消費(fèi)者行業(yè)攻擊持續(xù)激增丨Cloudflare 2021年第二季度DDoS攻擊趨勢(shì)報(bào)告

最近幾周發(fā)生了大規(guī)模的勒索軟件和勒索型分布式拒絕服務(wù)攻擊（DDoS）活動(dòng)，干擾了世界各地關(guān)鍵基礎(chǔ)設(shè)施的多個(gè)方面，包括最大的石油管道系統(tǒng)運(yùn)營(yíng)商之一，以及世界最大肉類(lèi)加工公司之一。

2021 年第二季度在 Cloudflare 網(wǎng)絡(luò)上觀察到的 DDoS 攻擊趨勢(shì)描繪了一幅反映全球網(wǎng)絡(luò)威脅整體格局的圖景。

以下是 2021 年第二季度觀察到的 DDoS 攻擊趨勢(shì)的一些亮點(diǎn):

我們對(duì)遭受 DDoS 攻擊的客戶進(jìn)行了調(diào)查，其中超過(guò) 11% 報(bào)稱(chēng)在今年前六個(gè)月內(nèi)收到過(guò)威脅或勒索信威脅。與 2020 年下半年相比，2021 年上半年期間因遭受 DDoS 攻擊而緊急啟用保護(hù)服務(wù)的客戶增加了 41.8%。

針對(duì)政府行政/公共部門(mén)網(wǎng)站的 HTTP DDoS 攻擊增加了 491%，成為僅次于消費(fèi)者服務(wù)的第二大目標(biāo)行業(yè)，針對(duì)后者的 DDoS 活動(dòng)較上一季度增加了684%。

中國(guó)依然是最多 DDoS 攻擊來(lái)源的國(guó)家——源于中國(guó)的每 1000 個(gè) HTTP 請(qǐng)求中，有 7 個(gè)屬于某個(gè)針對(duì)網(wǎng)站的 HTTP DDoS 攻擊；在我們位于中國(guó)的數(shù)據(jù)中心所吸收的每 100 個(gè) IP 數(shù)據(jù)包中，超過(guò) 3 個(gè)屬于某個(gè)針對(duì)暴露網(wǎng)絡(luò)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)層 DDoS 攻擊。

新興威脅包括濫用“每日引用”（QOTD） 協(xié)議的放大 DDoS 攻擊，較上一季度增加了 123%。此外，隨著 QUIC 協(xié)議的采用不斷增加，對(duì) QUIC 的攻擊也繼續(xù)增加——2021 年第二季度攻擊較上一季度激增了 109%。

10-100 Gbps 范圍的網(wǎng)絡(luò)層 DDoS 攻擊數(shù)量環(huán)比增長(zhǎng)了 21.4%。

應(yīng)用層 DDoS 攻擊

應(yīng)用層 DDoS 攻擊，特別是 HTTP DDoS 攻擊，旨在通過(guò)使 HTTP 服務(wù)器無(wú)法處理合法用戶請(qǐng)求來(lái)破壞它。如果服務(wù)器收到的請(qǐng)求數(shù)量超過(guò)其處理能力，服務(wù)器將丟棄合法請(qǐng)求甚至崩潰，從而導(dǎo)致性能損失或合法用戶拒絕服務(wù)事件。

DDoS 活動(dòng)行業(yè)分布情況

2021 年第二季度期間，消費(fèi)者服務(wù)是受攻擊最多的行業(yè)，其次是政府管理和營(yíng)銷(xiāo)/廣告。

DDoS 活動(dòng)來(lái)源國(guó)家/地區(qū)分布

就源自其境內(nèi)的 DDoS 活動(dòng)百分比而言，中國(guó)和美國(guó)繼續(xù)分別位居第一和第二。在中國(guó)，每 1000 個(gè) HTTP 請(qǐng)求中的 7 個(gè)是 HTTP DDoS 攻擊的一部分，而在美國(guó)，這個(gè)數(shù)字為 5。

DDoS 活動(dòng)目標(biāo)國(guó)家/地區(qū)分布

2021 年第二季度觀察到的數(shù)據(jù)表明，美國(guó)和中國(guó)的組織是 HTTP DDoS 攻擊的最主要目標(biāo)。事實(shí)上，每 2000 個(gè)發(fā)送到美國(guó)組織的 HTTP 請(qǐng)求中有 1 個(gè)是 DDoS 攻擊的一部分。

網(wǎng)絡(luò)層 DDoS 攻擊

應(yīng)用層攻擊的目標(biāo)是運(yùn)行最終用戶嘗試訪問(wèn)的服務(wù)的應(yīng)用程序（OSI 模型的第 7 層），網(wǎng)絡(luò)層攻擊則以暴露的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)（例如，內(nèi)聯(lián)路由器和其他網(wǎng)絡(luò)服務(wù)器）和互聯(lián)網(wǎng)鏈路本身為目標(biāo)。

攻擊的規(guī)模分布情況（包速率和比特率）

就比特率而言，2021 年第二季度所觀察到的攻擊中，大部分在 500 Mbps 以下。所有超過(guò) 300 Gbps 的攻擊都發(fā)生在 6 月。同樣，從包速率角度來(lái)看，近 94% 的攻擊都在 50K pps 以下。盡管 1-10M pps 的攻擊僅占觀察到的所有 DDoS 攻擊的 1%，但這個(gè)數(shù)字比上一季度觀察到的數(shù)量增加了 27.5%，表明較大型攻擊也沒(méi)有減少。

攻擊持續(xù)時(shí)間分布

在第二季度，超過(guò) 97% 的 DDoS 攻擊持續(xù)時(shí)間不到一個(gè)小時(shí)。短時(shí)間攻擊可能被用來(lái)探測(cè)攻擊目標(biāo)的網(wǎng)絡(luò)防御情況。在其他情形下，攻擊者會(huì)發(fā)動(dòng)小型 DDoS 攻擊作為證明，用于警告目標(biāo)組織，他們有能力在稍后造成真正的破壞。隨后攻擊者通常會(huì)向目標(biāo)發(fā)送勒索信，要求其通過(guò)支付贖金來(lái)避免遭受可能更徹底破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。這凸顯了需要始終在線的自動(dòng)化 DDoS 保護(hù)方法。

攻擊手段分布

從前幾個(gè)季度中觀察到的情況來(lái)看，利用 SYN 洪水和基于 UDP 協(xié)議的攻擊依然是攻擊者使用最多的方法。

新興威脅

新出現(xiàn)的威脅包括濫用 “每日引用” (QOTD) 服務(wù)的放大 DDoS 攻擊，其環(huán)比增加了 123%。此外，我們還看到 UDP Portmap 和 Echo 攻擊較前一個(gè)季度增長(zhǎng)了 107%——所有這些都是非常古老的攻擊手段?？赡鼙砻鞴粽哒谕诰蚺f方法和攻擊工具來(lái)嘗試克服保護(hù)系統(tǒng)。此外，如我們?cè)谇皫讉€(gè)季度所見(jiàn)， QUIC 協(xié)議的采用繼續(xù)增加。2021 年第二季度，這些類(lèi)型的攻擊環(huán)比增加了 109%。這種持續(xù)的趨勢(shì)可能表明攻擊者正試圖濫用進(jìn)入組織的 QUIC 專(zhuān)用端口和網(wǎng)關(guān)——尋找漏洞和安全漏洞。

DDoS 活動(dòng) Cloudflare 數(shù)據(jù)中心國(guó)家/地區(qū)分布

2021 年第二季度，我們?cè)诤５氐臄?shù)據(jù)中心觀察到最高比例的網(wǎng)絡(luò)層 DDoS 攻擊流量，其次為文萊（每 100 個(gè)數(shù)據(jù)包中有近 3 個(gè)是攻擊的一部分）和中國(guó)。

關(guān)于勒索軟件和勒索 DDoS 的說(shuō)明

過(guò)去幾周，勒索軟件和勒索 DDoS（RDDoS）等勒索驅(qū)動(dòng)的網(wǎng)絡(luò)威脅卷土重來(lái)。

那么什么是勒索軟件和勒索 DDoS，它們有何不同？

勒索軟件是一種惡意軟件，它對(duì)組織的系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行加密，使其無(wú)法訪問(wèn)和使用。惡意軟件一般通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件——誘騙員工單擊鏈接或下載文件——進(jìn)入組織的系統(tǒng)。一旦惡意軟件安裝于員工的設(shè)備上，它就會(huì)對(duì)設(shè)備進(jìn)行加密，并可以傳播到組織服務(wù)器和員工設(shè)備的整個(gè)網(wǎng)絡(luò)。攻擊者通常索要比特幣形式的金錢(qián)，以換取解密組織的系統(tǒng)并恢復(fù)他們?cè)L問(wèn)其系統(tǒng)的權(quán)限。

與勒索軟件攻擊不同，勒索 DDoS 攻擊不會(huì)加密公司的系統(tǒng)；如不支付贖金，攻擊者將使系統(tǒng)下線。使勒索 DDoS 攻擊更加危險(xiǎn)的原因在于，它們不需要攻擊者在發(fā)起攻擊之前訪問(wèn)企業(yè)的內(nèi)部系統(tǒng)。然而，一旦擁有強(qiáng)大的 DDoS 保護(hù)策略，勒索 DDoS 攻擊對(duì)企業(yè)幾乎毫無(wú)影響。

勒索軟件和勒索 DDoS 威脅正在影響全球大多數(shù)行業(yè)—— 金融、運(yùn)輸、石油和天然氣、消費(fèi)品，甚至教育和醫(yī)療保健。

勒索信通常會(huì)發(fā)送到公司在網(wǎng)上公開(kāi)的常用群組電子郵件別名，例如 noc@、support@、help@、legal@、abuse@ 等。一些情況下，勒索信會(huì)進(jìn)入垃圾郵件箱。在其他情況下，我們?cè)吹絾T工將勒索信視為垃圾郵件，增加了組織的響應(yīng)時(shí)間，并導(dǎo)致公司的網(wǎng)絡(luò)資產(chǎn)受到進(jìn)一步破壞。

Cloudflare 向收到威脅或勒索信的組織提出如下建議：

• 不要驚慌失措，建議您不要支付贖金：這樣做只會(huì)助長(zhǎng)攻擊者的氣焰并為其提供資金。而且，無(wú)法保證攻擊者不會(huì)依然發(fā)動(dòng)攻擊。

• 聯(lián)系當(dāng)?shù)貓?zhí)法部門(mén)：準(zhǔn)備好提供勒索信的副本及任何其他日志或數(shù)據(jù)包捕獲。

• 激活有效的 DDoS 保護(hù)策略：基于云的保護(hù)可在發(fā)生威脅時(shí)快速啟動(dòng)，而且有一個(gè)安全專(zhuān)家團(tuán)隊(duì)在您身邊時(shí)，可以快速有效地緩解風(fēng)險(xiǎn)。

Cloudflare 為企業(yè)提供全方位保護(hù)

DDoS 攻擊只是各種組織目前所面臨的諸多網(wǎng)絡(luò)威脅之一。隨著企業(yè)轉(zhuǎn)向零信任方式，網(wǎng)絡(luò)和安全買(mǎi)家將面臨更大的網(wǎng)絡(luò)訪問(wèn)相關(guān)威脅，自動(dòng)程序相關(guān)攻擊和勒索軟件攻擊的頻率和復(fù)雜性也會(huì)持續(xù)激增。

Cloudflare 構(gòu)建產(chǎn)品時(shí)的一個(gè)關(guān)鍵設(shè)計(jì)原則是集成。Cloudflare One 解決方案采用零信任安全模型，為公司提供保護(hù)設(shè)備、數(shù)據(jù)和應(yīng)用程序的更佳手段，并與我們現(xiàn)有的安全性平臺(tái)和 DDoS 解決方案深度集成。事實(shí)上，Cloudflare 提供一個(gè)由全明星產(chǎn)品陣容組成的集成解決方案。

事實(shí)上，Cloudflare 提供一個(gè)由全明星產(chǎn)品陣容組成的集成解決方案，如下為一些例子：

• DDoS：Forrester Wave? 2021 年第一季度 DDoS 緩解解決方案領(lǐng)導(dǎo)者

• WAF：Cloudflare 成為2020年度 Gartner Web 應(yīng)用程序防火墻魔力象限報(bào)告中的挑戰(zhàn)者（在 “執(zhí)行能力” 項(xiàng)目獲得最高排名）

• 零信任：Cloudflare 成為 Omdia 市場(chǎng)雷達(dá)：2020 年零信任訪問(wèn)報(bào)告中的領(lǐng)導(dǎo)者

• Web 保護(hù)：Frost & Sullivan 2020 年全球整體 Web 保護(hù)市場(chǎng)報(bào)告中的創(chuàng)新領(lǐng)導(dǎo)者

Cloudflare 覆蓋全球（并在不斷增長(zhǎng)的）網(wǎng)絡(luò)具有獨(dú)特的優(yōu)勢(shì)，能以無(wú)與倫比的規(guī)模、速度和智能提供 DDoS 保護(hù)和其他安全、性能和可靠性服務(wù)。