己無法保護自己的資產。這根本不是真的。在經常發生災害的地方，社區采取更積極的方法來建造更有彈性的結構，并從過去的事件中學習如何提高對未來的防御能力。即使在很少受到影響的領域，我們仍然可以從那些經歷過事件的人那里學習，并借鑒他們的設計線索來改善我們自己的態勢。

同樣，DDoS防御的最佳實踐也很容易理解，任何有遠見的組織都可以實施。

常見DDoS迷思2：

防火墻是任何安全堆棧的重要組成部分。它們在網絡上扮演著流量警察的關鍵角色，根據預先確定的信息（如源和目的地、端口和協議）阻止不需要的流量。但是，盡管防火墻可以阻止許多未知和不需要的流量，但它們無法輕松檢測穿越可信協議和端口（如HTTP/S、DNS或IMAP）的惡意流量。此外，Web應用防火墻（WAF）通常用于阻止應用層DDoS，但它們不檢查非Web的流量，因此無法看到大多數DDoS攻擊流量。

防火墻（包括WAF）通常還為基于TCP的應用程序提供代理服務。此代理提供了一個有價值的混淆層，只公開防火墻的公共IP地址，并將其轉換為邊界內的私有IP地址。然而，這種代理是以維護TCP狀態表為代價的，這些狀態表是一種很容易被DDoS狀態耗盡攻擊淹沒的資源。

最終，雖然防火墻可以緩解某些類型的DDoS攻擊，但它們自身也往往是易受攻擊的目標，導致網絡中斷或故障。因此，它們需要由無狀態的、專門構建的DDoS解決方案來保護。

常見DDoS迷思3：

內容分發網絡（CDN）旨在大規模分發（主要是Web）內容，將其放置在盡可能接近最終用戶的位置，以提高性能、可靠性、延遲等。由于它們的架構性質，它們非常適合吸收大量的流量。事實上，部分設計旨在抵御這些激增流量，無論是良性的（如供應商補丁或操作系統升級分發）還是惡意的（如DDoS攻擊流量）。

事實上，當CDN的基礎設施中的資源是目標時，CDN可以相當有效地減輕DDoS攻擊。不幸的是，它們只提供了部分解決方案。雖然許多DDoS攻擊的目標是Web資源和應用程序，但大多數不是。這意味著依賴于基于CDN的DDoS保護的組織仍然容易受到大多數DDoS矢量的攻擊。事實上，WAF也存在同樣的漏洞。具有諷刺意味的是，許多基于CDN的DDoS解決方案與基于云的或內聯的WAF配對，以“增強”DDoS保護。雖然WAF + CDN幾乎肯定是一種改進，但這種組合仍然對大多數DDoS流量視而不見。

當然，CDN可以有效地減少DDoS遍歷其基礎設施。然而，沒有通過CDN交付的應用程序和服務仍然容易受到攻擊，需要通過無狀態、專用的DDoS解決方案進行保護。

主動防御是關鍵

僵尸網絡的創新不會止步于DDoS-for-hire平臺和直接路徑攻擊的增加。許多僵尸網絡正在增加額外的功能，使自己更難被發現。例如，Mirai惡意軟件家族最近開始利用SOCKS5代理。通過將SOCKS5代理的使用集成到其通信協議中，惡意軟件可以阻止對受感染節點的分析和緩解，使其更致命，更難檢測和阻止。

雖然企業不能確定下一次安全攻擊會從哪里來，也不能確定它們會是什么樣子，但企業可以肯定的是，僵尸網絡將繼續以非?？斓乃俣劝l展，在擴大規模應對更大威脅的同時增加新的功能。因此，所有類型的企業都必須更加積極主動地防御這些類型的攻擊，否則就有可能破壞他們的業務、服務、信譽及底線。

DDoS緩解的當前最佳實踐

當前被廣泛接受的DDoS緩解最佳實踐是一種分層的深度防御方法，如上圖所示。這涉及將基于云的或上游保護與本地串接部署和/或云內智能DDoS緩解系統相結合，這些緩解系統是無狀態的，專門用于防御針對任何協議或應用程序的所有DDoS載體。另一層保護可以由高度策劃的DDoS威脅情報的實時饋送提供，確保解決方案始終為最新演變的威脅載體做好準備，并支持自動響應，以立即對DDoS威脅做出反應。

通過在網絡的所有邊緣實施全面的DDoS防御，如NETSCOUT的Omnis Arbor Edge Defense（簡稱AED），企業可以在DDoS攻擊流量進入網絡邊緣時對其進行緩解。通過基于邊緣的攻擊檢測，結合云清洗能力、自動云信令、入侵指標（IoC）分析、命令和控制（C2）通信阻斷以及最新的可操作的威脅情報，企業可以在任何DDoS攻擊造成破壞之前解決它。