2021年第四季度DDoS攻擊趨勢

2021年上半年出現(xiàn)了大規(guī)模的勒索軟件和勒索DDoS攻擊活動，導(dǎo)致世界各地的關(guān)鍵基礎(chǔ)設(shè)施頻繁中斷（包括美國最大的管道系統(tǒng)運營商之一），在一個針對學(xué)校、公共領(lǐng)域、旅游組織和信用聯(lián)盟等的IT管理軟件曝光了一個漏洞。

到了下半年，有史以來最強大的僵尸網(wǎng)絡(luò)之一（Meris）變本加厲，Cloudflare網(wǎng)絡(luò)上觀察到的HTTP DDoS攻擊和網(wǎng)絡(luò)層攻擊均刷新了記錄。此外，12月曝光的Log4j2漏洞（CVE-2021-44228）允許攻擊者在遠程服務(wù)器上執(zhí)行代碼——可謂自Heartbleed和Shellshock曝光以來互聯(lián)網(wǎng)上最嚴(yán)重的漏洞之一。

以上列舉的主要網(wǎng)絡(luò)攻擊只是少數(shù)幾個例子，表明網(wǎng)絡(luò)安全方面存在一種不斷加劇的趨勢，從科技公司、政府機構(gòu)到酒廠和肉類加工廠，所有組織都受到了影響。

如下為2021年、尤其是2021年第四季度的一些DDoS攻擊趨勢：

DDoS勒索攻擊

·在第四季度，勒索DDoS攻擊同比增長了29%，環(huán)比增長了175%。

·僅12月而言，三分之一的受訪者稱自己遭受到一次勒索DDoS攻擊或收到攻擊者的威脅。

應(yīng)用層DDoS攻擊

·制造業(yè)是2021年第四季度期間受到最多攻擊的行業(yè)，攻擊數(shù)量較上一個季度大幅增長了641%。針對商業(yè)服務(wù)業(yè)和游戲/博彩業(yè)的攻擊數(shù)量分別居第二和第三位。

·今年以來，源于中國網(wǎng)絡(luò)的攻擊流量來源占比連續(xù)第四次高居榜首。

·一個名為Meris僵尸網(wǎng)絡(luò)的新僵尸網(wǎng)絡(luò)于2021年中出現(xiàn)，并繼續(xù)肆意攻擊世界各地的組織，發(fā)動了一些歷來最大規(guī)模的HTTP攻擊，包括一次1720萬rps的攻擊（被Cloudflare自動緩解）。

網(wǎng)絡(luò)層DDoS攻擊

·2021年第四季度是2021年攻擊最活躍的一個季度。僅2021年12月觀察到的攻擊數(shù)量就超過2021年第一季度、第二季度各自的攻擊總數(shù)。

·雖然大多數(shù)攻擊規(guī)模較小，但TB級攻擊在2021年下半年成為新常態(tài)。Cloudflare自動緩解了數(shù)十次峰值超過1 Tbps的攻擊，其中最大規(guī)模的一次接近2 Tbps，為我們見過的最大攻擊。

·在2021年第四季度，尤其是11月，世界各地持續(xù)出現(xiàn)針對VoIP提供商的勒索DDoS攻擊活動。

·2021年第四季度期間，源于摩爾多瓦的攻擊較前一個季度翻了兩番，使其成為網(wǎng)絡(luò)層DDoS攻擊活動占比最高的國家。

·SYN洪水和UDP洪水為最常見的攻擊手段，而SNMP攻擊等新興威脅環(huán)比增長接近5800%。

本報告是基于Cloudflare DDoS防護系統(tǒng)自動檢測并緩解的DDoS攻擊。如需進一步了解其工作原理，請查看這篇深入剖析的博客文章。

簡要說明一下我們?nèi)绾螠y量在我們網(wǎng)絡(luò)上觀察到的DDoS攻擊。

為分析攻擊趨勢，我們計算“DDoS活動”率，即攻擊流量占我們?nèi)蚓W(wǎng)絡(luò)觀察到的總流量（攻擊+干凈）的百分比。通過測量攻擊流量占觀察到的總流量的百分比，我們能夠?qū)?shù)據(jù)點進行標(biāo)準(zhǔn)化，并避免絕對數(shù)字所反映出來的偏差，例如，如果某個Cloudflare數(shù)據(jù)中心接收到更多流量，則其也可能受到更多攻擊。

本報告的交互式版本可在Cloudflare Radar查看。

勒索攻擊

我們的系統(tǒng)持續(xù)分析流量，并在檢測到DDoS攻擊時自動應(yīng)用緩解措施。每個遭受DDoS攻擊的客戶都會收到自動調(diào)查的提示，以幫助我們更好地了解攻擊的性質(zhì)和緩解是否成功。

兩年多來，Cloudflare一直對受到攻擊的客戶進行調(diào)查，其中一個問題是客戶是否收到勒索信，要求其支付贖金來換取停止DDoS攻擊。2021年第四季度期間錄得的勒索威脅調(diào)查回應(yīng)為歷來最高水平，顯示勒索攻擊同比增長了29%，環(huán)比增長了175%。具體而言，22%的受訪者表示收到攻擊者要求支付贖金的勒索信。

受訪者中報稱遭受勒索DDoS攻擊或在攻擊前收到威脅的百分比。

按月分析數(shù)據(jù)，我們可以看到，2021年12月高居榜首，期間有接近三分之一（32%）的受訪者報稱收到勒索信。

應(yīng)用層DDoS攻擊

應(yīng)用層DDoS攻擊，特別是HTTP DDoS攻擊，旨在通過使HTTP服務(wù)器無法處理合法用戶請求來破壞它。如果服務(wù)器收到的請求數(shù)量超過其處理能力，服務(wù)器將丟棄合法請求甚至崩潰，導(dǎo)致對合法用戶的服務(wù)性能下降或中斷。

應(yīng)用層DDoS攻擊：行業(yè)分布

在第四季度，針對制造業(yè)公司的DDoS攻擊環(huán)比增長了641%，針對商業(yè)服務(wù)業(yè)的攻擊環(huán)比增長了97%。

按行業(yè)分析應(yīng)用層攻擊，2021年第四季度期間受到最多攻擊的是制造業(yè)、商業(yè)服務(wù)業(yè)和游戲/博彩業(yè)。

應(yīng)用層DDoS攻擊：來源國家/地區(qū)分布

為了解HTTP攻擊的來源，我們查看產(chǎn)生攻擊HTTP請求的客戶端的源IP地址。與網(wǎng)絡(luò)層攻擊不同，HTTP攻擊中的源IP無法假冒。特定國家/地區(qū)的高DDoS活動率通常表明有僵尸網(wǎng)絡(luò)在其境內(nèi)運行。

源于中國境內(nèi)的DDoS攻擊占比連續(xù)第四個季度居首位。每1000個來自中國的HTTP請求中，超過3個是HTTP DDoS攻擊的一部分。美國依然居第二位，其次為巴西和印度。

應(yīng)用層DDoS攻擊：目標(biāo)國家/地區(qū)分布

為確定哪些國家/地區(qū)遭受到最多攻擊，我們按客戶的賬單國家/地區(qū)統(tǒng)計DDoS攻擊，并計算占DDoS攻擊總數(shù)的百分比。

位于美國的組織今年連續(xù)第三次成為HTTP DDoS攻擊的最大目標(biāo)，其次為加拿大和德國。

網(wǎng)絡(luò)層DDoS攻擊

應(yīng)用層攻擊的目標(biāo)是最終用戶嘗試訪問的服務(wù)所在的應(yīng)用程序（OSI模型的第7層），而網(wǎng)絡(luò)層攻擊以網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)（例如聯(lián)網(wǎng)路由器和服務(wù)器）和互聯(lián)網(wǎng)鏈路本身為目標(biāo)。

Cloudflare攔截了一次接近2 Tbps的攻擊

在11月，我們的系統(tǒng)自動檢測并緩解了一次接近2 Tbps的DDoS攻擊。該攻擊使用了多種手段，包括DNS放大攻擊和UDP洪水。攻擊僅持續(xù)了一分鐘。這次攻擊是從大約1.5萬個僵尸（機器人）程序上發(fā)動的，這些機器人在物聯(lián)網(wǎng)設(shè)備和11未打補丁的GitLab實例上運行原始Mirai代碼的一個變種。

網(wǎng)絡(luò)層DDoS攻擊：月份分布

12月是2021年攻擊最活躍的月份。

第四季度是2021年攻擊最活躍的季度。超過43%的網(wǎng)絡(luò)層DDoS攻擊發(fā)生在2021年第四季度。雖然10月相對平靜，但在11月，期間有中國的光棍節(jié)、美國的感恩節(jié)、黑色星期五和網(wǎng)絡(luò)星期一，網(wǎng)絡(luò)層DDoS攻擊的數(shù)量幾乎翻了一番。12月期間，2021年即將結(jié)束的最后幾天內(nèi)，觀察到的攻擊數(shù)量也有所增加。事實上，僅12月的攻擊總數(shù)就超過了2021年第二季度，并幾乎追平2021年第一季度。

網(wǎng)絡(luò)層DDoS攻擊：攻擊速率分布

雖然大多數(shù)攻擊的規(guī)模依然相對“較小”，但TB級攻擊正在成為常態(tài)。

衡量L3/4 DDoS攻擊的規(guī)模有不同的方法。一種方法是測量它產(chǎn)生的流量大小，以比特率為單位（例如，Tbps或Gbps）。另一種是測量它產(chǎn)生的數(shù)據(jù)包數(shù)，以數(shù)據(jù)包速率為單位（例如，Mpps：百萬數(shù)據(jù)包/每秒）。

高比特率的攻擊試圖使互聯(lián)網(wǎng)鏈路飽和來導(dǎo)致拒絕服務(wù)，而高數(shù)據(jù)包速率的攻擊嘗試使服務(wù)器、路由器或其他聯(lián)網(wǎng)硬件設(shè)備不堪重負。這些設(shè)備分配一定的內(nèi)存和計算能力來處理每個數(shù)據(jù)包。因此，通過向設(shè)備發(fā)送大量數(shù)據(jù)包，該設(shè)備的處理資源就可能被耗盡。在這種情況下，數(shù)據(jù)包就會“被丟棄”，即設(shè)備無法再處理數(shù)據(jù)包。對用戶而言，這會導(dǎo)致服務(wù)中斷和拒絕服務(wù)。

下圖為攻擊的規(guī)模（比特率）和月份分布情況。如上圖所示，大多數(shù)攻擊發(fā)生在12月。然而，下圖顯示，較大型的攻擊（超過300 Gbps）發(fā)生在11月。大多介于5-20 Gbps的攻擊發(fā)生在12月。

數(shù)據(jù)包速率分布

Cloudflare觀察到一個值得注意的關(guān)聯(lián)：在攻擊數(shù)量增加時，攻擊的規(guī)模和持續(xù)時間會下降。在2021年的前三分之二時間內(nèi)，攻擊數(shù)量相對較小，其速率則有所增加，例如，在2021年第三季度，速率介于100-1000萬pps的攻擊增長了196%。在2021年第四季度，攻擊數(shù)量有所增加，同時Cloudflare觀察到的攻擊規(guī)模出現(xiàn)下降。91%的攻擊峰值在5萬pps以下，這個速率已經(jīng)足以弄垮未受保護的互聯(lián)網(wǎng)資產(chǎn)。

速率超過100萬pps的較大型攻擊環(huán)比減少48%至28%，而峰值速率低于5萬pps的攻擊環(huán)比減少了2.36%。

比特率分布

與數(shù)據(jù)包密集型攻擊的趨勢相似，比特率密集型攻擊的數(shù)量也有所減少。雖然超過1 Tbps的攻擊正在成為常態(tài)——我們觀察到有史以來最大的一個攻擊接近2 Tbps，但大多數(shù)攻擊的規(guī)模依然較小，峰值不到500 Mbps（97.2%）。

在2021年第四季度，500 Mbps以上所有范圍的較大規(guī)模攻擊均顯著減少，幅度介于35%至57%，其中100 Gbps以上的攻擊減少了57%。

網(wǎng)絡(luò)層DDoS攻擊：持續(xù)時間分布

大多數(shù)攻擊的持續(xù)時間都在1小時以內(nèi)，再次表明有必要采取始終啟用的自動DDoS緩解解決方案。

我們測量攻擊持續(xù)時間的方式是：記錄系統(tǒng)首次檢測到攻擊與具備該攻擊特征的最后一個數(shù)據(jù)包之間的時間差。在2021年第四季度，98%的網(wǎng)絡(luò)層攻擊持續(xù)時間不到1小時。這種情況非常常見，因為大多數(shù)攻擊持續(xù)時間都很短。我們還觀察到一個趨勢：在攻擊數(shù)量增加時（如這個季度），其速率和持續(xù)時間會有所下降。

短時間的攻擊很可能不被察覺，特別是爆發(fā)攻擊，此類攻擊會在幾秒鐘內(nèi)用大量的包、字節(jié)或請求轟擊目標(biāo)。在這種情況下，依賴于安全分析來手動緩解的DDoS保護服務(wù)沒有機會及時緩解攻擊。此類服務(wù)只能從攻擊后分析中吸取教訓(xùn)，然后部署過濾該攻擊指紋的新規(guī)則，期望下次能捕捉到它。同樣，使用“按需”服務(wù)（即安全團隊在遭到攻擊時將流量重定向至DDoS保護提供商）也無濟于事，因為在流量到達按需DDoS保護提供商前，攻擊就已經(jīng)結(jié)束了。

建議企業(yè)使用始終啟用的自動化DDoS防護服務(wù)，此類服務(wù)能分析流量并應(yīng)用實時指紋識別，從而及時攔截短暫的攻擊。

攻擊手段

SYN洪水依然是最常見的攻擊方式，而基于SNMP的攻擊環(huán)比激增了接近5800%。

攻擊手段是指攻擊者用于發(fā)動DDoS攻擊的方法，即IP協(xié)議、數(shù)據(jù)包屬性（如TCP標(biāo)志）、洪水方法和其他條件。

SYN洪水攻擊所占的百分比在2021年內(nèi)首次大幅減少。2021年，SYN洪水平均占網(wǎng)絡(luò)層攻擊總數(shù)的54%。雖然仍是最常見的手段，但所占比例已經(jīng)較前一個季度減少了38%，至34%。

然而，SYN攻擊和UDP攻擊已經(jīng)不相上下。UDP洪水是一種拒絕服務(wù)攻擊，攻擊者將大量用戶報文協(xié)議（UDP）數(shù)據(jù)包發(fā)送到目標(biāo)服務(wù)器，旨在癱瘓該設(shè)備的處理和響應(yīng)能力。保護目標(biāo)服務(wù)器的防火墻往往也可能因UDP洪水攻擊而不堪重負，導(dǎo)致對合法流量的拒絕服務(wù)。基于UDP的攻擊已從2021年第三季度的第四位上升至2021年第四季度的第二位，占網(wǎng)絡(luò)層攻擊的32%，季度環(huán)比增長了1198%。

居第三位的是SNMP攻擊。自2021年首次躋身主要攻擊手段行列以來，SNMP攻擊的占比已大幅提高。

新興威脅

對新興攻擊手段的分析可見，SNMP、MSSQL和基于UDP的通用攻擊均出現(xiàn)大幅增長。

SNMP和MSSQL攻擊都是通過在觸發(fā)攻擊的報文中將目標(biāo)IP地址假冒為源IP來反射和放大目標(biāo)的流量。

簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）是一種基于UDP的協(xié)議，通常用于發(fā)現(xiàn)和管理家庭或企業(yè)網(wǎng)絡(luò)中位于UDP 161端口上的網(wǎng)絡(luò)設(shè)備，例如打印機、交換機、路由器和防火墻。在SNMP反射攻擊中，攻擊者發(fā)出大量SNMP查詢，將數(shù)據(jù)包中的源IP地址偽裝成目標(biāo)的IP地址，使收到查詢的網(wǎng)絡(luò)設(shè)備將把響應(yīng)發(fā)送到目標(biāo)IP地址。這些網(wǎng)絡(luò)設(shè)備發(fā)送的大量響應(yīng)導(dǎo)致目標(biāo)網(wǎng)絡(luò)拒絕服務(wù)。

類似于SNMP放大攻擊，Microsoft SQL（MSSQL）攻擊基于一種濫用Microsoft SQL服務(wù)器解析協(xié)議來發(fā)動反射式DDoS攻擊的技術(shù)。攻擊發(fā)生于Microsoft SQL服務(wù)器對客戶端查詢或請求做出響應(yīng)時，嘗試?yán)脗陕燯DP 1434端口的Microsoft SQL服務(wù)器解析協(xié)議（MC-SQLR）。

網(wǎng)絡(luò)層DDoS攻擊：國家/地區(qū)分布

源于摩爾多瓦的攻擊較前一個季度翻了兩番，使其成為網(wǎng)絡(luò)層DDoS攻擊活動占比最高的國家。

在分析網(wǎng)絡(luò)層DDoS攻擊時，我們統(tǒng)計流量的依據(jù)是接收流量的Cloudflare邊緣數(shù)據(jù)中心位置，而不是源IP地址。這樣做的原因在于，攻擊者在發(fā)起網(wǎng)絡(luò)層攻擊時，可以通過偽造源IP地址來混淆攻擊來源并在攻擊屬性中引入隨機性，這可能會使簡單的DDoS防護系統(tǒng)更難攔截攻擊。因此，如果我們根據(jù)偽造的源IP推導(dǎo)出源國家/地區(qū)，我們將得到一個偽造的國家/地區(qū)。

Cloudflare能夠通過根據(jù)Cloudflare觀察到攻擊的數(shù)據(jù)中心位置顯示攻擊數(shù)據(jù)來克服偽造IP的挑戰(zhàn)。我們在全球250多個城市擁有數(shù)據(jù)中心，因而能夠在報告中體現(xiàn)準(zhǔn)確的地理位置。

摘要

Cloudflare的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)，使互聯(lián)網(wǎng)對所有人都更安全、更快速、更可靠——即使面對DDoS攻擊也如此。作為這個使命的一部分，我們自2017年以來一直向我們所有客戶提供免費的不計量、無限D(zhuǎn)DoS防護。多年來，攻擊者發(fā)動DDoS攻擊的難度變得越來越低。為了對抗攻擊者的優(yōu)勢，我們想確保所有規(guī)模的組織也能輕松、免費地防護各種類型的DDoS攻擊。