Cloudflare：DDoS攻擊只增不減！丨2021年第三季度DDoS攻擊趨勢報告

2021 年第三季度期間的 DDoS 攻擊者非常活躍。在世界各地，Cloudflare 觀察并緩解了創(chuàng)紀(jì)錄的 HTTP DDoS 攻擊，TB 級網(wǎng)絡(luò)層攻擊，歷來最大規(guī)模的僵尸網(wǎng)絡(luò)之一（Meris），還有最近針對 VoIP 服務(wù)提供商及其網(wǎng)絡(luò)基礎(chǔ)設(shè)施的勒索 DDoS 攻擊。如下為 2021 年第三季度攻擊趨勢的總結(jié)：

應(yīng)用層（L7）DDoS 攻擊趨勢現(xiàn)狀總結(jié)

1.美國境內(nèi)的公司仍為世界上受到最多攻擊的目標(biāo)；

2.針對英國和加拿大公司的攻擊大幅增加，分別成為第二大和第三大目標(biāo)；

3.針對計算機(jī)軟件、游戲/博彩、IT 和互聯(lián)網(wǎng)公司的攻擊比前一季度平均增加了 573%；

4.Meris 是歷史上最強(qiáng)大的僵尸網(wǎng)絡(luò)之一，它參與了在多個行業(yè)和國家發(fā)起的 DDoS 攻擊活動。

網(wǎng)絡(luò)層（L3/4）DDoS 攻擊趨勢現(xiàn)狀總結(jié)

1.與上一季度相比，全球 DDoS 攻擊增加了44%；

2.中東和非洲的攻擊平均增幅最大，達(dá)到約 80%；

3.摩洛哥第三季度的 DDoS 攻擊活動居全球最高水平；

4.雖然 SYN 和 RST 攻擊依然是攻擊者使用的主要攻擊方法，Cloudflare 觀察到 DTLS 放大攻擊顯著增加，環(huán)比增長 3549%。

5.攻擊者對 VoIP 服務(wù)提供商發(fā)起了大規(guī)模 DDoS 攻擊，試圖破壞 SIP 基礎(chǔ)設(shè)施。（這種情況持續(xù)到今年第四季度。）

應(yīng)用層 DDoS 攻擊

應(yīng)用層 DDoS 攻擊，特別是 HTTP DDoS 攻擊，旨在通過使 HTTP 服務(wù)器無法處理合法用戶請求來破壞它。如果服務(wù)器收到的請求數(shù)量超過其處理能力，服務(wù)器將丟棄合法請求甚至崩潰，導(dǎo)致對合法用戶的服務(wù)性能下降或中斷。

2021 年第三季度期間，Meris 活動引人關(guān)注，發(fā)動了一些歷來規(guī)模最大的 HTTP DDoS 攻擊。在第三季度，我們觀察到有記錄以來最大的 HTTP 攻擊之一，每秒請求數(shù)高達(dá) 1720 萬，目標(biāo)是金融服務(wù)行業(yè)的客戶。在發(fā)動這些攻擊的網(wǎng)絡(luò)中就部署了 Meris——有史以來最強(qiáng)大的僵尸網(wǎng)絡(luò)之一。

應(yīng)用層 DDoS 攻擊：行業(yè)分布

科技和游戲行業(yè)是 2021 年第三季度受到最多攻擊的行業(yè)。按行業(yè)分析應(yīng)用程序?qū)庸魰r，計算機(jī)軟件公司高居榜首。游戲/博彩行業(yè)（在線攻擊的典型目標(biāo)）緊隨其后，位居第二，互聯(lián)網(wǎng)和 IT 行業(yè)居第三位。

應(yīng)用層 DDoS 攻擊：來源國家/地區(qū)分布

2021 年第三季度期間，大部分攻擊源于中國、美國和印度境內(nèi)的設(shè)備/服務(wù)器。雖然中國仍然位居榜首，但來自中國 IP 的攻擊數(shù)量實際上比上一季度減少了 30%。接近每 200 個來自中國的 HTTP 請求中就有一個是 HTTP DDoS 攻擊的一部分。此外，來自巴西和德國的攻擊較前一季度減少了 38%。源于美國和馬來西亞的攻擊分別減少了 40% 和 45%。

應(yīng)用層 DDoS 攻擊：目標(biāo)國家/地區(qū)分布

位于美國的組織今年連續(xù)第二次成為 L7 DDoS 攻擊的最大目標(biāo)，其次為英國和加拿大。

網(wǎng)絡(luò)層 DDoS 攻擊

應(yīng)用層攻擊的目標(biāo)是最終用戶嘗試訪問的服務(wù)所在的應(yīng)用程序（OSI 模型的第 7 層），而網(wǎng)絡(luò)層攻擊以網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)（例如聯(lián)網(wǎng)路由器和服務(wù)器）和互聯(lián)網(wǎng)鏈路本身為目標(biāo)。

Mirai 變種僵尸網(wǎng)絡(luò)，峰值流量達(dá)到 1.2 Tbps。一個 Mirai 變種僵尸網(wǎng)絡(luò)發(fā)動了十多次基于 UDP 和 TCP 的DDoS 攻擊，峰值流量多次超過 1.0 Tbps，最大峰值流量達(dá)到1.2 Tbps。這些攻擊的目標(biāo)是 Magic Transit 和 Spectrum 服務(wù)的客戶。目標(biāo)之一是亞太地區(qū)的一家大型互聯(lián)網(wǎng)服務(wù)、電信和托管服務(wù)提供商。另一個目標(biāo)是一家游戲公司。這幾次攻擊，全部被我們自動檢測并緩解，無需人工干預(yù)。

網(wǎng)絡(luò)層 DDoS 攻擊：月份分布

到目前為止，9 月是今年攻擊最活躍的一個月。2021 年第三季度占今年攻擊總數(shù)的 38% 以上。9 月是 2021 年迄今攻擊最多的月份，占全年攻擊總數(shù)的 16% 以上。

網(wǎng)絡(luò)層 DDoS 攻擊：攻擊速率分布

雖然（總體而言）大多數(shù)攻擊確實較小，但“較大”攻擊的數(shù)量正在增加。這表明，更多攻擊者控制更多資源來發(fā)動較大型的攻擊。

高比特率的攻擊試圖使互聯(lián)網(wǎng)鏈路飽和，而高數(shù)據(jù)包速率的攻擊會使路由器或其他聯(lián)網(wǎng)硬件設(shè)備不堪重負(fù)。耐人尋味的是，所有超過 400 Gbps 的攻擊都發(fā)生在 8 月份，包括我們見過的一些最大型攻擊：多次攻擊峰值都超過 1 Tbps，最高達(dá)到 1.2 Tbps。

網(wǎng)絡(luò)層 DDoS 攻擊：持續(xù)時間分布

大多數(shù)攻擊的持續(xù)時間都在 1 小時以內(nèi)，再次表明有必要采取始終啟用的自動 DDoS 緩解解決方案。

短時間的攻擊很可能不被察覺，特別是爆發(fā)攻擊，此類攻擊會在幾秒鐘內(nèi)用大量的包、字節(jié)或請求轟擊目標(biāo)。Cloudflare 建議企業(yè)使用始終啟用的自動 DDoS 保護(hù)服務(wù)，此類服務(wù)能快速分析流量并應(yīng)用實時指紋識別，因而能及時阻止短時間的攻擊。

Cloudflare 在路徑外分析流量，確保 DDoS 緩解不會給合法流量增加延遲。一旦發(fā)現(xiàn)攻擊，我們的自治邊緣 DDoS 保護(hù)系統(tǒng)（ dosd ）就會生成并應(yīng)用動態(tài)制作、帶有實時特征的規(guī)則。預(yù)配置的防火墻規(guī)則（包括針對已知流量模式的允許/拒絕列表）立即生效。

網(wǎng)絡(luò)層 DDoS 攻擊：攻擊手段

攻擊手段是指攻擊者試圖導(dǎo)致拒絕服務(wù)事件所采用的方法。SYN 洪水依然是攻擊者最喜歡使用的攻擊方法。在我們網(wǎng)絡(luò)上觀察到的所有攻擊中，超過一半是 SYN 洪水攻擊，其次為 RST、ACK 和 UDP 洪水攻擊。

SYN 洪水攻擊是一種 DDoS 攻擊，它利用了 TCP 協(xié)議的最基本原理—客戶端與服務(wù)器之間的有狀態(tài) TCP 連接。

通過反復(fù)發(fā)送 SYN 數(shù)據(jù)包，攻擊者試圖使服務(wù)器或跟蹤 TCP 連接狀態(tài)的路由器連接表不堪重負(fù)。路由器以 SYN-ACK 數(shù)據(jù)包答復(fù)，為每個給定的連接分配一定數(shù)量的內(nèi)存，并錯誤地等待客戶端回復(fù)最終 ACK。如果有足夠數(shù)量的連接占用路由器的內(nèi)存，路由器將無法為合法客戶端分配更多內(nèi)存，從而導(dǎo)致路由器崩潰或無力處理合法客戶端連接，從而造成拒絕服務(wù)事件。

網(wǎng)絡(luò)層 DDoS 攻擊：新興威脅

雖然 SYN 和 RST 洪水總體而言依然常見，當(dāng)我們研究新出現(xiàn)的攻擊手段時，我們發(fā)現(xiàn) DTLS 放大攻擊出現(xiàn)激增。DTLS 洪水較前一季度增長了 3549%。

Datagram Transport Layer Security （DTLS）是一種類似 Transport Layer Security（TLS）的協(xié)議，旨在為基于數(shù)據(jù)包的無連接應(yīng)用程序提供類似的安全保障，以防止消息被偽造、竊聽或篡改。DTLS 是一種無連接的協(xié)議，對于建立 VPN 連接特別有用，不存在 TCP 崩潰的問題。應(yīng)用程序負(fù)責(zé)重新排序和其他連接屬性。

與大多數(shù)基于 UDP 的協(xié)議一樣，DTLS 是可偽造的 ，攻擊者用它產(chǎn)生反射放大攻擊，讓網(wǎng)絡(luò)層網(wǎng)關(guān)設(shè)備過載。

網(wǎng)絡(luò)層 DDoS 攻擊：國家/地區(qū)分布

從觀察到的網(wǎng)絡(luò)攻擊速率來看，摩洛哥高居首位，亞洲各國緊隨其后。

在分析網(wǎng)絡(luò)層 DDoS 攻擊時，我們統(tǒng)計流量的依據(jù)是接收流量的 Cloudflare 邊緣數(shù)據(jù)中心位置，而不是源 IP 地址。Cloudflare 能夠通過根據(jù) Cloudflare 觀察到攻擊的數(shù)據(jù)中心位置顯示攻擊數(shù)據(jù)來克服偽造 IP 的挑戰(zhàn)。我們在全球 250 多個城市擁有數(shù)據(jù)中心，因而能夠在報告中體現(xiàn)準(zhǔn)確的地理位置。

其他攻擊說明

有關(guān)近期針對 VoIP 服務(wù)提供商的攻擊，以及勒索 DDoS 攻擊的說明

我們最近報告并更新了針對 VoIP 服務(wù)提供商的攻擊激增的情況 — 其中一些服務(wù)提供商還收到了勒索威脅。截至 2021 年第四季度初，這些攻擊仍在持續(xù)進(jìn)行中。Cloudflare 繼續(xù)向 VoIP 服務(wù)提供商提供支持，保護(hù)其應(yīng)用程序和網(wǎng)絡(luò)免受攻擊。

攻擊者同時發(fā)動針對 API 網(wǎng)關(guān)和提供商企業(yè)網(wǎng)站的 HTTP 攻擊，以及針對 VoIP 基礎(chǔ)設(shè)施的網(wǎng)絡(luò)層和傳輸層攻擊。此外，一些組織繼續(xù)收到比特幣勒索信。勒索軟件和勒索 DDoS 攻擊已經(jīng)連續(xù)四個季度對世界各地的組織構(gòu)成嚴(yán)重威脅。

Cloudflare 產(chǎn)品杜絕了幾種會導(dǎo)致勒索軟件感染和勒索 DDoS 攻擊的威脅手段：

• Cloudflare DNS 過濾阻止不安全的網(wǎng)站。

• Cloudflare 瀏覽器隔離預(yù)防路過式下載（drive-by download，又稱“網(wǎng)頁掛馬”）和其他基于瀏覽器的攻擊。

• Zero Trust 架構(gòu)有助于防止勒索軟件在網(wǎng)絡(luò)內(nèi)傳播。

• Magic Transit 通過 BGP 路由重分發(fā)保護(hù)組織網(wǎng)絡(luò)免受 DDoS 攻擊，而不影響延遲時間。

幫助構(gòu)建更好的互聯(lián)網(wǎng)

Cloudflare 創(chuàng)立的使命是幫助建設(shè)更好的互聯(lián)網(wǎng)。這個使命的一部分就是建設(shè)一個不再受到 DDoS 攻擊影響的互聯(lián)網(wǎng)。在過去幾年中，各種規(guī)模的組織都采用了 Cloudflare 服務(wù)，以保護(hù)其網(wǎng)站、應(yīng)用程序和網(wǎng)絡(luò)免受 DDoS 攻擊，并快速可靠地運行。

但網(wǎng)絡(luò)攻擊有很多不同的形式，而不限于 DDoS 攻擊。惡意機(jī)器人、勒索軟件攻擊、電子郵件釣魚和 VPN /遠(yuǎn)程訪問入侵等攻擊仍在繼續(xù)困擾著全球各種規(guī)模的組織。

這些攻擊的目標(biāo)是網(wǎng)站、API、應(yīng)用程序和整個網(wǎng)絡(luò)——它們構(gòu)成了任何在線業(yè)務(wù)的命脈。正因為如此，Cloudflare 安全系列產(chǎn)品涵蓋連接到互聯(lián)網(wǎng)的一切。

如需進(jìn)一步了解 Cloudflare DDoS 或我們的網(wǎng)絡(luò)服務(wù)，歡迎注冊帳戶或聯(lián)系我們。