2022年第一季度DDoS攻擊趨勢（上）

歡迎閱讀我們2022年度的第一份DDoS報告，也是迄今為止第九份報告。本報告包括2022年1月至3月期間，在Cloudflare全球網(wǎng)絡(luò)的應(yīng)用層和網(wǎng)絡(luò)層觀察到的新數(shù)據(jù)點和深入分析。

2022年第一季度，應(yīng)用層DDoS攻擊出現(xiàn)激增，但網(wǎng)絡(luò)層DDoS攻擊的總數(shù)有所下降。盡管如此，我們觀察到的容量耗盡型DDoS攻擊仍較上一季度增加了645%，而且我們緩解了一次新的零日反射攻擊，其放大系數(shù)達到22億倍。

在俄羅斯和烏克蘭的網(wǎng)絡(luò)空間，受到最多攻擊的是網(wǎng)絡(luò)媒體和廣播媒體。在我們位于阿塞拜疆和巴勒斯坦的Cloudflare數(shù)據(jù)中心，我們已經(jīng)看到DDoS活動激增——表明這些地區(qū)內(nèi)有僵尸網(wǎng)絡(luò)在運行。

要點

俄羅斯與烏克蘭網(wǎng)絡(luò)空間

·俄羅斯網(wǎng)絡(luò)媒體公司成為第一季度俄羅斯國內(nèi)受到最多攻擊的行業(yè)。第二大目標(biāo)是互聯(lián)網(wǎng)行業(yè)，其次是加密貨幣，再次是零售。盡管針對俄羅斯加密貨幣公司的許多攻擊源自烏克蘭或美國，但另一個主要攻擊來源來自俄羅斯國內(nèi)本身。

·針對俄羅斯公司的大多數(shù)HTTP DDoS攻擊源于德國、美國、新加坡、芬蘭、印度、荷蘭和烏克蘭。值得注意的是，能夠識別網(wǎng)絡(luò)攻擊流量的來源不同于能夠識別攻擊者的位置。

·對烏克蘭發(fā)動的攻擊以廣播媒體和出版網(wǎng)站為目標(biāo)，且顯得更為分散，源于更多國家/地區(qū)，這可能表明攻擊者使用了全球僵尸網(wǎng)絡(luò)。盡管如此，大多攻擊流量源于美國、俄羅斯、德國、中國、英國和泰國。

勒索DDoS攻擊

·2022年1月，超過17%的受攻擊者報稱成為勒索DDoS攻擊的目標(biāo)或提前收到威脅。

·這個數(shù)字在2月期間大幅下降至6%，然后在3月下降至3%。

·整個第一季度期間，僅10%的受訪者報告勒索DDoS攻擊；同比下降28%，環(huán)比下降52%。

應(yīng)用層DDoS攻擊

·2022年第一季度是過去12個月內(nèi)應(yīng)用層攻擊最活躍的季度。HTTP層DDoS攻擊同比增長164%，環(huán)比增長135%。

·更深入分析可見，2022年3月的HTTP DDoS攻擊比整個第四季度都要多（也超過第三季度的總數(shù)和第一季度的總數(shù)）。

·繼中國連續(xù)四個季度為HTTP DDoS攻擊的最大來源后，美國在本季度上升到首位。源于美國的HTTP DDoS攻擊環(huán)比增長6777%，同比增長2225%。

網(wǎng)絡(luò)層DDoS攻擊

·第一季度期間，網(wǎng)絡(luò)層攻擊同比增長71%，但環(huán)比下降58%。

·網(wǎng)絡(luò)層DDoS攻擊的最主要目標(biāo)是電信行業(yè)，其次為游戲和博彩公司，信息技術(shù)和服務(wù)業(yè)。

·第一季度容量耗盡型攻擊錄得增長。超過10Mpps的攻擊環(huán)比增長300%，超過100 Gpbs的攻擊環(huán)比增長645%。

本報告基于Cloudflare DDoS防護系統(tǒng)自動檢測并緩解的DDoS攻擊。

簡要說明一下我們?nèi)绾螠y量在我們網(wǎng)絡(luò)上觀察到的DDoS攻擊。

為分析攻擊趨勢，我們計算“DDoS活動”率，即攻擊流量占我們?nèi)蚓W(wǎng)絡(luò)上觀察到的總流量（攻擊+清洗）、或在特定地點、或特定類別（如行業(yè)或賬單國家）流量中的百分比。通過測量百分比，我們能夠?qū)?shù)據(jù)點進行標(biāo)準(zhǔn)化，并避免絕對數(shù)字所反映出來的偏差。例如，如果某個Cloudflare數(shù)據(jù)中心接收到更多流量，則其也可能受到更多攻擊。

勒索攻擊

我們的系統(tǒng)持續(xù)分析流量，并在檢測到DDoS攻擊時自動應(yīng)用緩解措施。每個遭受DDoS攻擊的客戶都會收到自動調(diào)查的提示，以幫助我們更好地了解攻擊的性質(zhì)和緩解是否成功。

兩年多來，Cloudflare一直對受到攻擊的客戶進行調(diào)查，其中一個問題是客戶是否收到勒索信，要求其支付贖金來換取停止DDoS攻擊。在前一個季度——2021年第四季度，我們觀察到報告的勒索DDoS攻擊占比達到創(chuàng)紀(jì)錄的水平（20%）。這個季度期間，我們觀察到勒索DDoS攻擊比例有所下降，僅10%的受訪者報告勒索DDoS攻擊；同比下降28%，環(huán)比下降52%。

報告遭受勒索DDoS攻擊或在攻擊前收到威脅的受訪者所占百分比

按月細分，2022年1月是第一季度期間最多受訪者報告收到勒索信的月份。比例接近五分之一（17%）。

應(yīng)用層DDoS攻擊

應(yīng)用層DDoS攻擊，特別是HTTP DDoS攻擊，旨在通過使HTTP服務(wù)器無法處理合法用戶請求來造成破壞。如果服務(wù)器收到的請求數(shù)量超過其處理能力，服務(wù)器將丟棄合法請求甚至崩潰，導(dǎo)致對合法用戶的服務(wù)性能下降或中斷。

應(yīng)用層DDoS攻擊月度分布

第一季度期間，應(yīng)用層DDoS攻擊同比激增164%，環(huán)比激增135%，成為過去一年內(nèi)攻擊最活躍的季度。

2022年第一季度期間，應(yīng)用層DDoS攻擊上升至歷史新高。僅3月而言，HTTP DDoS攻擊就超過整個2021年第四季度（也超過第三季度的總數(shù)和第一季度的總數(shù)）。

（圖）過去12個月每季度應(yīng)用層DDoS攻擊的月度分布

應(yīng)用層DDoS攻擊：行業(yè)分布

消費電子是第一季度期間受到最多攻擊的行業(yè)。

全球范圍內(nèi)，消費電子行業(yè)是受到最多攻擊的行業(yè)，環(huán)比增長5086%。居第二位的是網(wǎng)絡(luò)媒體行業(yè)，環(huán)比增長2131%。第三位是計算機軟件公司，環(huán)比增長76%，同比增長1472%。

然而，如果僅關(guān)注烏克蘭和俄羅斯，則廣播媒體、網(wǎng)絡(luò)媒體公司和互聯(lián)網(wǎng)公司受到最多攻擊。

應(yīng)用層DDoS攻擊：來源國家/地區(qū)分布

為了解HTTP攻擊的來源，我們查看產(chǎn)生攻擊HTTP請求的客戶端的源IP地址。與網(wǎng)絡(luò)層攻擊不同，HTTP攻擊中的源IP無法假冒。特定國家/地區(qū)的高DDoS活動率通常表明有僵尸網(wǎng)絡(luò)在其境內(nèi)運行。

繼中國連續(xù)四個季度為HTTP DDoS攻擊的最大來源后，美國在本季度上升到首位。源于美國的HTTP DDoS攻擊環(huán)比增長6777%，同比增長2225%。中國居第二位，其后是印度、德國、巴西和烏克蘭。

應(yīng)用層DDoS攻擊：目標(biāo)國家/地區(qū)分布

為確定哪些國家/地區(qū)遭受到最多攻擊，我們按客戶的賬單所屬國家/地區(qū)統(tǒng)計DDoS攻擊，并計算占DDoS攻擊總數(shù)的百分比。

繼連續(xù)三個季度居首位后，美國在本季度退居第二位。中國的組織受到最多HTTP DDoS攻擊，其次為美國、俄羅斯和塞浦路斯。

網(wǎng)絡(luò)層DDoS攻擊

應(yīng)用層攻擊的目標(biāo)是（OSI模型）第七層的應(yīng)用程序，其上運行著最終用戶嘗試訪問的服務(wù)（對我們而言是HTTP/S），而網(wǎng)絡(luò)層攻擊旨在使網(wǎng)絡(luò)基礎(chǔ)設(shè)施（例如內(nèi)聯(lián)路由器和服務(wù)器）及互聯(lián)網(wǎng)鏈路本身不堪重負(fù)。

網(wǎng)絡(luò)層DDoS攻擊：月份分布

第一季度期間，雖然HTTP DDoS攻擊大幅增長，但網(wǎng)絡(luò)層DDoS攻擊實際上環(huán)比減少了58%，不過同比仍增長了71%。

對第一季度深入分析可見，網(wǎng)絡(luò)層DDoS攻擊在整個季度期間基本保持穩(wěn)定，每月發(fā)生的攻擊占三分之一左右。

Cloudflare緩解零日放大DDoS攻擊

以上網(wǎng)絡(luò)層DDoS攻擊也包括被Cloudflare自動檢測并緩解的零日DDoS攻擊。

3月初，Cloudflare的研究人員幫助調(diào)查并暴露了Mitel商業(yè)電話系統(tǒng)中的一個零日漏洞，該漏洞與也能被攻擊者利用發(fā)起放大式DDoS攻擊。這種類型的攻擊從存在漏洞的Mitel服務(wù)器將流量反射到受害者，在此過程中將發(fā)送的流量放大了22億倍。可在我們最近的博客文章中了解更多信息。

在我們的網(wǎng)絡(luò)上觀察到幾次這樣的攻擊。其中一次攻擊的目標(biāo)是一家使用Cloudflare Magic Transit的北美云服務(wù)提供商。此次攻擊來自100個源IP，主要來自美國、英國、加拿大、荷蘭、澳大利亞及另外約20個國家。攻擊峰值超過50Mpps（約22Gpbs），被Cloudflare系統(tǒng)自動檢測并緩解。