3.1 DDoS 攻击发生时间段

DDoS 攻击时段多为业务高峰期或在线人数最多时段，以达到最大的破坏效果。国内抽样 DDoS 数据可知，DDoS 的高峰期以上午10点到晚上23点为主，其中18点左右有一个低谷，但相比上午10点前仍高出很多。

3.2 DDoS 攻击持续时间

随着 DDoS 的自动平台化，攻击时长越来越短，主要是归结于较好的平台有稳定的流量输出，使整体攻击时间控制在5分钟以内，期中38.7%集中在1分钟以内。相对而言，超过60分的攻击一般流量不大，且主要为 HTTP Flood、SYN Flood 小包等消耗资源类攻击。

3.3 攻击类型各流量区间分布

按攻击次数统计，主要的攻击流量区间在 5G 以内，其占比超过一半以上。但在流量区间占比分布基础上进行攻击类型的对应分类，则比较难以区分，存在很多交叉现象。

例如 IoT 肉鸡以 UDP Flood 或 SYN Flood 大包等攻击类型也可以打出百 G 流量，而目前百 G 流量主要还是以反射放大的形式打出流量，另在 10G 到 100G 之间，攻击类型交叉也很明显。值得一提的是现在越来越多的 DDoS 攻击，会进行组合攻击，使防御难上加难，达到最大攻击效果。

3.4 全球 DDoS 攻击目标国家占比

国外被 DDoS 攻击的国家涵盖很广，基本互联网覆盖到的地方，都有 DDoS 的身影。那些互联网大国更是首当其冲，例如美国、韩国以及西欧诸国。DDoS 的目的无非获利，所以竞品攻击与 DDoS 勒索占主要地位，国外这些发达的互联网国家在获利上更加便捷，所以受到的攻击占比也更大。

3.5 中国 DDoS 攻击目标各省份占比

国内被攻击的区域与国外情况类似，也多发于互联网建设较好的地区，如江浙、北京、香港。与历年攻击目标省份占比进行对比，各省占比均无甚变化，因为互联网的基础设施要花费大量时间进行建设，周期较长，且互联网程度越高的城市，网络的升级换代越快，对应的各种业务互联网化转化也越便捷，因此 DDoS 可能会攻击的业务线也越多。

3.6 攻击目标行业分布

攻击目标的行业众多，可以说只要互联网化的行业，都有被涉及到，其中以游戏行业为最。在游戏之外，新兴的音、视频有上升的趋势，和当今流行的直播、短视频等有关。另外在医疗、制造业、物联网等行业中 DDoS 也崭露头角，可见利益总是最好的攻击导向。

3.7 僵尸网络 C2 服务器全球分布

提起僵尸网络，那么大家最关心的无外乎便是 C2 信息或反射放大的发包机位置信息等。C2 服务器在全球分布，主要以中国、韩国、美国、欧洲国家为主，随着中国打击 DDoS 力度越来越大，C2 有外迁到第三方世界的小国家，这些国家网络监控宽松，能躲过监查，且针对流量上可以有伪造源 IP 的各种攻击输出，这也是发包机为什么大多在国外的原因。

3.8 僵尸网络 C2 服务器国内分布

僵尸网络的 C2 在国内情况，与前文分析的类似，主要集中在互联网建设较好的省份，香港作为一个网络管理相对宽松的区域，存在好多的业务线互联网化，所以占比排名第二。国内的僵尸网络打击力度越来越大，导致 DDoS 的好多 C2 迁移到国外。

3.9 典型攻击事例 

 
下面以2018年第一季度针对腾讯云某游戏公司的 DDoS 攻击为例，进行典型攻击 方法的分析。此 DDoS 案例特点是发起攻击持续时间长，且攻击范围逐渐扩大。下 表是被攻击 IP 与日期的映射关系，在三个月中受到持续攻击中，被攻击 IP 数量多 达18个，其中1月与2月攻击 IP 单一，3月份后被攻击 IP 持续增多。其中1月4号的 一个单  IP  攻击便达到了上百 Gbps 的流量。 
 
 
 

攻击发起日期与攻击时段与上文中分析的一致，均是在游戏上线高峰期进行攻击。 
 
 
 
 
针对此公司的 DDoS 攻击由7个僵尸网络不定期的发起攻击，每个僵尸网络均发起 过上百次的攻击，攻击方法主要是带有 payload 的 SYN Flood 攻击，以持续消耗 带宽，导致游戏掉线或网络堵塞。在针对攻击细节的分析中发现，这7个不同的僵尸 网络会有多个在同一时段同时发起针对同一 IP 的攻击的情况，而且攻击的数据包 相似，所以将这几个僵尸网络可以暂时归结到一个黑客组织控制与管理，方便后续 的防御与溯源。 

http://www.bgpddos.com/a/xinwenguandian/yunyingjiqiao/133.html

 

小蚁网络技术有限公司是一家专业致力于为企业提供全方位、多层面的网络安全服务商。小蚁云盾是建立在硬防之外的另道全新模式防护，此防护依托于独立牵引机柜经三道防御层层过滤，以达到最有效的防护效果。小蚁云盾属于最高端的顶级防护环境，主要针对稳定性要求极高的客户群，彻底杜绝服务器掉线或卡频。 

 

小蚁网络专注于高防行业，精耕细作，致力打造IDC基础服务提供商领跑者。专业的防CC功能，智能的多盾联动混合节点防御技术,10秒高效识别，快速拦截，让您从此远离CC攻击。小蚁数据中心，1000G以上带宽抗DDoS，并可随时应急调用电信自有带宽1.5TB，总防御能力超2T!高效的CC攻击拦截引擎，无上限防御CC攻击。自主研发的小蚁云盾引擎能根据访问者的URL，频率，行为等访问特征，迅速识别出CC攻击并进行拦截，100%拦截无漏传。全面抵御任何类型的DDoS攻击，抗D保为最容易遭受攻击的金融借贷平台、游戏、电商、教育培训、竞价排名、医疗等高危网站制定专属策略，为网络安全保驾护航。 

 

我们不同于纯粹的IDC或传统服务器供应商，我们能帮助用户在使用云防御的过程中，最大程度的消除各种隐性成本和运营风险，将安全架构的构建和运维工作变得真正简单、可靠。用户可以用极低成本获得最合适的网络安全基础架构和最专业、持久的服务团队。我们为用户的想法提供全力支持，用户得以真正自由，全身心投入到对业务的思考和运营中。我们与用户，就是一个团队。 

 

实力优势：我们与国内知名ISP服务商建立战略伙伴关系，和阿里、电信、联通、移动、绿盟、天融信、启明星、华为、百度、腾讯等长期合作。

 

 

小蚁网络介绍新推出的“立体式”DDOS安全防护体系的几大亮点：

亮点一：多重整合

       有着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的小蚁网络，数以万计的DDOS攻击防范战胜经验证明了其防御体系的技高一筹。小蚁网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系，由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB应用防火墙” “小蚁云盾” “移动安全” “数据风控” “威胁感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成，从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。

亮点二：智能防御

        小蚁的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点，利用智能DNS解析系统设置监测端口，时刻提防可能存在的安全漏洞，如果一个节点遭受攻击时将会自动切换至另一节点。在面临攻击威胁时，小蚁采用的是目前较为理想的一种应对策略，以海量的容量和资源拖垮黑客的攻击，小蚁的“立体式”安全防护体系能彻底有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击，并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时，小蚁组建的是分布式集群防御，可根据需求增加节点数量提高防御力度，宕机检测系统会快速响应更换已经瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点，使攻击源变成瘫痪状态，从而削减攻击能力。

 

再就是定制的商用DDoS解决方案。

 

针对超大流量的攻击或者复杂的游戏CC攻击，可以考虑采用专业的DDoS解决方案。目前，通用的游戏行业安全解决方案，做法是在IDC机房前端部署防火墙或者流量清洗的一些设备，或者采用大带宽的高防机房来清洗攻击。

 

当宽带资源充足时，此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈：例如单点的IDC很容易被打满，对游戏公司本身的成本要求也比较高。

 

在小蚁网络，我们团队去颠覆带宽“军备竞赛”的策略，是提供一个可信的访问网络，这也是游戏盾诞生的初衷。

 

游戏盾风控模式的初衷，是从收到访问的第一刻起，便判断它是“好”还是“坏”，从而决定它是不是可以访问到它想访问的资源；而当攻击真的发生时，也可以通过智能流量调度，将所有的业务流量切换到一个正常运作的机房，保证游戏正常运行。

 

游戏行业DDoS 6年谈：什么样的架构才可以对DDoS免疫？

 

某棋牌行业基于游戏盾的架构示意图

 

所以，通过风控理论和SDK接入技术，游戏盾可以有效地将黑客和正常玩家进行拆分，可以防御超过300G以上的超大流量攻击。

 

风控理论需要用到大量的云计算资源和网络资源，小蚁网络天然的优势为游戏盾带来了很好的土壤，当游戏盾能调度10万以上节点进行快速计算和快速调度的时候，那给攻击者的感觉是这个游戏已经从他们的攻击目标里面消失。

 

游戏盾，是小蚁网络的人工智能技术与调度算法，在安全行业中的成功实践。

 

而随着攻防进程的推进，网络层和接入层逐步壮大，我们希望“游戏盾”的风控模式，会逐步延展到各个行业中，建立起一张安全、可信的网络。这张网络中，传输着干净的流量，而攻击被前置到网络的边缘处。所有的端，在接入这张网络时，都会经过“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB应用防火墙” “小蚁云盾” “移动安全” “数据风控” “威胁感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等风险控制的识别，网内的风控系统，也让坏人无法访问到他锁定资源。

 

未来，以资源为基础的DDoS防护时代终将被打破，演进出对DDoS真正免疫的风控架构。