隨著網際網路、移動網際網路以及企業線上業務的發展，人們不斷加深對資料價值的認識，也審視資料資產的保護。為透視網路攻擊內在機制與安全趨勢，幫助企業從容應對風險與挑戰，數世諮詢、白山雲科技及上海雲盾4月16日聯合釋出《2019年DDoS威脅態勢與攻防產業鏈研究報告》與《2019年全球網際網路安全態勢報告》。

依託全網安全威脅情報儲備與大資料分析能力，兩份報告帶來了哪些觀點與建議？閱讀全文，一探究竟。

DDoS攻擊是形形色色網路攻擊中極具破壞力的一種，破解DDoS攻防產業鏈各個環節，才能最大程度制定防禦的萬全之策。報告基於2019年DDoS攻擊資料，透視DDoS威脅態勢與攻防產業鏈。

攻·黑灰產業鏈研究 攻擊思路：與其硬碰硬，不如“繞過防守”直擊目標

為避免與CDN/雲廠商資源對抗場景下DDoS攻擊的高成本消耗，黑客更傾向於“繞過防守”直擊目標。

 結合TCP反射攻擊可以將反射伺服器IP加入DDoS防火牆白名單的特性，繞過防守後，偽裝反射伺服器IP，發起大規模SYN Flood攻擊，直擊後端伺服器；

 通過敏感頁面抓取、歷史DNS解析記錄查詢、子域名查詢、證書資訊查詢、郵箱MX記錄查詢、漏洞利用等方式，獲取源伺服器真實IP地址，繞過CDN/雲廠商的“替身式防禦”，發動DDoS攻擊，直擊源IP；

 Web應用攻擊+DDoS攻擊的組合，讓防禦方疲於應對DDoS攻擊，使Web應用攻擊繞過防守主力，達到最終的攻擊目的；

 針對App場景，藉助非殭屍網群控技術模擬真實使用者訪問行為，繞過傳統動態黑名單攔截的防禦模式，實施針對性CC攻擊；

 針對屬於同一網段的單個IP進行小流量的DDoS攻擊，繞過單IP的黑洞封禁策略，實現針對整體IP段流量壓制，最終封堵整個節點頻寬。

 攻擊模式：從“單挑”到“群毆”到“嫁禍”

DDoS攻擊形態由起初一對一的DoS攻擊，向藉助C/S系統技術的DDoS攻擊模式演進；近年來已形成不需要配備大量肉雞、利用廣播地址與迴應請求實現拒絕服務的DRDoS攻擊模式。

 DDoS組織形態：是什麼催生了龐大的黑灰產業鏈？

DDoS攻擊鏈上下游均已形成細分產業鏈，如殭屍網肉雞、自制網資源、反射伺服器資源等攻擊資源的傳播與售賣；渠道一般為百度搜索，或海外網站、黑客論壇、淘寶、QQ群、郵件等。

同時出現整合自動化的DDoS攻擊軟體、平臺化的SaaS服務。且逐漸團伙化發展，形成DDoS完整攻擊鏈閉環。

守 · 防禦對抗研究 網際網路威脅情報及線索挖掘使攻擊溯源更為精準便捷

得益於網際網路威脅情報系統的建設，通過整合多維情報資料來源，基於大資料和AI技術，進行歸納、推理、關聯等。可以將攻擊事件、受害者、殭屍網路、嫌疑人、金主構建全景情報關係網。從而對攻擊事件進行全鏈路溯源分析，抓出攻擊團伙，提升成功率。

精準溯源，不僅依託於事前威脅情報系統的建設，同時需要挖掘事中“防守”過程中的突破點。參考ATT&CK框架，DDoS與APT攻擊相似，有其攻擊鏈特徵模型。“捕獲”攻擊鏈各階段線索，將為DDoS攻擊的精準溯源提供至關重要的突破點。

上海雲盾DDoS攻擊鏈簡要模型： 踩點階段：瀏覽網站尋找弱點，掃描域名解析記錄，抓包分析，原生App逆向； 攻擊階段：操作控制檯輸入攻擊指令（IP、Domain、URL）； 確認階段：PING、Telnet、開啟網頁、登入App。

 面向業務的創新三階複合對抗模型

隨著攻擊數量級不斷提高，整個安全行業都致力於在資源不對等的情況下完成面向最終客戶業務的防禦模式創新。上海雲盾創新三階複合對抗模型，助力客戶從容應對網際網路新環境。

模型基於零信任安全理念，預設不信任任何終端，建立端邊雲一體化架構。在終端部署安全SDK，預認證裝置及使用者可信度。安全大腦持續評估終端環境、使用者行為等是否可信，動態調整信任等級，未通過可信認證的終端將被拒絕服務，實現面向客戶業務的主動、有效、精準防禦。

《2019年全球網際網路安全態勢報告》詳解

目前企業要應對的資料安全風險與日俱增，大流量 DDoS 攻擊已成常態化，T 級時代來臨；業務層威脅兩極化分明，爬蟲攻擊穩步上升。報告從Web應用攻擊、DDoS攻擊、業務層攻擊三方面，結合六個典型安全事件覆盤，解析2019年全球網際網路安全態勢。

 Web應用攻擊持續增長，高危攻擊常態化

2019年上海雲盾安全運營中心監測到Web應用攻擊12.6億次，同比上升 20%。

對於影響程度，大多數攻擊可能的影響集中在造成業務波動 (5 檔)，但造成業務無法執行(10 檔)的攻擊依舊存在，需專注防護。

 大流量DDoS攻擊已成常態，T級攻擊不斷湧現

超過300Gbps的DDoS攻擊佔比超15%，月平均峰值頻寬接近1Tbps。

遊戲行業受DDoS攻擊影響最為嚴重。

 業務層攻擊威脅總數增長翻番，安全態勢依然嚴峻

2019年白山ATD平臺監測到網路攻擊9566.5億次，攻擊源24.5億個，攻擊次數和攻擊源數量保持高速增長。

對於影響程度，2019年業務攻擊威脅程度分佈與2018年分佈相似，業務層威脅兩極化。

電子商務、媒體、政府機構受Web應用攻擊影響嚴重；

資訊行業受爬蟲攻擊影響最為嚴重。

攻擊者更偏向於在請求地址、請求頭部、請求主體中插入攻擊點。

縱觀2019年的安全態勢和攻擊案例，目前企業針對數字資產的保護，安全手段仍有一定侷限： 傳統安全技術忽視“爬蟲”，但爬蟲其實是造成資料資產洩露的主要途徑； 大多企業應用點防禦，缺少對數字資產的梳理和基於流量/資料的縱深防禦； 依賴規則，維護成本高，且覆蓋不全，只能解決已知威脅； 安全產品使用不當，帶來安全威脅。

而AI、IPv6、5G等新技術的發展與應用，或將給企業安全防護帶來新的機遇與挑戰。

 AI：傳統基於規則的防火牆面臨嚴峻挑戰，基於領域知識的規則不僅難以應對新型攻擊而且維護難度高、成本大。另外，業務增長令行為分析和事件關聯越發龐雜。自動化網路安全解決方案，依靠大資料和機器學習，將推動網路安全技術不斷升級。

 IPv6：IPv6的設計對安全性有一定的提升，但並未徹底解決IPv4中存在的安全隱患，IPv6的一些新特性甚至帶來新風險。

 5G：5G將大大促進人工智慧、大資料、物聯網等新興技術的不斷髮展，但其中存在的安全缺陷不容忽視。

白山與上海雲盾安全專家針對兩份報告的解讀直播，現已開放回看通道。報告全文內含更詳實的資料、更細緻的分析、更生動的案例，為你撥開網路迷霧，另闢安全蹊徑。

獲取報告：http://baishanhui.mikecrm.com/GFfb225

原文連結：https://www.anquanke.com/post/id/203283