權威報告 | 2024年全球DDoS攻擊態勢分析

在智能化轉型的浪潮中，企業對網絡的依賴程度與日俱增。與此同時，DDoS攻擊以其迅猛的增長態勢、複雜的攻擊手法，成為2024年突出的網絡安全威脅。且隨着AI大模型的熱度一路飆升，大模型成為新的DDoS攻擊目標，一旦遭受攻擊，不僅可能導致大模型服務癱瘓，還可能牽連企業核心業務中斷，進一步凸顯出DDoS攻擊防禦工作的緊迫性與嚴峻性。對此，天翼安全科技有限公司、聯通數科安全、中國移動卓望公司、百度安全、Nexusguard、清華大學、電子科技大學、華為聯合發佈《2024年全球DDoS攻擊態勢分析》報告，深入剖析2024年DDoS攻擊態勢，助力廣大企業洞察風險，築牢網絡安全防線。

攻擊規模：超大規模攻擊井噴，攻防對抗加劇

超大規模的DDoS攻擊數量急劇增加，給企業的防禦成本帶來沉重負擔。在中國，2024年超 800Gbps的攻擊多達771次；單IP攻擊峯值帶寬達到 5.6Tbps，峯值包速率2,100Mpps，互聯網史上最大攻擊紀錄被刷新；掃段攻擊峯值帶寬也攀升至1.7Tbps。超大規模攻擊井噴，要求企業網絡邊界部署的高性能防禦設備必須具備端雲協同能力，智能調度運營商執行近源雲清洗。​

攻擊速度：瞬時泛洪攻擊秒級加速，挑戰防禦系統響應速度**​

瞬時泛洪攻擊的流量峯值帶寬以秒級速度迅速攀升，對防禦系統的響應速度構成嚴峻挑戰。攻擊爬升至T級僅需10秒，傳統的基於Flow檢測的防禦系統難以在短時間內做出有效應對，導致服務中斷，帶來巨大經濟損失，逐包檢測技術及智能協防方案成為解決之道。​

攻擊複雜度：複雜度持續攀升，傳統防禦舉步維艱**​

應用層加密攻擊成為主流。在應用層攻擊中，加密攻擊佔比高達62.11%，攻擊者藉助加密技術隱藏攻擊特徵，使得防禦難度大幅增加；解密防禦性能瓶頸愈發突出。此外，掃段攻擊依舊是網絡基礎設施的最大威脅。46.83%的掃段攻擊呈低速態勢，能夠巧妙繞過傳統檢測算法的檢測。28.29%的單個C段攻擊持續時間小於30分鐘，對防禦系統的自動化處置能力提出更高要求；此外，95.68%的掃段攻擊採用混合攻擊手法，多種攻擊方式相互配合，進一步增大了防禦的難度。為應對複雜攻擊，有效保護互聯網應用和網絡基礎設施，就要求防禦技術持續演進，優秀的抗D系統不僅要具備高性能的加密攻擊防禦能力，如基於行為分析的不解密防禦，而且還需具備快速識別和精準處置掃段攻擊的能力。​

攻擊目標：競爭激烈及關係國計民生的行業攻擊頻發，關基企業風險重重**​

針對關鍵信息基礎設施企業的網絡安全威脅不容小覷。在中國，傳媒和互聯網、政府和公共事業、金融、教育依然是DDoS攻擊的TOP4目標行業。值得關注的是，金融行業的攻擊頻次連續三年呈增長態勢。金融行業關係國計民生，對服務可用性要求極高，DDoS攻擊導致業務卡頓甚至訪問中斷，會造成難以估量的經濟損失。要求關基企業必須構築堅不可摧的DDoS防禦體系架構。

面對2024年DDoS攻擊的複雜形勢，網絡安全防禦領域需要從檢測技術、防禦模型及策略編排、防禦體系架構等多個層面進行智能化革新。

檢測技術方面，瞬時泛洪與複雜向量攻擊相疊加，要求檢測系統兼具秒級攻擊識別能力和多維度檢測能力，既能快速識別攻擊，又能準確區分業務流量突發與攻擊突發。為此，網絡安全廠商持續優化逐包檢測和路由器隨路檢測技術，推動攻擊檢測時延縮短至秒級，同時將誤告警率控制在5%以下，確保防禦的及時性與業務的連續性。

防禦模型及策略編排方面，攻防對抗已步入自動化、智能化階段，攻擊工具演變成高度集成的自動化平台，這就要求防禦系統同樣具備自動化、智能化的攻擊處置能力。在“和平時期” 自主學習並建立業務流量基線模型；“戰時”即時分析攻擊特徵，基於大模型實現動態防禦策略編排，將防禦成功率提升至95%以上，擺脱被動防禦的困境。

防禦體系架構方面，掃段攻擊的兩極化，嚴重威脅網絡基礎設施，為提升安全防護的整體效能，降低網絡帶寬擁塞風險，傳統的On-premises防禦逐步被新型防禦體系替代。中小企業可遷移業務至公有云，藉助其原生安全防護能力抵禦攻擊，或通過運營商安全專線進行防禦；大型企業則採用On-premises防禦與運營商近源防禦相結合的分層協同架構，提升安全防護的整體效能，降低網絡帶寬擁塞風險。（趙華）