DDoS（分布式拒絕服務(wù)攻擊）攻擊因其簡(jiǎn)單、成本低廉及難防御的特點(diǎn)成為互聯(lián)網(wǎng)最大的威脅之一。一旦遭受DDoS攻擊，很可能會(huì)直接導(dǎo)致網(wǎng)站宕機(jī)、服務(wù)器癱瘓、消耗大量帶寬或內(nèi)存，至于品牌受損，財(cái)產(chǎn)流失等也就接踵而至。

2023年4月3日，華為聯(lián)合中天翼安全科技有限公司、聯(lián)通數(shù)字科技有限公司、北京百度網(wǎng)訊科技有限公司、Nexusguard對(duì)2022年全年監(jiān)測(cè)到的互聯(lián)網(wǎng)DDoS攻擊數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，共同撰寫了《2022年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析報(bào)告》（以下簡(jiǎn)稱《報(bào)告》），本次報(bào)告針對(duì)API及金融行業(yè)攻擊的分析，從DDoS攻擊強(qiáng)度、頻率、復(fù)雜度、行業(yè)、地域分布等多個(gè)維度分析DDoS攻擊態(tài)勢(shì)，并結(jié)合具體實(shí)踐與專家建議為行業(yè)提供新的防護(hù)思路，為企業(yè)洞悉DDoS攻擊變化與變革防御技術(shù)提供專業(yè)、全面的指導(dǎo)，確保企業(yè)業(yè)務(wù)平穩(wěn)運(yùn)行。

DDoS攻擊態(tài)勢(shì)：API成為DDoS攻擊新目標(biāo)

《報(bào)告》認(rèn)為，API成為DDoS攻擊新目標(biāo)，針對(duì)開(kāi)放API亟需構(gòu)建完善的DDoS防御體系架構(gòu)。

API是移動(dòng)應(yīng)用程序、物聯(lián)網(wǎng)（IoT）、云服務(wù)依賴的核心支撐技術(shù)之一，并滲透到人們生活中的各個(gè)環(huán)節(jié)，由于API數(shù)量龐大，企業(yè)對(duì)API安全重視程度不夠等原因，API攻擊已經(jīng)成為企業(yè)面臨的最大威脅之一，成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。

據(jù)《報(bào)告》披露，在2022年世界杯期間，DDoS攻擊異常活躍，中國(guó)境內(nèi)發(fā)生多起針對(duì)支付平臺(tái)及支付API的攻擊。攻擊流量4次超1Tbps，攻擊強(qiáng)度和復(fù)雜度都較為罕見(jiàn)。

當(dāng)前，API攻擊強(qiáng)度挑戰(zhàn)新高，攻擊手法復(fù)雜多樣且演進(jìn)出變化Method的新型攻擊手法。為此報(bào)告建議，企業(yè)必須從API安全架構(gòu)設(shè)計(jì)、API應(yīng)用健壯性設(shè)計(jì)、防御體系構(gòu)建等多個(gè)維度緩解DDoS攻擊威脅。為API構(gòu)筑像網(wǎng)站一樣的分層防御架構(gòu)，即運(yùn)營(yíng)商上游云清洗服務(wù)保護(hù)企業(yè)網(wǎng)絡(luò)帶寬，企業(yè)私有云網(wǎng)絡(luò)邊界抗D過(guò)濾帶寬范圍內(nèi)網(wǎng)絡(luò)層攻擊及中高速及大部分低速應(yīng)用層攻擊，WAF/API網(wǎng)關(guān)過(guò)濾剩余的低速應(yīng)用層攻擊。


金融行業(yè)DDoS攻擊近五年來(lái)從頻次、強(qiáng)度上均呈現(xiàn)3倍增長(zhǎng)趨勢(shì)，而大型金融企業(yè)的門戶網(wǎng)站、金融業(yè)務(wù)系統(tǒng)和DNS服務(wù)器是DDoS攻擊的主要目標(biāo)。報(bào)告建議，金融企業(yè)需構(gòu)筑運(yùn)營(yíng)商上游云清洗+企業(yè)私有云邊界抗D+WAF的三層防御架構(gòu)緩解應(yīng)用層攻擊威脅。


金融行業(yè)態(tài)勢(shì)：DDoS攻擊強(qiáng)度和頻次持續(xù)攀升

《報(bào)告》認(rèn)為，自2018年以來(lái)至今，金融行業(yè)DDoS攻擊近五年來(lái)從頻次、強(qiáng)度上均呈現(xiàn)3倍增長(zhǎng)趨勢(shì)，而大型金融企業(yè)的門戶網(wǎng)站、金融業(yè)務(wù)系統(tǒng)和DNS服務(wù)器是DDoS攻擊的主要目標(biāo)。其中，2020-2022年中國(guó)金融行業(yè)攻擊強(qiáng)度逐年倍增，2021年最大攻擊峰值帶寬是2020年的3.8倍，2022年是2021年的3.4倍。且攻擊者攻擊意圖明顯——2022年，中國(guó)境內(nèi)共發(fā)生4012次針對(duì)金融企業(yè)的攻擊，波及102家銀行、證券、保險(xiǎn)企業(yè)，攻擊目標(biāo)主要是門戶網(wǎng)站和DNS服務(wù)器。

攻擊者通過(guò)多維度攻擊挑戰(zhàn)防御成功率，從網(wǎng)絡(luò)基礎(chǔ)設(shè)施到金融業(yè)務(wù)系統(tǒng)，威脅全方位攀升，攻擊手法明顯多樣化、復(fù)雜化?！秷?bào)告》防御建議，金融企業(yè)需構(gòu)筑運(yùn)營(yíng)商上游云清洗+企業(yè)私有云邊界抗D+WAF的三層防御架構(gòu)緩解應(yīng)用層攻擊威脅。具體為，大規(guī)模應(yīng)用層攻擊需要運(yùn)營(yíng)商上游云清洗作為第一道堤壩，過(guò)濾高速攻擊，保障企業(yè)網(wǎng)絡(luò)鏈路帶寬可用性；當(dāng)攻擊流量壓制到企業(yè)網(wǎng)絡(luò)帶寬范圍內(nèi)后，再由企業(yè)私有云邊界部署的抗D系統(tǒng)作為第二道堤壩，過(guò)濾中、低速DDoS攻擊，防止WAF性能過(guò)載；WAF則作為最后一道防護(hù)屏障，攔截剩余的低速應(yīng)用層攻擊。

DDoS攻擊防御實(shí)用指南

高速發(fā)展的通信網(wǎng)絡(luò)給廣大用戶帶來(lái)方便的同時(shí)，也為DDoS攻擊創(chuàng)造了極為有利的條件，運(yùn)營(yíng)商是全面打擊DDOS攻擊行為的重要一環(huán)。發(fā)布會(huì)期間，與會(huì)嘉賓還以API攻擊，金融攻擊為主線，開(kāi)展全球DDoS攻擊防御技術(shù)探討，為各行業(yè)對(duì)抗新型DDoS攻擊提供實(shí)用性建議。

華為數(shù)據(jù)通信產(chǎn)品線安全產(chǎn)品領(lǐng)域副總裁王峰強(qiáng)調(diào)：在DDoS攻擊破壞力和影響范圍持續(xù)擴(kuò)大的背景下，各行業(yè)需要積極掌握DDoS攻擊出現(xiàn)的新特征，有針對(duì)性的制定持續(xù)有效的防護(hù)方案，打好DDoS攻擊反擊戰(zhàn)，切實(shí)筑牢安全堤壩，保護(hù)企業(yè)和組織的健康網(wǎng)絡(luò)，保障業(yè)務(wù)的安全連續(xù)和穩(wěn)定。

天翼安全科技有限公司運(yùn)營(yíng)部總經(jīng)理陳林表示：2022年，DDoS攻擊的頻度、強(qiáng)度、復(fù)雜度均呈提高態(tài)勢(shì)，對(duì)我國(guó)產(chǎn)業(yè)數(shù)字化發(fā)展造成影響，也給防御帶來(lái)了新的挑戰(zhàn)。中國(guó)電信安全依托中國(guó)電信大網(wǎng)能力構(gòu)建多層級(jí)協(xié)同立體化防御體系，高效阻斷跨域攻擊流量，通過(guò)SRv6技術(shù)在骨干網(wǎng)、城域網(wǎng)和接入網(wǎng)建立“安全切片”，實(shí)現(xiàn)“云網(wǎng)邊端”聯(lián)動(dòng)式安全防御，構(gòu)建立體化安全防御能力，積極應(yīng)對(duì)DDoS攻擊演變。此外，電信安全持續(xù)開(kāi)展對(duì)全球路由連接的監(jiān)測(cè)分析工作，強(qiáng)化對(duì)路由變化的感知能力，不斷提升DDoS分析溯源能力。

聯(lián)通數(shù)字科技有限公司安全事業(yè)部CTO周凱表示：近年來(lái)，分布式拒絕服務(wù)(DDoS)攻擊已成為黑客常用的攻擊手段之一，使用的攻擊源遍布廣泛區(qū)域難以追蹤，破壞力足以摧毀網(wǎng)站業(yè)務(wù)，給企業(yè)業(yè)務(wù)交互帶來(lái)巨大影響。聯(lián)通立足云網(wǎng)數(shù)據(jù)資源稟賦，以運(yùn)營(yíng)商視角，做到全網(wǎng)云地協(xié)同聯(lián)動(dòng)、近源清洗壓制、全攻擊鏈追蹤溯源，全面還原攻擊路徑，震懾網(wǎng)絡(luò)空間威脅者。

在圓桌討論環(huán)節(jié)，各位嘉賓分享新型攻擊趨勢(shì)下，各行業(yè)抗DDoS攻擊的成功實(shí)踐。IDC中國(guó)研究總監(jiān)王軍民預(yù)測(cè)未來(lái)全球以及中國(guó)的抗DDoS市場(chǎng)將持續(xù)擴(kuò)大；百度安全副總經(jīng)理馮景輝表示，DDoS 攻擊作為網(wǎng)絡(luò)安全的重要威脅之一，為網(wǎng)絡(luò)安全、企業(yè)業(yè)務(wù)連續(xù)性帶來(lái)了巨大的挑戰(zhàn)。百度作為擁有強(qiáng)大互聯(lián)網(wǎng)基礎(chǔ)的領(lǐng)先AI公司，多年來(lái)實(shí)現(xiàn)推進(jìn)百度智能云成為云計(jì)算行業(yè)的翹首，在帶寬、算力等方面天然優(yōu)勢(shì)明顯，基礎(chǔ)條件較好，并且一直在更新思路，與行業(yè)同仁及運(yùn)營(yíng)商加強(qiáng)合作。百度安全持續(xù)關(guān)注并致力于為客戶提供全生命周期的抗DDoS解決方案，包括“預(yù)警”“對(duì)抗”和“溯源”三階段，和運(yùn)營(yíng)商及同行一起共同營(yíng)造一個(gè)業(yè)務(wù)無(wú)中斷、和諧清朗的網(wǎng)絡(luò)環(huán)境。

在互聯(lián)網(wǎng)安全領(lǐng)域，素有“魔高一尺道高一丈”的說(shuō)法，不存在一勞永逸的安全防范手段。網(wǎng)絡(luò)安全只有起點(diǎn)沒(méi)有終點(diǎn)特別是隨著信息化的普及和物聯(lián)網(wǎng)的大規(guī)模發(fā)展，也增大了網(wǎng)絡(luò)安全的暴露面，加劇了DDoS攻擊形態(tài)復(fù)雜化。網(wǎng)絡(luò)安全需要所有個(gè)體的參與和維護(hù)，各方需要持續(xù)跟蹤DDoS攻擊趨勢(shì)，不能單純寄望于購(gòu)買一套網(wǎng)絡(luò)安全設(shè)備來(lái)對(duì)抗網(wǎng)絡(luò)安全威脅，全社會(huì)需要樹(shù)立起正確的網(wǎng)絡(luò)安全觀，建立有效的漏洞管理和應(yīng)急響應(yīng)機(jī)制，不斷提升網(wǎng)絡(luò)安全技術(shù)，須知，只有掌握最先進(jìn)的技術(shù)，才能防得牢。