2018年，阿裡雲安全團隊監測到雲上DDoS攻擊發生近百萬次，日均攻擊2000餘次。目前阿裡雲承載着中國40%網站，為全球上百萬客戶提供基礎安全防禦。可以說，阿裡雲上的攻防态勢是整個中國攻防态勢的縮影。

基于2018.1.1-12.31阿裡雲上的DDoS攻擊資料，阿裡雲安全團隊從DDoS攻擊事件、僵屍網絡中控、DDoS殭屍電腦等多個次元做了統計分析，希望為政府和企業客戶提供參考價值。

核心觀點

由于篇幅限制，本文僅截取了兩個典型攻擊案例在此分享，擷取完整版報告請點選下方連結：

流量最大案例

2018年9月，阿裡雲雲盾高防産品接入了一個遊戲客戶。業務上線後不久，該客戶就頻繁遭到DDoS攻擊，平均每天要遭受兩次10G左右的DDoS攻擊，在阿裡雲DDoS高防的防護下，對業務并未産生影響。

10月13日，阿裡雲監測到該客戶遭受的攻擊峰值流量達到了430Gbps；3天後，攻擊者調動了更多資源，希望一次性将業務置于死地；10月16日淩晨，該客戶再次遭受DDoS攻擊，流量峰值達到1.022Tbps，pps峰值則達到了6.9億。

收到攻擊告警之後，阿裡雲安全團隊檢查攻擊情況及客戶業務狀況，雲盾高防運作平穩，攻擊流量在可控範圍内，攻擊手法為大流量SYN_flood攻擊，含SYN畸形包、SYN小包等，與此同時，大流量攻擊還未停止。

後續3天，又發生了幾次600G左右攻擊，均未對業務造成威脅。

遊戲行業一直是DDoS攻擊的重災區，阿裡雲上的遊戲客戶同樣面臨着大流量攻擊和連接配接耗盡型攻擊的威脅。

2018年7月14日11:47，某遊戲客戶遭受到大規模的四層連接配接耗盡型攻擊，雲盾高防通過智能防護子產品檢測到四層業務攻擊并啟動自動防護功能，通過高頻次殭屍電腦處置子產品和惡意内容檢測子產品下發處置，CC攻擊流量被完全壓制，客戶業務恢複正常。

收到攻擊告警之後，從攻擊資料看，黑客動用了20萬+的殭屍電腦資源，攻擊手法為建連之後向伺服器發起高頻率的惡意請求，并帶有随機Payload，攻擊建立峰值超過了170Wcps。

從上述案例可以看出，DDoS攻擊防護的形勢在發生着變化。一方面是反射源的治理，防護手段的演進；另一方面物聯網大軍正逐漸加入到DDoS的這個戰場，攻擊手法也日趨複雜化，攻守雙方的勢力一直保持着動态平衡。如何打破這種平衡，赢取這場戰争的勝利，阿裡雲安全專家給出的建議如下：

抵抗住第一波攻擊，這很重要。從攻防對抗的經驗來看，抵抗住黑客的第一波攻擊至關重要。如果第一次攻擊得手能夠給攻擊方帶來更多信心，反之多次攻占不下，則會使攻擊方信心逐漸喪失。通過尋求專業的DDoS防禦團隊，永遠是被攻擊者成本最低、最有效的選擇。
防守方需要有更成熟的流量排程機制和應對方案。DDoS攻擊峰值越來越大，不斷地重新整理記錄，這對于防護方是一個嚴峻的考驗。僅僅依靠單個節點來化解動則上T的攻擊已經變得越來越不現實。這時就需要新的應對方案和更成熟的流量排程機制，通過近源清洗、流量壓制等技術手段，降低威脅，來力保城門不失。
防守方需要思考如何更快速地恢複業務。防守方是被動的，因為攻擊者永遠在暗處。也許通過事後溯源追查能夠找到幕後真兇，但是在攻防對抗過程中，我們不清楚攻擊者會通過何種方式利用服務的何種弱點發起攻擊。這時防守方就需要考慮如何扭轉這種被動局面。随着大資料技術的發展，機器學習的引入，也許能夠給我們帶來一些機會。通過對正常業務進行模組化，來快速檢測異常，以及采用智能化的技術手段，快速識别惡意行為并進行處置。通過一系列自動化、智能化的手段，快速恢複業務，也是防護方努力的方向。

黑客發起DDoS攻擊，往往是通過侵害别人的正當利益，來使得自己獲益。阿裡雲DDoS高防團隊誕生之初就緻力于消滅網際網路上的DDoS攻擊，隻有真正的防禦住DDoS攻擊，才能消滅網際網路的DDoS，這也是我們一直努力追求的目标。

如果您被DDoS攻擊勒索，阿裡雲提供免費的24小時技術支援服務，為使用者業務保駕護航。

釘釘掃碼，加入阿裡雲DDoS應急群