Cloudflare的使命是幫助構建更好的互聯(lián)網(wǎng)�����,使互聯(lián)網(wǎng)對所有人都更安全、更快速�����、更可靠——即使面對DDoS攻擊也如此���。作為這個使命的一部分�,我們自2017年以來一直向我們所有客戶提供免費的不計量、無限DDoS防護�����。
網(wǎng)絡層DDoS攻擊:行業(yè)分布
很多網(wǎng)絡層DDoS攻擊以Cloudflare的IP地址段為直接目標�����。這些IP地址段服務我們的WAF/CDN客戶�、Cloudflare權威DNS、Cloudflare公共DNS解析器1.1.1.1���、Cloudflare Zero Trust產(chǎn)品�����、我們的企業(yè)辦公室等���。此外,我們也通過我們的Spectrum產(chǎn)品向客戶分配專用IP地址����,并通過我們的Magic Transit、Magic WAN和Magic Firewall產(chǎn)品廣播其他公司的IP地址�,以便提供L3/4 DDoS保護。
本報告中����,我們首次開始根據(jù)使用Spectrum和Magic產(chǎn)品的客戶所在行業(yè)對網(wǎng)絡層DDoS攻擊進行分類。這樣分類可以讓我們了解哪些行業(yè)受到最多網(wǎng)絡層DDoS攻擊���。
從第一季度統(tǒng)計數(shù)據(jù)來看�,我們發(fā)現(xiàn)�����,就針對Cloudflare客戶發(fā)動的攻擊包數(shù)量和字節(jié)數(shù)而言�����,電信行業(yè)是第一大目標���。在Cloudflare緩解的所有攻擊字節(jié)數(shù)和攻擊包數(shù)中�����,針對電信公司的分別超過8%和10%�����。
緊隨其后����,位居第二和第三的分別是游戲/博彩和信息技術服務行業(yè)。
網(wǎng)絡層DDoS攻擊:按目標國家/地區(qū)分布
類似于按客戶的行業(yè)分類����,我們也能按照客戶的賬單國家/地區(qū)來歸類攻擊(與我們對應用層DDoS攻擊分類相同),以識別受到最多攻擊的國家/地區(qū)�����。
第一季度的數(shù)據(jù)顯示����,以美國為目標的DDoS攻擊流量占比例最高——相當于攻擊包總數(shù)的10%以上,接近攻擊字節(jié)總數(shù)的8%���。其次是中國���、加拿大和新加坡。
網(wǎng)絡層DDoS攻擊:出口國家分布
在嘗試了解網(wǎng)絡層DDoS攻擊的來源時,我們不能使用分析應用層攻擊的相同方法�����。要發(fā)動應用層DDoS攻擊����,必須在客戶端和服務器之間發(fā)生成功的握手�,才能建立HTTP/S連接。要發(fā)生成功的握手�����,攻擊不能偽造其來源IP地址�。雖然攻擊者可以使用僵尸網(wǎng)絡、代理和其他方法來混淆自己的身份����,攻擊客戶端的源IP地址位置足以代表應用層DDoS攻擊的攻擊來源。
另一方面���,要發(fā)動網(wǎng)絡層DDoS攻擊���,大部分情況下不需要握手。攻擊者可偽造源IP地址來混淆攻擊來源,并在攻擊屬性中引入隨機性����,使得簡單的DDoS防御系統(tǒng)更難攔截攻擊。因此����,如果我們根據(jù)偽造的源IP推導出源國家/地區(qū),我們將得到一個偽造的國家/地區(qū)�����。
為此����,在分析網(wǎng)絡層DDoS攻擊來源時,我們以接收流量的Cloudflare邊緣數(shù)據(jù)中心的位置來分類流量�,而非根據(jù)(可能)偽造的源IP地址,以了解攻擊的源頭����。由于在全球270多個城市設有數(shù)據(jù)中心,我們能夠在報告中實現(xiàn)地理位置上的準確性���。即使這個方法也不是100%準確的�,這是因為,出于降低成本�、擁堵和故障管理等各種原因,流量可通過各種互聯(lián)網(wǎng)服務提供商(ISP)和國家/地區(qū)來回傳和路由����。
第一季度期間,在Cloudflare阿塞拜疆數(shù)據(jù)中心檢測到的攻擊百分比環(huán)比增長16624%����,同比增長96900%����,使其成為網(wǎng)絡層DDoS攻擊活動占比最高的國家(48.5%)。
居第二位的是我們的巴勒斯坦數(shù)據(jù)中心����,DDoS流量占總流量的比例達到驚人的41.9%。這個數(shù)字環(huán)比增長10120%����,同比增長46456%。
攻擊手段
第一季度期間����,SYN洪水依然是最常見的DDoS攻擊手段,而通用UDP洪水的使用出現(xiàn)顯著減少。
攻擊手段是指攻擊者用于發(fā)動DDoS攻擊的方法���,即IP協(xié)議���、數(shù)據(jù)包屬性(如TCP標志)、洪水方法和其他條件����。
第一季度期間,SYN洪水占網(wǎng)絡層DDoS攻擊的57%���,環(huán)比增長69%���,同比增長13%。位居第二的是SSDP攻擊���,環(huán)比增長超過1100%���。其后是RST洪水和UDP攻擊。上一季度中���,通用UDP洪水占第二位���。但這個季度中�����,通用UDP DDoS攻擊環(huán)比銳減了87%�,從32%降至區(qū)區(qū)的3.9%�����。
新興威脅
識別最主要的攻擊手段有助于組織了解威脅形勢�,繼而幫助他們改善安全態(tài)勢����,以防范這些威脅。同樣的�,新興威脅也許僅占很少一部分,但了解這些威脅有助于在它們成為強大力量前加以緩解����。
對第一季度的新興威脅分析可見,Lantronix服務反射DDoS攻擊和SSDP反射攻擊均有所增長�,環(huán)比增幅分別為971%和724%。此外����,SYN-ACK攻擊環(huán)比增長437%�,而Mirai僵尸網(wǎng)絡攻擊環(huán)比增長321%���。
反射Lantronix Discovery Service流量的攻擊
Lantronix是一家美國軟件和硬件公司�,提供豐富的產(chǎn)品服務�����,包括物聯(lián)網(wǎng)管理解決方案���。他們提供用于管理物聯(lián)網(wǎng)組件的工具之一是Lantronix發(fā)現(xiàn)協(xié)議����。這是一個命令行工具�����,幫助搜索和找到Lantronix設備����。這個發(fā)現(xiàn)工具是基于UDP協(xié)議的,意味著不需要握手�����。源IP地址可以被偽造。因此����,攻擊者可使用這個工具,以一個4字節(jié)的請求來搜索公開暴露的Lantronix設備����,后者將以來自端口30718的30字節(jié)響應來進行回應。通過假冒成受害者的源IP地址���,所有Lantronix設備都會將響應發(fā)送到受害者�����,從而形成一次反射/放大攻擊。
簡單服務發(fā)現(xiàn)協(xié)議(SSDP)用于反射DDoS攻擊
簡單服務發(fā)現(xiàn)協(xié)議(SSDP)的工作原理類似于Lantronix發(fā)現(xiàn)協(xié)議����,但其用于通用即插即用(UPnP)設備,例如網(wǎng)絡打印機���。通過濫用SSDP協(xié)議�����,攻擊者能產(chǎn)生基于反射的DDoS攻擊�,以壓垮目標的基礎設施,導致互聯(lián)網(wǎng)資產(chǎn)宕機�����。
網(wǎng)絡層DDoS攻擊:攻擊規(guī)模分布
第一季度期間����,我們觀察到容量耗盡型攻擊顯著增加——從包速率和比特率來看均如此。超過10 Mpps的攻擊環(huán)比增長逾300%���,超過100 Gbps的攻擊環(huán)比增長645%����。
衡量L3/4DDoS攻擊的規(guī)模有不同的方法���。一種方法是測量它產(chǎn)生的流量大小����,以比特率為單位(例如�,Tbps或Gbps)����。另一種是測量它產(chǎn)生的數(shù)據(jù)包數(shù)�����,以數(shù)據(jù)包速率為單位(例如�,Mpps:百萬數(shù)據(jù)包/每秒)。
高比特率的攻擊試圖使互聯(lián)網(wǎng)鏈路飽和����,而高數(shù)據(jù)包速率的攻擊會使路由器或其他聯(lián)網(wǎng)硬件設備不堪重負。這些設備分配一定的內(nèi)存和計算能力來處理每個數(shù)據(jù)包�。因此,通過向設備發(fā)送大量數(shù)據(jù)包��,該設備的處理資源就可能被耗盡���。在這種情況下,數(shù)據(jù)包就會“被丟棄”���,即設備無法再處理數(shù)據(jù)包��。對用戶而言��,這會導致服務中斷和拒絕服務���。
數(shù)據(jù)包速率分布
大多數(shù)網(wǎng)絡層DDoS攻擊的包速率在50kpps以下�����。雖然50kpps在Cloudflare的尺度上處于較低水平��,但其仍能輕松地壓垮不受保護的互聯(lián)網(wǎng)資產(chǎn)���,甚至能堵塞標準的千兆以太網(wǎng)連接。
從攻擊規(guī)模的變化來看���,超過10Mpps的攻擊環(huán)比增長逾300%���。同樣,1-10Mpps的攻擊環(huán)比增長接近40%���。
比特率分布
大多數(shù)網(wǎng)絡層DDoS攻擊的在500 Mbps以下���。這在Cloudflare的尺度上也是微不足道的,但仍能在很短時間內(nèi)導致容量較小的互聯(lián)網(wǎng)資產(chǎn)宕機,或至少導致?lián)砣?��,即使標準的千兆以太網(wǎng)連接也如此��。
類似于在包速率角度觀察到的趨勢���,我們在這個方面也能看到大幅增長。峰值超過100Gbps的DDoS攻擊環(huán)比增長645%���;峰值介于10Gbps至100Gpbs的攻擊增長407%�����;峰值介于1Gbps至10Gbps的攻擊增長88%����;甚至峰值介于500Mbps至1Gbps的攻擊也環(huán)比增長接近20%���。
網(wǎng)絡層DDoS攻擊:持續(xù)時間分布
大多數(shù)攻擊的持續(xù)時間仍在一小時以內(nèi)�����,再次表明有必要采取始終啟用的自動DDoS緩解解決方案。
我們測量攻擊持續(xù)時間的方式是:記錄系統(tǒng)首次檢測到攻擊與具備該攻擊特征的最后一個數(shù)據(jù)包之間的時間差。
在此前的報告中���,我們提供“一小時以內(nèi)的攻擊”和更大時間范圍的細分數(shù)據(jù)����。然而��,大部分情況下��,超過90%的攻擊持續(xù)時間不到一小時��。因此���,從這份報告開始��,我們將短時間攻擊進一步拆分�����,并按照更短的時間范圍來分組�����,以提供更細的粒度���。
值得注意的是��,即使某一次攻擊僅持續(xù)幾分鐘���,如果能夠取得成功,則其影響會遠遠超過最初的攻擊持續(xù)時間���。對于一次成功的攻擊�����,IT人員可能要花費數(shù)小時或甚至數(shù)天才能恢復服務��。
在2022年第一季度�����,超過半數(shù)的攻擊持續(xù)10-20分鐘��,約40%持續(xù)不到10分鐘�����,還有大約5%持續(xù)20-40分鐘��,余下持續(xù)超過40分鐘�����。
短時間的攻擊很可能不被察覺���,特別是爆發(fā)攻擊,此類攻擊會在幾秒鐘內(nèi)用大量的包�����、字節(jié)或請求轟擊目標����。在這種情況下,依賴于安全分析來手動緩解的DDoS保護服務沒有機會及時緩解攻擊���。此類服務只能從攻擊后分析中吸取教訓���,然后部署過濾該攻擊指紋的新規(guī)則,期望下次能捕捉到它����。同樣����,使用“按需”服務(即安全團隊在遭到攻擊時將流量重定向至DDoS保護提供商)也無濟于事��,因為在流量到達按需DDoS保護提供商前����,攻擊就已經(jīng)結束了。
建議企業(yè)使用始終啟用的自動化DDoS防護服務�����,此類服務能分析流量并應用實時指紋識別��,從而及時攔截短暫的攻擊��。
摘要
Cloudflare的使命是幫助構建更好的互聯(lián)網(wǎng)�����,使互聯(lián)網(wǎng)對所有人都更安全����、更快速、更可靠——即使面對DDoS攻擊也如此����。作為這個使命的一部分����,我們自2017年以來一直向我們所有客戶提供免費的不計量��、無限DDoS防護����。近年來�����,攻擊者發(fā)動DDoS攻擊的難度變得越來越低����。為了對抗攻擊者的優(yōu)勢,我們想確保所有規(guī)模的組織能夠更輕松且免費地防御各種類型的DDoS攻擊�����。
閩公網(wǎng)安備 35010202001226號
