从2016年开始，NETSCOUT ASERT观察到对手针对整个CIDR块而不是单个IP地址发起DDoS攻击，这种现象被称为地毯式轰炸DDoS攻击（也称之为扫段攻击）。地毯式轰炸是一个军事用语，指像在地板上铺地毯一样地使用大量的无制导炸弹覆盖轰炸某一地域，杀伤和摧毁该地域的人员、装备。在DDoS攻击领域，地毯式轰炸这种目标方法旨在使防御者检测和分类入站的DDoS攻击更具挑战性，因为大多数DDoS防御系统仅依赖于为特定主机设置的每秒包数（pps）和/或每秒比特数（bps）阈值来检测入站DDoS攻击流量。而地毯式轰炸DDoS攻击通过将攻击流量分散到一个或多个更大的子网或超级网络，攻击者希望避免触发DDoS攻击警报，使防御者了解他们受到攻击的能力复杂化，并使他们更难以缓解这些攻击，以及混淆攻击的预期目标。迄今为止观察到的几乎所有地毯式轰炸攻击都使用了众所周知的反射/放大DDoS攻击载体，如DNS、NTP和TCP反射/放大。

利用TCP反射/放大的地毯式轰炸攻击已被用于针对无线和有线宽带接入网络，缺乏高级DDoS防御系统的防御者可能会发现，很难将入站的攻击流量与出站的Web浏览和其他普通用户活动的合法响应区分开来。最初，这些攻击只针对少数几个国家，但迅速扩展到世界其他地区。

分析

为了识别地毯式DDoS攻击，NETSCOUT的ASERT团队不仅分析来自ATLAS Visibility程序的DDoS攻击警报，还分析了专门配置的DDoS反射/蜜罐，这为我们提供了对攻击动态的详细了解。这种对全球地毯式攻击的可见性使我们能够在产品特性和增强方面做出明智的决定，以对抗这种技术。此外，我们使用收集到的数据来详细了解攻击的特征，我们将在下面进行分析描述。

地毯式轰炸攻击的规模

DDoS攻击者用来攻击目标的最常见的方法是对他们选择的单个IP地址发送他们可以启动的最大攻击。几十年来，这一直是主要的选择，导致大多数DDoS解决方案通过基于主机的监控来解决这个问题，但这不足以检测和缓解大多数的地毯式攻击。如果攻击者要对单个主机发起100 Gbps的攻击，世界上几乎每个服务提供商都可能在流量到达目标之前检测到并缓解流量。然而，如果同一个攻击者决定使用地毯式轰炸技术，他们仍然可以发动100 Gbps的攻击，但同时针对的是1000台主机，这将导致每台主机接收到12.5 Mbps的流量，避免了DDoS检测系统中几乎所有的带宽阈值，但导致网络上的整体流量相同。虽然攻击者想要摧毁的特定主机可能不会遭受到整个流量洪流，但由于地毯式DDoS 使整个CIDR块饱和，整个网络可能会遭受降级或中断。

地毯式轰炸攻击的持续时间

这些攻击大多是相对短暂的，其中高达90%的攻击会持续一分钟。出于避免攻击被检测到的愿望，以及用于启动它们的DDoS租用服务的经济性，都可能导致短时间攻击的流行。大多数Booter/Stresser服务允许以合理的价格（有时是免费的）对单个主机进行攻击，然而，没有多少能够在不支付额外费用的情况下同时瞄准多个目标IP。因此，许多持续时间较长的攻击可能是由更老练、更持久的攻击者实施的，而不是投机取巧的玩家试图让对手离线。当然，也有例外，我们看到一次攻击持续长达24小时。

地毯式轰炸的攻击频率和目标

NETSCOUT的反射/放大蜜罐平均每天看到6000次地毯式DDoS攻击，这意味着自2023年7月以来超过40万次地毯式轰炸攻击，这是一个保守的数字，因为我们在本分析中只考虑了非TCP反射/放大地毯式轰炸攻击。此外，我们的ATLAS系统平均每天对大约740次高带宽地毯式轰炸攻击进行分类（如图1）。虽然这与我们的反射/放大蜜罐观察结果相比似乎很小，但请注意，ATLAS系统主要分析的是服务提供商网络中生成的警报，其中带宽阈值可能仅在单个主机接收到多Gbps的特定类型的反射/放大DDoS攻击流量后才会触发。

图1：ATLAS观测到的地毯式轰炸攻击数量

在每次地毯式攻击中，我们看到平均数百台主机被攻击，但我们也看到在一次攻击中多达8000个IPv4地址被攻击。我们经常在全球范围内观察到地毯式轰炸，反射/放大攻击在Tbps范围内。经过与客户的对话和对同行报告的分析，ASERT达成了共识：2023年地毯式轰炸袭击的数量大幅增加，每年的增幅从30%到50%不等。

地毯式DDoS攻击是一个全球性的问题，影响到许多不同的国家，有一些突出的目标。从2023年下半年到2024年，美国、巴西、香港和中国大陆最常成为地毯式轰炸的目标。（如图2和图3）

图2：由NETSCOUT蜜罐观察到的不同时段地毯式轰炸攻击目标

图3：由ATLAS系统观察到的的不同时段地毯式轰炸攻击目标

结论

地毯式DDoS攻击带来了DDoS检测和缓解的范式转变。这种攻击的目标方法跨越了全球的目标，并运行了不同的载体范围，使它们成为一个非常危险的威胁，需要特别注意作为威胁来消除。NETSCOUT Sightline/TMS DDoS防御解决方案的最新创新使服务提供商能够应用新的检测机制来检测日益增长的地毯式轰炸攻击。像AED这样的始终在线的解决方案提供了实时的数据包级别的保护，以防止这些攻击。地毯式轰炸无处不在，我们必须确保有足够的保护措施来应对这些饱和网络带宽的分布式攻击。