2021年上半年出現(xiàn)了大規(guī)模的勒索軟件和勒索DDoS攻擊活動(dòng)��,導(dǎo)致世界各地的關(guān)鍵基礎(chǔ)設(shè)施頻繁中斷(包括美國(guó)最大的管道系統(tǒng)運(yùn)營(yíng)商之一)�����,在一個(gè)針對(duì)學(xué)校�����、公共領(lǐng)域��、旅游組織和信用聯(lián)盟等的IT管理軟件曝光了一個(gè)漏洞���。
2021年上半年出現(xiàn)了大規(guī)模的勒索軟件和勒索DDoS攻擊活動(dòng)��,導(dǎo)致世界各地的關(guān)鍵基礎(chǔ)設(shè)施頻繁中斷(包括美國(guó)最大的管道系統(tǒng)運(yùn)營(yíng)商之一)�����,在一個(gè)針對(duì)學(xué)校��、公共領(lǐng)域�����、旅游組織和信用聯(lián)盟等的IT管理軟件曝光了一個(gè)漏洞�����。
到了下半年��,有史以來(lái)最強(qiáng)大的僵尸網(wǎng)絡(luò)之一(Meris)變本加厲����,Cloudflare網(wǎng)絡(luò)上觀察到的HTTP DDoS攻擊和網(wǎng)絡(luò)層攻擊均刷新了記錄����。此外,12月曝光的Log4j2漏洞(CVE-2021-44228)允許攻擊者在遠(yuǎn)程服務(wù)器上執(zhí)行代碼——可謂自Heartbleed和Shellshock曝光以來(lái)互聯(lián)網(wǎng)上最嚴(yán)重的漏洞之一���。
以上列舉的主要網(wǎng)絡(luò)攻擊只是少數(shù)幾個(gè)例子���,表明網(wǎng)絡(luò)安全方面存在一種不斷加劇的趨勢(shì),從科技公司���、政府機(jī)構(gòu)到酒廠(chǎng)和肉類(lèi)加工廠(chǎng)���,所有組織都受到了影響����。
如下為2021年���、尤其是2021年第四季度的一些DDoS攻擊趨勢(shì):
DDoS勒索攻擊
·在第四季度���,勒索DDoS攻擊同比增長(zhǎng)了29%,環(huán)比增長(zhǎng)了175%����。
·僅12月而言,三分之一的受訪(fǎng)者稱(chēng)自己遭受到一次勒索DDoS攻擊或收到攻擊者的威脅�����。
應(yīng)用層DDoS攻擊
·制造業(yè)是2021年第四季度期間受到最多攻擊的行業(yè)�,攻擊數(shù)量較上一個(gè)季度大幅增長(zhǎng)了641%。針對(duì)商業(yè)服務(wù)業(yè)和游戲/博彩業(yè)的攻擊數(shù)量分別居第二和第三位�。
·今年以來(lái),源于中國(guó)網(wǎng)絡(luò)的攻擊流量來(lái)源占比連續(xù)第四次高居榜首��。
·一個(gè)名為Meris僵尸網(wǎng)絡(luò)的新僵尸網(wǎng)絡(luò)于2021年中出現(xiàn)�����,并繼續(xù)肆意攻擊世界各地的組織,發(fā)動(dòng)了一些歷來(lái)最大規(guī)模的HTTP攻擊�,包括一次1720萬(wàn)rps的攻擊(被Cloudflare自動(dòng)緩解)�。
網(wǎng)絡(luò)層DDoS攻擊
·2021年第四季度是2021年攻擊最活躍的一個(gè)季度。僅2021年12月觀察到的攻擊數(shù)量就超過(guò)2021年第一季度�����、第二季度各自的攻擊總數(shù)�����。
·雖然大多數(shù)攻擊規(guī)模較小��,但TB級(jí)攻擊在2021年下半年成為新常態(tài)�����。Cloudflare自動(dòng)緩解了數(shù)十次峰值超過(guò)1 Tbps的攻擊��,其中最大規(guī)模的一次接近2 Tbps��,為我們見(jiàn)過(guò)的最大攻擊���。
·在2021年第四季度��,尤其是11月�����,世界各地持續(xù)出現(xiàn)針對(duì)VoIP提供商的勒索DDoS攻擊活動(dòng)����。
·2021年第四季度期間,源于摩爾多瓦的攻擊較前一個(gè)季度翻了兩番�����,使其成為網(wǎng)絡(luò)層DDoS攻擊活動(dòng)占比最高的國(guó)家��。
·SYN洪水和UDP洪水為最常見(jiàn)的攻擊手段�,而SNMP攻擊等新興威脅環(huán)比增長(zhǎng)接近5800%。
本報(bào)告是基于Cloudflare DDoS防護(hù)系統(tǒng)自動(dòng)檢測(cè)并緩解的DDoS攻擊��。如需進(jìn)一步了解其工作原理�,請(qǐng)查看這篇深入剖析的博客文章。
簡(jiǎn)要說(shuō)明一下我們?nèi)绾螠y(cè)量在我們網(wǎng)絡(luò)上觀察到的DDoS攻擊��。
為分析攻擊趨勢(shì)���,我們計(jì)算“DDoS活動(dòng)”率�,即攻擊流量占我們?nèi)蚓W(wǎng)絡(luò)觀察到的總流量(攻擊+干凈)的百分比。通過(guò)測(cè)量攻擊流量占觀察到的總流量的百分比����,我們能夠?qū)?shù)據(jù)點(diǎn)進(jìn)行標(biāo)準(zhǔn)化,并避免絕對(duì)數(shù)字所反映出來(lái)的偏差���,例如,如果某個(gè)Cloudflare數(shù)據(jù)中心接收到更多流量����,則其也可能受到更多攻擊。
本報(bào)告的交互式版本可在Cloudflare Radar查看��。
勒索攻擊
我們的系統(tǒng)持續(xù)分析流量��,并在檢測(cè)到DDoS攻擊時(shí)自動(dòng)應(yīng)用緩解措施�。每個(gè)遭受DDoS攻擊的客戶(hù)都會(huì)收到自動(dòng)調(diào)查的提示,以幫助我們更好地了解攻擊的性質(zhì)和緩解是否成功��。
兩年多來(lái)����,Cloudflare一直對(duì)受到攻擊的客戶(hù)進(jìn)行調(diào)查�,其中一個(gè)問(wèn)題是客戶(hù)是否收到勒索信�����,要求其支付贖金來(lái)?yè)Q取停止DDoS攻擊�。2021年第四季度期間錄得的勒索威脅調(diào)查回應(yīng)為歷來(lái)最高水平,顯示勒索攻擊同比增長(zhǎng)了29%��,環(huán)比增長(zhǎng)了175%�。具體而言,22%的受訪(fǎng)者表示收到攻擊者要求支付贖金的勒索信�。
受訪(fǎng)者中報(bào)稱(chēng)遭受勒索DDoS攻擊或在攻擊前收到威脅的百分比。
按月分析數(shù)據(jù)�,我們可以看到,2021年12月高居榜首�,期間有接近三分之一(32%)的受訪(fǎng)者報(bào)稱(chēng)收到勒索信。
應(yīng)用層DDoS攻擊
應(yīng)用層DDoS攻擊�����,特別是HTTP DDoS攻擊����,旨在通過(guò)使HTTP服務(wù)器無(wú)法處理合法用戶(hù)請(qǐng)求來(lái)破壞它。如果服務(wù)器收到的請(qǐng)求數(shù)量超過(guò)其處理能力,服務(wù)器將丟棄合法請(qǐng)求甚至崩潰�,導(dǎo)致對(duì)合法用戶(hù)的服務(wù)性能下降或中斷。
應(yīng)用層DDoS攻擊:行業(yè)分布
在第四季度��,針對(duì)制造業(yè)公司的DDoS攻擊環(huán)比增長(zhǎng)了641%�����,針對(duì)商業(yè)服務(wù)業(yè)的攻擊環(huán)比增長(zhǎng)了97%����。
按行業(yè)分析應(yīng)用層攻擊,2021年第四季度期間受到最多攻擊的是制造業(yè)���、商業(yè)服務(wù)業(yè)和游戲/博彩業(yè)。
應(yīng)用層DDoS攻擊:來(lái)源國(guó)家/地區(qū)分布
為了解HTTP攻擊的來(lái)源��,我們查看產(chǎn)生攻擊HTTP請(qǐng)求的客戶(hù)端的源IP地址���。與網(wǎng)絡(luò)層攻擊不同��,HTTP攻擊中的源IP無(wú)法假冒�。特定國(guó)家/地區(qū)的高DDoS活動(dòng)率通常表明有僵尸網(wǎng)絡(luò)在其境內(nèi)運(yùn)行���。
源于中國(guó)境內(nèi)的DDoS攻擊占比連續(xù)第四個(gè)季度居首位����。每1000個(gè)來(lái)自中國(guó)的HTTP請(qǐng)求中,超過(guò)3個(gè)是HTTP DDoS攻擊的一部分���。美國(guó)依然居第二位�����,其次為巴西和印度���。
應(yīng)用層DDoS攻擊:目標(biāo)國(guó)家/地區(qū)分布
為確定哪些國(guó)家/地區(qū)遭受到最多攻擊,我們按客戶(hù)的賬單國(guó)家/地區(qū)統(tǒng)計(jì)DDoS攻擊��,并計(jì)算占DDoS攻擊總數(shù)的百分比����。
位于美國(guó)的組織今年連續(xù)第三次成為HTTP DDoS攻擊的最大目標(biāo),其次為加拿大和德國(guó)��。
網(wǎng)絡(luò)層DDoS攻擊
應(yīng)用層攻擊的目標(biāo)是最終用戶(hù)嘗試訪(fǎng)問(wèn)的服務(wù)所在的應(yīng)用程序(OSI模型的第7層)�,而網(wǎng)絡(luò)層攻擊以網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)(例如聯(lián)網(wǎng)路由器和服務(wù)器)和互聯(lián)網(wǎng)鏈路本身為目標(biāo)。
Cloudflare攔截了一次接近2 Tbps的攻擊
在11月��,我們的系統(tǒng)自動(dòng)檢測(cè)并緩解了一次接近2 Tbps的DDoS攻擊。該攻擊使用了多種手段���,包括DNS放大攻擊和UDP洪水��。攻擊僅持續(xù)了一分鐘�。這次攻擊是從大約1.5萬(wàn)個(gè)僵尸(機(jī)器人)程序上發(fā)動(dòng)的��,這些機(jī)器人在物聯(lián)網(wǎng)設(shè)備和11未打補(bǔ)丁的GitLab實(shí)例上運(yùn)行原始Mirai代碼的一個(gè)變種���。
網(wǎng)絡(luò)層DDoS攻擊:月份分布
12月是2021年攻擊最活躍的月份��。
第四季度是2021年攻擊最活躍的季度�����。超過(guò)43%的網(wǎng)絡(luò)層DDoS攻擊發(fā)生在2021年第四季度�����。雖然10月相對(duì)平靜,但在11月����,期間有中國(guó)的光棍節(jié)、美國(guó)的感恩節(jié)、黑色星期五和網(wǎng)絡(luò)星期一��,網(wǎng)絡(luò)層DDoS攻擊的數(shù)量幾乎翻了一番�。12月期間,2021年即將結(jié)束的最后幾天內(nèi)�����,觀察到的攻擊數(shù)量也有所增加���。事實(shí)上��,僅12月的攻擊總數(shù)就超過(guò)了2021年第二季度���,并幾乎追平2021年第一季度。
網(wǎng)絡(luò)層DDoS攻擊:攻擊速率分布
雖然大多數(shù)攻擊的規(guī)模依然相對(duì)“較小”����,但TB級(jí)攻擊正在成為常態(tài)。
衡量L3/4 DDoS攻擊的規(guī)模有不同的方法���。一種方法是測(cè)量它產(chǎn)生的流量大小�,以比特率為單位(例如��,Tbps或Gbps)。另一種是測(cè)量它產(chǎn)生的數(shù)據(jù)包數(shù)��,以數(shù)據(jù)包速率為單位(例如�����,Mpps:百萬(wàn)數(shù)據(jù)包/每秒)�。
高比特率的攻擊試圖使互聯(lián)網(wǎng)鏈路飽和來(lái)導(dǎo)致拒絕服務(wù),而高數(shù)據(jù)包速率的攻擊嘗試使服務(wù)器�、路由器或其他聯(lián)網(wǎng)硬件設(shè)備不堪重負(fù)。這些設(shè)備分配一定的內(nèi)存和計(jì)算能力來(lái)處理每個(gè)數(shù)據(jù)包�。因此,通過(guò)向設(shè)備發(fā)送大量數(shù)據(jù)包���,該設(shè)備的處理資源就可能被耗盡����。在這種情況下����,數(shù)據(jù)包就會(huì)“被丟棄”,即設(shè)備無(wú)法再處理數(shù)據(jù)包����。對(duì)用戶(hù)而言,這會(huì)導(dǎo)致服務(wù)中斷和拒絕服務(wù)���。
下圖為攻擊的規(guī)模(比特率)和月份分布情況��。如上圖所示�����,大多數(shù)攻擊發(fā)生在12月����。然而���,下圖顯示���,較大型的攻擊(超過(guò)300 Gbps)發(fā)生在11月。大多介于5-20 Gbps的攻擊發(fā)生在12月�。
數(shù)據(jù)包速率分布
Cloudflare觀察到一個(gè)值得注意的關(guān)聯(lián):在攻擊數(shù)量增加時(shí),攻擊的規(guī)模和持續(xù)時(shí)間會(huì)下降���。在2021年的前三分之二時(shí)間內(nèi)�����,攻擊數(shù)量相對(duì)較小����,其速率則有所增加,例如�,在2021年第三季度,速率介于100-1000萬(wàn)pps的攻擊增長(zhǎng)了196%����。在2021年第四季度,攻擊數(shù)量有所增加����,同時(shí)Cloudflare觀察到的攻擊規(guī)模出現(xiàn)下降。91%的攻擊峰值在5萬(wàn)pps以下�,這個(gè)速率已經(jīng)足以弄垮未受保護(hù)的互聯(lián)網(wǎng)資產(chǎn)。
速率超過(guò)100萬(wàn)pps的較大型攻擊環(huán)比減少48%至28%����,而峰值速率低于5萬(wàn)pps的攻擊環(huán)比減少了2.36%。
比特率分布
與數(shù)據(jù)包密集型攻擊的趨勢(shì)相似�,比特率密集型攻擊的數(shù)量也有所減少�。雖然超過(guò)1 Tbps的攻擊正在成為常態(tài)——我們觀察到有史以來(lái)最大的一個(gè)攻擊接近2 Tbps,但大多數(shù)攻擊的規(guī)模依然較小�����,峰值不到500 Mbps(97.2%)。
在2021年第四季度����,500 Mbps以上所有范圍的較大規(guī)模攻擊均顯著減少,幅度介于35%至57%���,其中100 Gbps以上的攻擊減少了57%�。
網(wǎng)絡(luò)層DDoS攻擊:持續(xù)時(shí)間分布
大多數(shù)攻擊的持續(xù)時(shí)間都在1小時(shí)以?xún)?nèi)�����,再次表明有必要采取始終啟用的自動(dòng)DDoS緩解解決方案�����。
我們測(cè)量攻擊持續(xù)時(shí)間的方式是:記錄系統(tǒng)首次檢測(cè)到攻擊與具備該攻擊特征的最后一個(gè)數(shù)據(jù)包之間的時(shí)間差��。在2021年第四季度���,98%的網(wǎng)絡(luò)層攻擊持續(xù)時(shí)間不到1小時(shí)�����。這種情況非常常見(jiàn)��,因?yàn)榇蠖鄶?shù)攻擊持續(xù)時(shí)間都很短��。我們還觀察到一個(gè)趨勢(shì):在攻擊數(shù)量增加時(shí)(如這個(gè)季度)�,其速率和持續(xù)時(shí)間會(huì)有所下降。
短時(shí)間的攻擊很可能不被察覺(jué)�,特別是爆發(fā)攻擊,此類(lèi)攻擊會(huì)在幾秒鐘內(nèi)用大量的包��、字節(jié)或請(qǐng)求轟擊目標(biāo)��。在這種情況下��,依賴(lài)于安全分析來(lái)手動(dòng)緩解的DDoS保護(hù)服務(wù)沒(méi)有機(jī)會(huì)及時(shí)緩解攻擊��。此類(lèi)服務(wù)只能從攻擊后分析中吸取教訓(xùn)��,然后部署過(guò)濾該攻擊指紋的新規(guī)則����,期望下次能捕捉到它。同樣�����,使用“按需”服務(wù)(即安全團(tuán)隊(duì)在遭到攻擊時(shí)將流量重定向至DDoS保護(hù)提供商)也無(wú)濟(jì)于事,因?yàn)樵诹髁康竭_(dá)按需DDoS保護(hù)提供商前�,攻擊就已經(jīng)結(jié)束了。
建議企業(yè)使用始終啟用的自動(dòng)化DDoS防護(hù)服務(wù)��,此類(lèi)服務(wù)能分析流量并應(yīng)用實(shí)時(shí)指紋識(shí)別��,從而及時(shí)攔截短暫的攻擊�。
攻擊手段
SYN洪水依然是最常見(jiàn)的攻擊方式����,而基于SNMP的攻擊環(huán)比激增了接近5800%。
攻擊手段是指攻擊者用于發(fā)動(dòng)DDoS攻擊的方法���,即IP協(xié)議�����、數(shù)據(jù)包屬性(如TCP標(biāo)志)���、洪水方法和其他條件。
SYN洪水攻擊所占的百分比在2021年內(nèi)首次大幅減少���。2021年�����,SYN洪水平均占網(wǎng)絡(luò)層攻擊總數(shù)的54%�。雖然仍是最常見(jiàn)的手段,但所占比例已經(jīng)較前一個(gè)季度減少了38%����,至34%。
然而��,SYN攻擊和UDP攻擊已經(jīng)不相上下���。UDP洪水是一種拒絕服務(wù)攻擊��,攻擊者將大量用戶(hù)報(bào)文協(xié)議(UDP)數(shù)據(jù)包發(fā)送到目標(biāo)服務(wù)器���,旨在癱瘓?jiān)撛O(shè)備的處理和響應(yīng)能力。保護(hù)目標(biāo)服務(wù)器的防火墻往往也可能因UDP洪水攻擊而不堪重負(fù)��,導(dǎo)致對(duì)合法流量的拒絕服務(wù)��?���;赨DP的攻擊已從2021年第三季度的第四位上升至2021年第四季度的第二位�����,占網(wǎng)絡(luò)層攻擊的32%�����,季度環(huán)比增長(zhǎng)了1198%�����。
居第三位的是SNMP攻擊。自2021年首次躋身主要攻擊手段行列以來(lái)��,SNMP攻擊的占比已大幅提高��。
新興威脅
對(duì)新興攻擊手段的分析可見(jiàn)����,SNMP、MSSQL和基于UDP的通用攻擊均出現(xiàn)大幅增長(zhǎng)�。
SNMP和MSSQL攻擊都是通過(guò)在觸發(fā)攻擊的報(bào)文中將目標(biāo)IP地址假冒為源IP來(lái)反射和放大目標(biāo)的流量。
簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)是一種基于UDP的協(xié)議�,通常用于發(fā)現(xiàn)和管理家庭或企業(yè)網(wǎng)絡(luò)中位于UDP 161端口上的網(wǎng)絡(luò)設(shè)備,例如打印機(jī)、交換機(jī)��、路由器和防火墻��。在SNMP反射攻擊中���,攻擊者發(fā)出大量SNMP查詢(xún)��,將數(shù)據(jù)包中的源IP地址偽裝成目標(biāo)的IP地址��,使收到查詢(xún)的網(wǎng)絡(luò)設(shè)備將把響應(yīng)發(fā)送到目標(biāo)IP地址���。這些網(wǎng)絡(luò)設(shè)備發(fā)送的大量響應(yīng)導(dǎo)致目標(biāo)網(wǎng)絡(luò)拒絕服務(wù)。
類(lèi)似于SNMP放大攻擊��,Microsoft SQL(MSSQL)攻擊基于一種濫用Microsoft SQL服務(wù)器解析協(xié)議來(lái)發(fā)動(dòng)反射式DDoS攻擊的技術(shù)�。攻擊發(fā)生于Microsoft SQL服務(wù)器對(duì)客戶(hù)端查詢(xún)或請(qǐng)求做出響應(yīng)時(shí),嘗試?yán)脗陕?tīng)UDP 1434端口的Microsoft SQL服務(wù)器解析協(xié)議(MC-SQLR)�。
網(wǎng)絡(luò)層DDoS攻擊:國(guó)家/地區(qū)分布
源于摩爾多瓦的攻擊較前一個(gè)季度翻了兩番,使其成為網(wǎng)絡(luò)層DDoS攻擊活動(dòng)占比最高的國(guó)家�。
在分析網(wǎng)絡(luò)層DDoS攻擊時(shí),我們統(tǒng)計(jì)流量的依據(jù)是接收流量的Cloudflare邊緣數(shù)據(jù)中心位置����,而不是源IP地址���。這樣做的原因在于,攻擊者在發(fā)起網(wǎng)絡(luò)層攻擊時(shí)�����,可以通過(guò)偽造源IP地址來(lái)混淆攻擊來(lái)源并在攻擊屬性中引入隨機(jī)性��,這可能會(huì)使簡(jiǎn)單的DDoS防護(hù)系統(tǒng)更難攔截攻擊�。因此,如果我們根據(jù)偽造的源IP推導(dǎo)出源國(guó)家/地區(qū)�����,我們將得到一個(gè)偽造的國(guó)家/地區(qū)�。
Cloudflare能夠通過(guò)根據(jù)Cloudflare觀察到攻擊的數(shù)據(jù)中心位置顯示攻擊數(shù)據(jù)來(lái)克服偽造IP的挑戰(zhàn)�。我們?cè)谌?50多個(gè)城市擁有數(shù)據(jù)中心,因而能夠在報(bào)告中體現(xiàn)準(zhǔn)確的地理位置����。
摘要
Cloudflare的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng),使互聯(lián)網(wǎng)對(duì)所有人都更安全���、更快速���、更可靠——即使面對(duì)DDoS攻擊也如此�。作為這個(gè)使命的一部分�,我們自2017年以來(lái)一直向我們所有客戶(hù)提供免費(fèi)的不計(jì)量、無(wú)限D(zhuǎn)DoS防護(hù)����。多年來(lái),攻擊者發(fā)動(dòng)DDoS攻擊的難度變得越來(lái)越低����。為了對(duì)抗攻擊者的優(yōu)勢(shì),我們想確保所有規(guī)模的組織也能輕松����、免費(fèi)地防護(hù)各種類(lèi)型的DDoS攻擊。
立即登錄��,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
