2020 年第四季度的 DDoS 攻擊趨勢在許多方面一反常態(tài)����。Cloudflare 觀察到大型 DDoS 攻擊數(shù)量增加,為 2020 年期間首次�。具體而言,超過 500Mbps 和 50K pps 的攻擊數(shù)量大幅上升�。
2020 年第四季度的 DDoS 攻擊趨勢在許多方面一反常態(tài)。Cloudflare 觀察到大型 DDoS 攻擊數(shù)量增加����,為 2020 年期間首次�����。具體而言,超過 500Mbps 和 50K pps 的攻擊數(shù)量大幅上升���。
此外��,攻擊手段也在不斷變化���,基于協(xié)議的攻擊相當(dāng)于上一季度的 3-10 倍。攻擊時間也比以往更長����,在 10 月至 12 月期間觀察到的所有攻擊中,近 9% 的攻擊持續(xù)時間超過 24 小時�。
以下是 2020 年第四季度其他值得注意的觀察結(jié)果,下文將進(jìn)行更詳細(xì)的探討���。
攻擊數(shù)量:第四季度觀察到的攻擊總數(shù)與上一季度相比有所下降����,這是 2020 年的第一次。
攻擊持續(xù)時間:在觀察到的所有攻擊中���,73% 的攻擊持續(xù)時間不到 1 小時�,這與第三季度的 88% 相比有所下降���。
攻擊手段:盡管 SYN���、ACK 和 RST 洪水仍然是主要的攻擊手段,但基于 NetBIOS 的攻擊增長了驚人的 5400%�����,其次是基于 ISAKMP 和 SPSS 的攻擊��。
全球 DDoS 活動:我們位于毛里求斯���、羅馬尼亞和文萊的數(shù)據(jù)中心記錄的 DDoS 活動(相對于非攻擊流量)的百分比最高�����。
其他攻擊策略:DDoS 勒索(RDDoS)攻擊繼續(xù)瞄準(zhǔn)世界各地的組織�,犯罪團(tuán)伙嘗試通過 DDoS 攻擊威脅來獲得比特幣形式的贖金��。
DDoS攻擊數(shù)量
我們觀察到網(wǎng)絡(luò)層 DDoS 攻擊總數(shù)與上一季度相比有所下降,這是 2020 年的第一次���。2020 年第四季度的攻擊數(shù)量占全年的 15%����,相比之下�����,第三季度占 48%��。實際上�����,僅與 9 月相比����,第四季度的攻擊總數(shù)就銳減了 60%��。按月來看��,12 月是第四季度中攻擊者最活躍的月份�。
DDoS攻擊速率
衡量 L3/4 DDoS 攻擊規(guī)模有不同的方法���。一種方法是攻擊產(chǎn)生的流量大小,即比特率(以每秒千兆比特 Gbps 為單位)。另一種是攻擊產(chǎn)生的數(shù)據(jù)包數(shù),即數(shù)據(jù)包速率(以每秒數(shù)據(jù)包數(shù) pps 為單位)�����。高比特率的攻擊試圖使目標(biāo)的最后一英里網(wǎng)絡(luò)鏈接飽和����,而高數(shù)據(jù)包速率的攻擊則試圖使路由器或其他內(nèi)聯(lián)硬件設(shè)備不堪重負(fù)�。
在第四季度,與前幾個季度一樣�,大多數(shù)攻擊的規(guī)模都很小。具體而言�,大多低于 1 Gbps 和 1 Mpps。這種趨勢并不奇怪����,因為大多數(shù)攻擊都是由業(yè)余攻擊者發(fā)起的,他們使用的工具都很簡單����,最多只需要幾美元。另外,小規(guī)模攻擊也可能作為煙幕���,用于分散安全團(tuán)隊對其他類型網(wǎng)絡(luò)攻擊的注意����,或者用于測試網(wǎng)絡(luò)的現(xiàn)有防御機(jī)制�。
然而,小規(guī)模攻擊總體上常見并未反映第四季度的全部情況����。與前幾個季度相比,超過 500 Mbps 和 50 K pps 的攻擊占總攻擊數(shù)的比例更高����。實際上�����,與第三季度相比����,超過 100 Gbps 的攻擊數(shù)量增加了 9倍,超過 10 Mpps 的攻擊數(shù)量增加了 2.6 倍�。
Cloudflare 觀察到一次獨(dú)特的大型攻擊是 ACK 洪水 DoS 攻擊,我們的系統(tǒng)自動檢測并緩解了這次攻擊。這次攻擊的獨(dú)特之處不在于數(shù)據(jù)包速率最大�����,而是其攻擊方式似乎借鑒于聲學(xué)領(lǐng)域�。
從上圖中可以看出,攻擊的數(shù)據(jù)包速率在超過 19 個小時的時間內(nèi)呈波浪形����。攻擊者似乎受到了拍頻(beat)這一聲學(xué)概念的啟發(fā)。因此���,我們將此類攻擊命名為“拍頻”攻擊����。在聲學(xué)領(lǐng)域����,拍頻是用于描述兩個不同波頻之間干擾的術(shù)語。您可以在我們的以下博客文章中了解有關(guān)“拍頻”攻擊的更多信息:拍頻 - 為 DDoS 攻擊提供靈感的聲學(xué)概念�。
無論是數(shù)據(jù)包密集型攻擊還是比特密集型攻擊,大型 DDoS 攻擊數(shù)量的增加都是令人不安的趨勢���。這表明攻擊者變得愈加肆無忌憚�����,并在使用讓他們可以發(fā)起更大型攻擊的工具���。更糟糕的是����,較大型攻擊往往不僅影響到目標(biāo)網(wǎng)絡(luò)��,還會影響為目標(biāo)網(wǎng)絡(luò)下游提供服務(wù)的中間服務(wù)提供商����。
攻擊持續(xù)時間
在 2020 年第四季度,73% 的攻擊持續(xù)時間不到 1 小時�。另一方面,近 9% 的攻擊持續(xù)時間超過 24 小時���,相比之下,2020 年第三季度僅為 1.5%��。這種增長使得更有必要采用實時和始終開啟的防御系統(tǒng)����,以防止各種規(guī)模和持續(xù)時間的攻擊。
攻擊手段
攻擊手段是用于描述攻擊方式的術(shù)語。最常見的方式是 SYN 洪水攻擊��,占第三季度觀察到的所有攻擊的近 42%�����,其次是 ACK����、RST 和基于 UDP 的 DDoS 攻擊。這與前幾個季度觀察到的情況相對一致��。但是�,ACK 攻擊數(shù)量從第三季度時的第 9 位躍升至第 2 位,比上一季度增加了 12 倍�����,取代了 RST 攻擊的第 2 位�����。
主要新型威脅
盡管 SYN 和 RST 洪水等基于 TCP 的攻擊仍然流行�����,但針對特定 UDP 協(xié)議的攻擊(如基于 NetBIOS 和 ISAKMP 的 DDoS 攻擊)與上一季度相比呈爆發(fā)式增長。
NetBIOS 是一種協(xié)議��,允許不同計算機(jī)上的應(yīng)用程序通過局域網(wǎng)進(jìn)行通信和訪問共享資源���;ISAKMP 也是一種協(xié)議���,用于在設(shè)置 IPsec VPN 連接時建立安全關(guān)聯(lián)(SA)和加密密鑰(IPsec 使用互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)議確保安全連接,并對通過互聯(lián)網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包進(jìn)行身份驗證和加密)���。
Cloudflare 繼續(xù)觀察到攻擊者采用基于協(xié)議的攻擊���,甚至是多手段攻擊來嘗試使網(wǎng)絡(luò)癱瘓。隨著攻擊復(fù)雜性不斷提高�,我們需要采取足夠的 DDoS 保護(hù)措施,以確保組織始終保持安全和在線狀態(tài)�。
全球DDoS攻擊活動地理分布
為了了解這些攻擊的來源,我們查看接收這些流量的 Cloudflare 邊緣網(wǎng)絡(luò)數(shù)據(jù)中心����,而不是源 IP 的地址。原因何在��?在發(fā)動 L3/4 攻擊時���,攻擊者可以偽造源 IP 地址���,以掩蓋攻擊來源。
在本報告中��,我們還將某個 Cloudflare 數(shù)據(jù)中心觀察到的攻擊流量與同一數(shù)據(jù)中心觀察到的非攻擊流量進(jìn)行對比�����,以了解地域分布情況���。這使我們能夠更準(zhǔn)確地確定那些觀察到更多威脅的地理位置�。由于在全球 100 多個國家/地區(qū)的 200 多個城市設(shè)有數(shù)據(jù)中心�,我們能夠在報告中提供準(zhǔn)確的地理位置信息。
在第四季度的指標(biāo)中���,有一些耐人尋味之處:在我們位于毛里求斯�、羅馬尼亞和文萊的數(shù)據(jù)中心���,所記錄的攻擊流量相對于非攻擊流量的百分比最高���。具體而言�,在這些國家/地區(qū)的所有流量中�����,有 4.4% 至 4.9% 來自 DDoS 攻擊�����。換句話說���,每 100 字節(jié)中有近 5 字節(jié)屬于攻擊流量����。這些觀察結(jié)果表明���,以上國家/地區(qū)的僵尸網(wǎng)絡(luò)活動有所增加��。
01
非洲D(zhuǎn)DoS活動
02
亞太地區(qū)和大洋洲D(zhuǎn)DoS活動
03
歐洲地區(qū)和大洋洲D(zhuǎn)DoS活動
04
中東地區(qū)DDoS活動
05
北美地區(qū)DDoS活動
06
南美地區(qū)DDoS活動
07
美國地區(qū)DDoS活動
Cloudflare DDoS防護(hù)
Cloudflare 提供全面的 L3-L7 DDoS 保護(hù)����。2017 年����,我們率先取消了針對 DDoS 攻擊的行業(yè)標(biāo)準(zhǔn)激增定價�����,為客戶提供不計量和無限的 DDoS 保護(hù)。自那時以來���,我們吸引了數(shù)以千計各種規(guī)模的客戶���,其中包括 Wikimedia、Panasonic 和 Discord�,這些組織都依賴 Cloudflare 保護(hù)并加速其互聯(lián)網(wǎng)資產(chǎn)。他們選擇 Cloudflare 的三大原因:
不設(shè)清洗中心
Cloudflare 的網(wǎng)絡(luò)架構(gòu)使每個數(shù)據(jù)中心的每臺機(jī)器都可以執(zhí)行 DDoS 緩解��。在邊緣進(jìn)行緩解是在不影響性能的前提下實現(xiàn)大規(guī)模防護(hù)的唯一方法�����?�;?Anycast 的架構(gòu)使我們的容量等同于我們的 DDoS 清洗能力�,達(dá)到 51 Tbps,在市場中居第一位���。
速度至關(guān)重要
Cloudflare 地理分布式網(wǎng)絡(luò)確保全球范圍內(nèi)檢測和緩解攻擊的平均時間不超過 3 秒����,在業(yè)界處于領(lǐng)先地位。
不止于DDoS攻擊
DDoS 攻擊只是各種組織目前所面臨的諸多網(wǎng)絡(luò)威脅之一����。隨著企業(yè)轉(zhuǎn)向零信任方式,網(wǎng)絡(luò)和安全性買家將面臨更大規(guī)模的網(wǎng)絡(luò)訪問相關(guān)威脅����,機(jī)器人攻擊的頻率和復(fù)雜性也會持續(xù)激增。Cloudflare One 解決方案采用零信任安全模型��,為公司提供保護(hù)設(shè)備�����、數(shù)據(jù)和應(yīng)用程序的更佳手段�,并與我們現(xiàn)有的安全性平臺和 DDoS 解決方案深度集成。
立即登錄���,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Cloudflare,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任�����。文章內(nèi)容系作者個人觀點(diǎn)�����,不代表快出海對觀點(diǎn)贊同或支持��。如有侵權(quán)���,請聯(lián)系管理員(zzx@kchuhai.com)刪除!
閩公網(wǎng)安備 35010202001226號
