1. DDoS简介：

1.1 DdoS定义：

DDOS是什么？分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

DDOS攻击又是什么呢？其实DDOS就是DDOS攻击，是同一种技术。DDOS全称为Distributed Denial of Service，中文名为分布式拒绝服务攻击，是一种常见的服务器攻击技术。

DDOS攻击的原理

DDOS攻击最初被人们成为DOS（Denial of Service）攻击，DOS攻击的原理是：你有一台服务器，我有一台个人电脑，我就用我的个人电脑想你的服务器发送大量的垃圾信息，拥堵你的网络，并加大你处理数据的负担，降低服务器CPU和内存的工作效率。

随着科技的告诉发展，类似DOS这样一对一的攻击已经起不了什么作用了，于是DDOS—分布式拒绝服务攻击诞生了，其原理和DOS相同，不同之处在于DDOS攻击是多对一进行攻击，甚至达到数万台个人电脑在同一时间一DOS攻击的方式攻击一台服务器，最终导致被攻击的服务器瘫痪。

1.2 DDoS攻击目的：

（1）商业恶性竞争：

商业竞争在互联网这个万亿市场中尤为激烈。一些行业竞争者为了利益不择手段、不顾法纪，通过DDoS攻击妨碍竞争对手的业务活动，打击对手的声誉，从中获取竞争优势。其中，电商行业和在线游戏行业是重灾区。

（2）敲诈勒索：

DDoS由于成本低、实施容易等特点，在较早期就开始成为黑客在网络上进行敲诈勒索、收取“保护费”的主要方式。

1.3 DDos常见攻击类型

资源耗尽型：这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙;带宽攻击的普遍形式是大量表面看合法的 TCP、UDP 或 ICMP 数据包被传送到特定目的地;为了使检测更加困难，这种攻击也常常使用源地址欺骗，并不停地变化。这种攻击相对而言更加难以防御，因为合法数据包和无效数据包看起来非常类似。,通常出现流量性攻击时，高防服务器能够对数据进行实时的监控并进行智能的识别与分流，在高防服务器的流量防御范围内都能对流量型的攻击进行很好的防御

导致异常型：利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。HTTP 半开和 HTTP 错误就是应用攻击的两个典型例子，缓存溢出攻击-试图在一个缓存中存储超出其设计容量的数据。这种多出的数据可能会溢出到其他的缓存之中，破坏或者覆盖其中的有效数据。

应用层攻击——这种攻击的目标是应用或7层网络服务的某些方面。

常见的DDoS攻击类型有哪些

（1）.TCP SYN泛洪攻击

通常在进行 TCP 连接需要进行三次握手。当客户端向服务端发出请求时，首先会发送一个 TCP SYN 数据包。而后，服务器分配一个控制块，并响应一个 SYN ACK 数据包。服务器随后将等待从客户端收到一个 ACK 数据包。如果服务器没有收到ACK 数据包，TCP连接将处于半开状态，直到服务器从客户端收到ACK数据包或者连接因为 time-to-live(TTL)计时器设置而超时为止。在连接超时的情况下，事先分配的控制块将被释放。当一个攻击者有意地、重复地向服务器发送 SYN 数据包，但不对服务器发回的SYN ACK 数据包答复 ACK 数据包时，就会发生 TCP SYN 泛洪攻击。这时，服务器将会失去对资源的控制，无法建立任何新的合法TCP连接。

（2）.UDP flood

UDP flood 又称UDP洪水攻击或UDP淹没攻击，UDP是没有连接状态的协议，因此可以发送大量的 UDP 包到某个端口，如果是个正常的UDP应用端口，则可能干扰正常应用，如果是没有正常应用，服务器要回送ICMP，这样则消耗了服务器的处理资源，而且很容易阻塞上行链路的带宽。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击，正常应用情况下，UDP包双向流量会基本相等，而且大小和内容都是随机的，变化很大。出现UDPFlood的情况下，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定。

（3）.ICMP flood

ICMP flood是通过 通过高速发送大量的ICMP Echo Reply数据包，导致目标网络的带宽瞬间就会被耗尽，阻止合法的数据通过网络。ICMP Echo Reply数据包具有较高的优先级，在一般情况下，网络总是允许内部主机使用PING命令。这将导致系统不断地保留它的资源，直到无法再处理有效的网络流量。攻击者可以通过发送一个伪造的ICMP Destination Unreachable或Redirect消息来终止合法的网络连接。更具恶意的攻击，如puke和smack，会给某一个范围内的端口发送大量的数据包，毁掉大量的网络连接，同时还会消耗受害主机CPU的时钟周期。还有一些攻击使用ICMP Source Quench消息，导致网络流量变慢，甚至停止。Redirect和Router Announcement消息被利用来强制受害主机使用一个并不存在的路由器，或者把数据包路由到攻击者的机器，进行攻击。

（4）.Smurf 攻击

Smurf 攻击的主要方式为攻击者会向接收站点中的一个广播地址发送一个IP ICMP ping(即“请回复我的消息”)。Ping 数据包随后将被广播到接收站点的本地网络中的所有主机。该数据包包含一个“伪装的”源地址，即该DoS攻击的对象的地址。每个收到此 ping 数据包的主机都会向伪装的源地址发送响应，从而导致这个无辜的、被伪装的主机收到大量的ping 回复。如果收到的数据量过大，这个被伪装的主机就将无法接收或者区分真实流量。

（5）.Fraggle攻击

Fraggle攻击与Smurf攻击类似，只是利用UDP协议。攻击者掌握着大量的广播地址，并向这些地址发送假冒的UDP包，通常这些包是直接到目标主机的7号端口——也就是Echo端口，而另一些情况下它却到了Chargen端口，攻击者可以制造一个在这两个端口之间的循环来产生网络阻塞。

（6）.Land

Land主要是采用目标和源地址相同的UDP包攻击目标。在Land攻击中，一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，许多UNIX实现将崩溃，而 Windows NT 会变的极其缓慢(大约持续五分钟)。Land 攻击发生的条件是攻击者发送具有相同IP源地址、目标地址和TCP端口号的伪造TCP SYN数据包信息流。必须设置好SYN标记。其结果是该计算机系统将试图向自己发送响应信息，而受害系统将会受到干扰并会瘫痪或重启。最近的研究发现Windows XP SP2和Windows 2003 的系统对这种攻击的防范还是非常薄弱的。事实上，Sun的操作系统的高防服务器BSD和Mac对这种攻击的防范都是非常薄弱的，所有这些系统都共享基于 TCP/IP 协议栈的BSD。

（7）.Trinoo 攻击

的攻击方法是向被攻击目标主机的随机端口发出全零的4字节 UDP 包，在处理这些超出 其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP 地址不做假，采用的通讯端口是：攻击者主机到主控端主机：27665/TCP 主控端主机到代理端主机：27444/UDP 代理端主机到主服务器主机：31335/UDP.

（8）.Stacheldraht

Stacheldraht是基于TFN和trinoo一样的客户机/服务器模式，其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时，侵入者与master程序进行连接。Stacheldraht增加了新的功能：攻击者与master程序之间的通讯是加密的，对命令来源做假，而且可以防范一些路由器用RFC2267过滤，若检查出有过滤现象，它将只做假IP地址最后8位，从而让用户无法了解到底是哪几个网段的哪台机器被攻击;同时使用rcp (remote copy，远程复制)技术对代理程序进行自动更新。Stacheldraht 同TFN一样，可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。Stacheldraht所发动的攻击包括UDP 冲击、TCP SYN 冲击、ICMP 回音应答冲击

（9）.TFN2K

TFN2K 是由德国著名黑客Mixter编写的同类攻击工具 TFN 的后续版本，在 TFN 所具有的 特性上，TFN2K 又新增一些特性，TFN2K 通过主控端利用大量代理端主机的资源进行对一个 或多个目标进行协同攻击。当前互联网中的 UNIX、Solaris 和 Windows NT 等平台的主机能被 用于此类攻击，而且这个工具非常容易被移植到其它系统平台上。

（10）.Ping of Death

是一种拒绝服务攻击，方法是由攻击者故意发送大于65535字节的ip数据包给对方。 TCP/IP的特征之一是碎裂;它允许单一IP包被分为几个更小的数据包。在1996年，攻击者开始利用那一个功能，当他们发现一个进入使用碎片包可以将整个IP包的大小增加到ip协议允许的65536比特以上的时候。当许多操作系统收到一个特大号的ip包时候，它们不知道该做什么，因此，服务器会被冻结、当机或重新启动。ICMP的回送请求和应答报文通常是用来检查网路连通性，对于大多数系统而言，发送ICMP echo request 报文的命令是ping ，由于ip数据包的最大长度为65535字节。而ICMP报头位于数据报头之后，并与ip数据包封装在一起，因此ICMP数据包最大尺寸不超过65515字节利用这一规定，可以向主机发动 ping of death 攻击。ping of death 攻击 是通过在最后分段中，改变其正确的偏移量和段长度的组合,使系统在接收到全部分段并重组报文时总的长度超过了65535字节，导致内存溢出，这时主机就会出现内存分配错误而导致TCP/IP堆栈崩溃，导致死机。

(11).Tear drop

攻击利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移，而且算上第二片IP包的Data，也未超过第一片的尾部，这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击，最终导致主机菪掉;对于Windows系统会导致蓝屏死机，并显示STOP 0x0000000A错误。对付这种类型得攻击最好的方法就是要及时为操作系统打补丁了，但是Teardrop攻击仍然会耗费处理器的资源和主机带宽。

(12).WinNuke攻击

WinNuke攻击又称“带外传输攻击”，它的特征是攻击目标端口，被攻击的目标端口通常是139，而且URG位设为1，即紧急模式。WinNuke攻击就是利用了Windows操作系统的一个漏洞，向这些端口发送一些携带TCP带外(OOB)数据报文，但这些攻击报文与正常携带OOB数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合。这样Windows操作系统在处理这些数据的时候，就会崩溃。

（13）.jolt2

基于因特网协议(IP)分组破坏的拒绝服务(DoS)攻击，利用一个死循环不停的发送一个ICMP/UDP的IP碎片，让设备不断的处理这些分片，jolt2的影响相当大，通过不停的发送这个偏移量很大的数据包，不仅死锁未打补丁的Windows系统，同时也大大增加了网络流量。

（14）.ICMP重定向攻击

ICMP重定向报文是当主机采用非最优路由发送数据报时，设备会发回ICMP重定向报文来通知主机最优路由的存在。一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文，但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以改变主机的路由表，破坏路由，干扰主机正常的IP报文转发，并以此增强其窃听能力。

（15）.蠕虫

蠕虫是一些独立的程序，可以自行攻击系统和试图利用目标的漏洞。在 成功地利用漏洞之后，蠕虫会自动地将其程序从攻击主机复制到新发现的系统， 从而再次启动循环。蠕虫会将自身的多个复本发送到其他的计算机，例如通过 电子邮件或者互联网多线交谈(IRC)。有些蠕虫(例如众所周知的红色代码和 NIMDA 蠕虫)具有 DDoS 攻击的特征，可能导致终端和网络基础设施的中断。

OSI层

2. 全球&全国DDOS攻击情况 

2.1 2017Q1DDOS总体趋势预览

虽然今年第一季度的DDoS攻击次数比上个季度下降了23%。但是，每次攻击的平均峰值规模却增加了近26%。此外，攻击者还对目标进行了持续和反复的攻击。事实上，在本季度中，几乎50%经历过DDoS攻击的客户都遭遇过多次有针对性的攻击。

在2017年第一季度中DDoS攻击仍然是不可预测且持续的，且在速度及复杂性等方面差别很大。为了对抗这些攻击，不断监测攻击的变化趋势显得越来越重要，以便可以及时优化缓解策略。

观察上图我们发现，从2016年第一季度以来每季度的平均攻击峰值都超过了10Gbps。

多向量DDoS攻击成常态

该报告还显示，在第一季度中，57%的DDoS攻击使用了多个攻击向量，范围从两个到五个以上不等。其中，43%的攻击者只使用一个攻击载体；25%的攻击者使用两个；17%的攻击者使用了三个；8%的攻击者使用了四个；6%的攻击者使用了五个及以上攻击向量。这意味着，攻击本质上变得更为复杂了，他们试图使用几种不同的攻击类型来占用网站资源。

DDoS攻击类型

UDP洪水攻击在2017年第一季度中继续保持领先，占本季度总攻击的46%。最常见的UDP洪水攻击是域名系统（DNS）反射攻击，其次是网络时间协议（NTP）和简单服务发现协议（SSDP）反射攻击。

虽然基于UDP的攻击类型继续占据主导地位，但是基于TCP的攻击数量却呈增加趋势，占据总攻击的33%。TCP攻击主要由TCP SYN和不同数据包大小的TCP RST组成。

最大容量的攻击和最高强度的洪水

在第一季度发现的最大规模DDoS攻击。这是一个峰值达到120Gbps的多向量攻击，吞吐量约为90 Mpps，其目标受到60 Gbps攻击的时间超过15个小时。

此外，攻击者非常坚持试图通过在超过两个星期的时间内，每天发送攻击流量来破坏受害者的网络。攻击主要由TCP SYN和不同数据包大小的TCP RST组成，并采用与未来IoT僵尸网络相关的攻击。该次攻击还包括UDP洪水和IP片段，增加了攻击的数量。

不同行业的DDoS攻击现状和平均攻击规模

遭遇DDoS攻击最频繁的是IT/云/SaaS行业，占据所有恶意活动的58%，平均攻击规模为22.5Gbps；金融部门排在第二，占据28%（比上一季度增加了7%），平均攻击规模为1.7Gbps。具体分布如下所示：

大规模的DDoS攻击越来越司空见惯，虽然如今网络技术发展迅速，但是面对日益复杂多变的DDoS攻击，企业往往还是不堪一击，目前针对金融行业的DDoS攻击正呈不断上升趋势，相关行业还需提早做好准备，迎接更为严峻的挑战。

2.2 2017Q1 DDOS全球攻击情况

第一季度僵尸网络辅助DDoS攻击统计

Q4 2016 vs. Q1 2017各国DDoS攻击分布

数据显示，2017年第一季度最易受攻击的国家占所有DDoS供给数量的95.1%

DDoS攻击数量

2017年第一季度，每日DDoS攻击数量在86到994次。攻击量最高的日期分别是1月1日（793次）、2月18日（994次）和2月20日（771次）。而最安静的日子是2月3日（86次），2月6日（95次），2月7日（96次）及3月15日（91次）。

一个星期中，每天DDoS攻击量和前一季度几乎没有变化。周六（16.05%）是攻击量最高的日子，周一（12.28%）则是最平静的。

DDoS攻击的类型和持续时间

2017年第一季度，TCP DDoS攻击的数量和比例急剧上升，从10.36%上升到26.62%。UDP和ICMP攻击量也有所增长，分别从2.19%和1.41%增长至8.71%和8.17%。同时，SYN DDoS和HTTP的攻击量则有大幅下降。

TCP攻击比例的增加是由于Yoyo、Drive和Nitol机器人活动量更大。ICMP攻击增长则是Yoyo和Darkrai的结果。

第一季度，很少有攻击持续超过100个小时。大部分攻击持续时间不超过4小时（82.21%），比前一季度有所增长。但是，持续时间更长的攻击的比例则有所下降，例如，持续时间在50-99小时的攻击仅占0.24%，和2016年第四季度（0.94%）比下降明显。持续时间在5-9小时的攻击份额也从19.28%降至8.45%；持续10-19小时的攻击从7%下降到5.05%；持续20-49小时的攻击比例略有增加。

另外，第一季度持续时间最长的DDoS攻击的时长是120小时，比上一季度的最长时间缩短172小时。

C&C服务器和僵尸网络类型

第一季度，韩国检测到的C&C服务器数量最多，从上季度的59.06%上升至66.49%。 美国（13.78%）位居第二，其次是荷兰3.51%。中国从第二位降至第七位(1.35%)。

第一季度，操作系统的分布发生了巨大变化：基于Windows的DDoS机器人超越了新的物联网机器人，占所有攻击的59.81%。 这主要是由于Yoyo，Drive和Nitol都是为Windows开发的。

结论

2017年第一季度相当平静，但有一些有趣的发展。尽管物联网僵尸网络越来越受欢迎，但基于Windows的机器人占所有攻击的59.81%。 同时，只能用复杂的保护机制抵御的复杂攻击正在变得越来越频繁。

附 2016年全球DDOS 7大攻击事件 

1.暴雪DDoS攻击

4月，Lizard

Squad组织对暴雪公司战网服务器发起DDoS攻击，包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机，玩家无法登陆。名为“Poodle Corp”黑客组织也曾针对暴雪发起多次DDoS攻击，8月三起，另一起在9月。攻击不仅导致战网服务器离线，平台多款游戏均受到影响，包括《守望先锋》，《魔兽世界》、《暗黑3》以及《炉石传说》等，甚至连主机平台的玩家也遇到了登陆困难的问题。

2.珠宝店遭遇25000个摄像头组成的僵尸网络攻击

25000个摄像头组成僵尸网络发起DDoS攻击，成为已知最大的CCTV(闭路电视摄像头)僵尸网络

3.Anonymous组织发起的“Operation OpIcarus”攻击

2016年5月，Anonymous(匿名者)麾下的BannedOffline、Ghost Squad Hackers(幽灵黑客小队)等黑客小组，针对全球范围内的多家银行网站，发动了短期性网络攻击，Anonymous将此次攻击行动称为：“Operation OpIcarus”。此次选定的攻击目标包括约旦国家央行、韩国国家央行、摩纳哥央行以及一些设立在摩纳哥的企业银行网站等，随后黑客们对其实施了一系列的DDoS攻击。这次攻击导致约旦、韩国以及摩纳哥等央行网络系统陷入了半小时的瘫痪状态，使其无法进行正常工作，而黑山国家银行网络系统则被迫关闭，停止服务。

4.精准的NS1攻击

5月，DNS和流量管理供应商NS1(ns1.com)遭遇了历时10天的针对性大规模DDoS攻击，它通过执行上游流量过滤和使用基于行为的规则屏蔽了大部分攻击流量。攻击者没有使用流行的DNS放大攻击，而是向NS1的域名服务器发送编程生成的DNS查询请求，攻击流量达到了每秒5000万到6000万数据包，数据包表面上看起来是真正的查询请求，但它想要解析的是不存在于NS1客户网络的主机名。攻击源头也在东欧、俄罗斯、和美国的不同僵尸网络中轮换。

5.五家俄罗斯银行遭遇DDoS攻击

11月10日，俄罗斯五家主流大型银行遭遇长达两天的DDoS攻击。来自30个国家2.4万台计算机构成的僵尸网络持续不间断发动强大的DDOS攻击。卡巴斯基实验室提供的分析表明，超过50%的僵尸网络位于以色列、台湾、印度和美国。每波攻击持续至少一个小时，最长的不间断持续超过12个小时。攻击的强度达到每秒发送66万次请求。卡巴斯基实验室还指出，有些银行反复遭受被攻击。

6.Mirai僵尸网络攻击KrebsonSecurity

9月20日，安全研究机构KrebsonSecurity遭遇Mirai攻击，当时被认为是有史以来最大的一次网络攻击之一。然而没过多久，法国主机服务供应商OVH也遭到了两次攻击，罪魁祸首是Mirai。KrebsonSecurity被攻击时流量达到了665GB，而OVH被攻击时总流量则超过了1TB。Mirai是一个十万数量级别的僵尸网络，由互联网上的物联网设备(网络摄像头等)构成，8月开始构建，9月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统，将其纳入到Botnet中，在需要的时候执行各种恶意操作，包括发起DDoS攻击，对互联网造成巨大的威胁。

7.美国大半个互联网下线事件

10月21日，提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击，攻击主要影响其位于美国东区的服务。此次攻击导致许多使用DynDNS服务的网站遭遇访问问题，其中包括GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify和Shopify。攻击导致这些网站一度瘫痪，Twitter甚至出现了近24小时0访问的局面。

2.3 2016年全国DDOS攻击情况

攻击目标 

在360 威胁情报中心监测到的所有DDoS 攻击中，70.5通过对2016 年DDoS 攻击的抽样分析显示：从被攻击次数来看，约33.7%（三分之一）的被攻击网站为没有ICP/IP 备案的非法网站（不包括合法境外网站），数量占比最高。这些被攻击的非

法网站提供的服务主要是游戏私服、色情信息和网上赌博等。排在第二位的被攻击网站类型是在线服

务类网站，占比为27.5%，主要包括门户网站、新闻网站和生活服务类网站等。排在第三至第五的

网站类型分别是企业网站，网络服务和生活娱乐。详细信息参见表1。其中，网络服务是指DNS、

CDN、云服务、大数据服务等基础网络服务。

DDOS攻击地下产业链

表1 DDoS 攻击网站类型分布

被攻击网站流量损失的比例分布情况

攻击强度

在监测到的所有DDoS 攻击中，70.5% 的攻击带宽小于1Mbps，而小于

10Mbps 的攻击占比接近90%。100Mbps-1Gbps 的攻击仅占2.2%，而大于1Gbps 的攻击则仅

占0.2%。

而从攻击时长来看，近七成的DDoS 攻击持续时间小于10 分钟，而持续时间在10 分钟-1 小

时的攻击占比约为30.5%，持续时间超过1 小时的攻击占比仅为0.1%。总体而言，短时、小量的

攻击仍然是DDoS 攻击的主流。下图给出了DDoS 攻击的带宽和时长分布统计。

为了进一步分析DDoS 攻击的时间分布特性。我们对部分网站的业务流量峰值与DDoS 攻击发

生的时间进行了抽样比对分析。统计显示：约有两成（17%）的DDoS 攻击为高精准攻击，攻击时

间与被攻击网站的业务流量高峰时段高度重合，重合度在80% 以上。另有73% 的DDoS 攻击时间

与网站的业务流量重合度在40%-70% 之间。而业务重合度低于30% 的DDoS 攻击，仅占比10%

左右。由此可见，DDoS 攻击具有很强的策略性和针对性。

僵尸网络

一、僵尸网络地域分布

DDoS 攻击主要由受控的僵尸网络发动。统计显示，在世界范围内（不含中国），南美洲的委

内瑞拉和美国是最为主要的僵尸网络攻击源，在攻击源头中占比分别高达33.4% 和32.4%。其它的

僵尸网络则主要集中在印度尼西亚、日本、新加坡、泰国、越南、印度、马来西亚等亚洲沿海国家。

下面两图给出了全球僵尸网络的国家分布情况。

而从国内的僵尸网络情况来看，广东是僵尸网络最多的省级行政区，国内占比高达14.5%。其

次是浙江7.7%，河南6.3%，北京、四川紧随其后。

下面两图给出了国内僵尸网络的地域分布情况。

二、僵尸网络的操控

2015 年全年，360 威胁情报中心共监测到僵尸网络主控服务器13599 个。这些主控服务器是

大量僵尸网络的控制者，可以称得上是僵尸网络中的僵尸王。

通过对僵尸网络主控服务器的追踪分析显示：有45.0% 主控服务器会使用固定IP 地址，而另

外的55.0% 的主控服务器则会使用固定域名。此外，约有27.7% 的主控服务器的生存周期不满1 天；

生存周期在2 天至一周的约占比15.9%；生存周期在一周以上，一个月一下的为22.1%。另有7%

以上的主控服务器生存周期超过半年，更有1.2% 的主控服务器生存周期超过一年。总体而言，主控

服务器的生存周期比一般的木马网站或钓鱼网站（生存周期通常不超过48 小时）要长得多，这也就

为我们定位、追踪僵尸网络提供了更多的机会。

从端口来看，约有16.7% 的僵尸网络主控服务器选择一些特殊端口号来进行自我身份伪装。其中，

伪装成系统服务，即端口号在1-1024 之间（不包括80，443）的主控服务器占比为9.5%，伪装

成网站的（80、8000、8080、443 等）的为7.2%：80 占2.9%，8000 占1.1%，8080 占1.0%，

443（伪装成加密网站）占2.3%。

从尸王级主控服务器的全球地域分布来看，中美俄排名前三：44.3% 的主控服务器在中国境内；美国则是最大的海外控制源，占比为19.8%；俄罗斯排第三，占比为6.8%。

从尸王级主控服务器的境内分布来看，江苏的主控服务器数量最多，占比为27.6%；广东次之，

占比为17.5%，香港位列第三，占比为8.3%。

此外，监测还显示，僵尸网络之间也存在着“黑帮械斗”和“联手结盟”的情况。我们即能看到

几个分属不同派别的僵尸网络有相互攻击的明显迹象，同时也能看到分属不同派别的僵尸网络会在一

定时间内突然同时对同一目标发动攻击。

造成这种情况的主要原因有两个方面，一个是黑产之间本来就存着相互竞争与合作的关系；二是

黑产的攻击行动往往取决于金主的需求和意图：同一个金主同时雇佣了不同派系的DDoS 黑帮，不

同派系的僵尸网络就会呈现出协同合作的态势；而相互斗争的金主分别雇佣不同派系的DDoS 黑帮

进行相互攻击，就有可能出现不同派系的僵尸网络相互攻击的情况。

DDOS攻击类型

从技术角度看，SYN Flood、UDP Flood 和DNS Flood 是最主要的三种攻击类型，从攻击次

数来看，总占比接近98.9%。SYN Flood 攻击仍然是最为主要的攻击方式，占DDoS 攻击总量的

55.6%，超过半数；其次是UDP Flood，占比为37.5%，其中绝大多数为AMP 攻击；DNS Flood

占比为5.78%。

下图给出AMP 攻击的一些细分类型的分布情况。其中，NTP 攻击占比最高，为45.0%，其次

是SSD，占比为34.6%，两者之和约占AMP 攻击总量的80%。

下图给出了不同类型DDoS 攻击的24 小时时间分布对比情况。其中可以看出，在2015 年的

DDoS 攻击中，SYN Flood 与AMP（UDP Flood）攻击在一天24 小时中的分布都比较均匀，并

没有攻击量特别突出的时段。但DNS Flood 则比较明显的主要集中在深夜和凌晨。

下图给出了不同类型DDoS 攻击的攻击时长分布对比。总体来看，不同类型的DDoS 攻击，攻

击时长的分布差异不大。

下图给出了DDoS 攻击黑色产业链的基本模型分析。

木马作者：研发用于DDoS 攻击的后门程序及网站渗透工具的人。这些人通常并不直接参与

DDoS 攻击，而是直接把自己研发的木马程序卖给专门从事各种网络攻击的其他黑客。

网络黑客：此处特指那些专门通过入侵网站或其他网络服务系统，并在其中植入 DDoS 攻击后

门程序的黑客。这些黑客入侵网站的主要手段有两种：一是通过传播木马程序逐步渗透，并最终获取

网站的控制权；二是利用网站漏洞，直接入侵网站并获取控制权。而一旦DDoS 后门植入成功，相

关网站或网络就成为了僵尸网络。

地下承包商：这是专门将网络黑客，以及黑客手中的僵尸网络组织起来参与DDoS 攻击黑产活

动的团伙。他们从下游的网络黑帮手中承接任务，并分派给上游指定的网络黑客，进而通过僵尸网络

发动DDoS 攻击。某些地下承包商还会搭建某种形式的交易平台，用于协调和组织网络黑客。

网络黑帮：专门在互联网上承揽各种DDoS 攻击业务并收取服务费的黑帮团伙。网络黑帮收取

服务费后还会进行洗钱及与上游各个环节进行分赃的工作。某些网络黑帮甚至会公然搭建销售平台或

相关网页来承接各种用户业务。

下图就是我们在某个专门承揽DDoS 攻击业务的网站上下载的一份收费清单。从图中可以看

出，该平台提供的服务非常细致，可以根据攻击的带宽和攻击的天数来进行差异化的收费。最便宜的

50M 包日服务，仅需30 元，100M 包月服务也只有500 元。但这样的攻击，已经足以让某些中小

网站被打瘫或打死。

同时，该平台还能提供40G 以上的超大流量攻击，其包月服务价也只有16800 元。而如果该

平台确实能够提供40G 带宽攻击的包月服务，那么可以说，绝大多数的中小网站，甚至是某些大型

网站都一定会被打死。从这个意义上说，只要肯花16800 元，你几乎可以“雇凶”杀死任何一家网站。

总结 ：DDoS攻击是协奏、分布更为广泛的大规模攻击阵势，破坏能力也是空前的，这使我们更深刻地认识到仅仅依靠某种系统或硬防服务器来防御DDoS攻击是不够的，应当把防御DDoS做成一个系统工程，全面考虑并作出部署，才能起到有效的防御作用。