2022年第一季度DDoS攻擊趨勢(shì)（下）

網(wǎng)絡(luò)層DDoS攻擊：行業(yè)分布

很多網(wǎng)絡(luò)層DDoS攻擊以Cloudflare的IP地址段為直接目標(biāo)。這些IP地址段服務(wù)我們的WAF/CDN客戶、Cloudflare權(quán)威DNS、Cloudflare公共DNS解析器1.1.1.1、Cloudflare Zero Trust產(chǎn)品、我們的企業(yè)辦公室等。此外，我們也通過(guò)我們的Spectrum產(chǎn)品向客戶分配專用IP地址，并通過(guò)我們的Magic Transit、Magic WAN和Magic Firewall產(chǎn)品廣播其他公司的IP地址，以便提供L3/4 DDoS保護(hù)。

本報(bào)告中，我們首次開(kāi)始根據(jù)使用Spectrum和Magic產(chǎn)品的客戶所在行業(yè)對(duì)網(wǎng)絡(luò)層DDoS攻擊進(jìn)行分類(lèi)。這樣分類(lèi)可以讓我們了解哪些行業(yè)受到最多網(wǎng)絡(luò)層DDoS攻擊。

從第一季度統(tǒng)計(jì)數(shù)據(jù)來(lái)看，我們發(fā)現(xiàn)，就針對(duì)Cloudflare客戶發(fā)動(dòng)的攻擊包數(shù)量和字節(jié)數(shù)而言，電信行業(yè)是第一大目標(biāo)。在Cloudflare緩解的所有攻擊字節(jié)數(shù)和攻擊包數(shù)中，針對(duì)電信公司的分別超過(guò)8%和10%。

緊隨其后，位居第二和第三的分別是游戲/博彩和信息技術(shù)服務(wù)行業(yè)。

網(wǎng)絡(luò)層DDoS攻擊：按目標(biāo)國(guó)家/地區(qū)分布

類(lèi)似于按客戶的行業(yè)分類(lèi)，我們也能按照客戶的賬單國(guó)家/地區(qū)來(lái)歸類(lèi)攻擊（與我們對(duì)應(yīng)用層DDoS攻擊分類(lèi)相同），以識(shí)別受到最多攻擊的國(guó)家/地區(qū)。

第一季度的數(shù)據(jù)顯示，以美國(guó)為目標(biāo)的DDoS攻擊流量占比例最高——相當(dāng)于攻擊包總數(shù)的10%以上，接近攻擊字節(jié)總數(shù)的8%。其次是中國(guó)、加拿大和新加坡。

網(wǎng)絡(luò)層DDoS攻擊：出口國(guó)家分布

在嘗試了解網(wǎng)絡(luò)層DDoS攻擊的來(lái)源時(shí)，我們不能使用分析應(yīng)用層攻擊的相同方法。要發(fā)動(dòng)應(yīng)用層DDoS攻擊，必須在客戶端和服務(wù)器之間發(fā)生成功的握手，才能建立HTTP/S連接。要發(fā)生成功的握手，攻擊不能偽造其來(lái)源IP地址。雖然攻擊者可以使用僵尸網(wǎng)絡(luò)、代理和其他方法來(lái)混淆自己的身份，攻擊客戶端的源IP地址位置足以代表應(yīng)用層DDoS攻擊的攻擊來(lái)源。

另一方面，要發(fā)動(dòng)網(wǎng)絡(luò)層DDoS攻擊，大部分情況下不需要握手。攻擊者可偽造源IP地址來(lái)混淆攻擊來(lái)源，并在攻擊屬性中引入隨機(jī)性，使得簡(jiǎn)單的DDoS防御系統(tǒng)更難攔截攻擊。因此，如果我們根據(jù)偽造的源IP推導(dǎo)出源國(guó)家/地區(qū)，我們將得到一個(gè)偽造的國(guó)家/地區(qū)。

為此，在分析網(wǎng)絡(luò)層DDoS攻擊來(lái)源時(shí)，我們以接收流量的Cloudflare邊緣數(shù)據(jù)中心的位置來(lái)分類(lèi)流量，而非根據(jù)（可能）偽造的源IP地址，以了解攻擊的源頭。由于在全球270多個(gè)城市設(shè)有數(shù)據(jù)中心，我們能夠在報(bào)告中實(shí)現(xiàn)地理位置上的準(zhǔn)確性。即使這個(gè)方法也不是100%準(zhǔn)確的，這是因?yàn)?，出于降低成本、擁堵和故障管理等各種原因，流量可通過(guò)各種互聯(lián)網(wǎng)服務(wù)提供商（ISP）和國(guó)家/地區(qū)來(lái)回傳和路由。

第一季度期間，在Cloudflare阿塞拜疆?dāng)?shù)據(jù)中心檢測(cè)到的攻擊百分比環(huán)比增長(zhǎng)16624%，同比增長(zhǎng)96900%，使其成為網(wǎng)絡(luò)層DDoS攻擊活動(dòng)占比最高的國(guó)家（48.5%）。

居第二位的是我們的巴勒斯坦數(shù)據(jù)中心，DDoS流量占總流量的比例達(dá)到驚人的41.9%。這個(gè)數(shù)字環(huán)比增長(zhǎng)10120%，同比增長(zhǎng)46456%。

攻擊手段

第一季度期間，SYN洪水依然是最常見(jiàn)的DDoS攻擊手段，而通用UDP洪水的使用出現(xiàn)顯著減少。

攻擊手段是指攻擊者用于發(fā)動(dòng)DDoS攻擊的方法，即IP協(xié)議、數(shù)據(jù)包屬性（如TCP標(biāo)志）、洪水方法和其他條件。

第一季度期間，SYN洪水占網(wǎng)絡(luò)層DDoS攻擊的57%，環(huán)比增長(zhǎng)69%，同比增長(zhǎng)13%。位居第二的是SSDP攻擊，環(huán)比增長(zhǎng)超過(guò)1100%。其后是RST洪水和UDP攻擊。上一季度中，通用UDP洪水占第二位。但這個(gè)季度中，通用UDP DDoS攻擊環(huán)比銳減了87%，從32%降至區(qū)區(qū)的3.9%。

新興威脅

識(shí)別最主要的攻擊手段有助于組織了解威脅形勢(shì)，繼而幫助他們改善安全態(tài)勢(shì)，以防范這些威脅。同樣的，新興威脅也許僅占很少一部分，但了解這些威脅有助于在它們成為強(qiáng)大力量前加以緩解。

對(duì)第一季度的新興威脅分析可見(jiàn)，Lantronix服務(wù)反射DDoS攻擊和SSDP反射攻擊均有所增長(zhǎng)，環(huán)比增幅分別為971%和724%。此外，SYN-ACK攻擊環(huán)比增長(zhǎng)437%，而Mirai僵尸網(wǎng)絡(luò)攻擊環(huán)比增長(zhǎng)321%。

反射Lantronix Discovery Service流量的攻擊

Lantronix是一家美國(guó)軟件和硬件公司，提供豐富的產(chǎn)品服務(wù)，包括物聯(lián)網(wǎng)管理解決方案。他們提供用于管理物聯(lián)網(wǎng)組件的工具之一是Lantronix發(fā)現(xiàn)協(xié)議。這是一個(gè)命令行工具，幫助搜索和找到Lantronix設(shè)備。這個(gè)發(fā)現(xiàn)工具是基于UDP協(xié)議的，意味著不需要握手。源IP地址可以被偽造。因此，攻擊者可使用這個(gè)工具，以一個(gè)4字節(jié)的請(qǐng)求來(lái)搜索公開(kāi)暴露的Lantronix設(shè)備，后者將以來(lái)自端口30718的30字節(jié)響應(yīng)來(lái)進(jìn)行回應(yīng)。通過(guò)假冒成受害者的源IP地址，所有Lantronix設(shè)備都會(huì)將響應(yīng)發(fā)送到受害者，從而形成一次反射/放大攻擊。

簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議（SSDP）用于反射DDoS攻擊

簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議（SSDP）的工作原理類(lèi)似于Lantronix發(fā)現(xiàn)協(xié)議，但其用于通用即插即用（UPnP）設(shè)備，例如網(wǎng)絡(luò)打印機(jī)。通過(guò)濫用SSDP協(xié)議，攻擊者能產(chǎn)生基于反射的DDoS攻擊，以壓垮目標(biāo)的基礎(chǔ)設(shè)施，導(dǎo)致互聯(lián)網(wǎng)資產(chǎn)宕機(jī)。

網(wǎng)絡(luò)層DDoS攻擊：攻擊規(guī)模分布

第一季度期間，我們觀察到容量耗盡型攻擊顯著增加——從包速率和比特率來(lái)看均如此。超過(guò)10 Mpps的攻擊環(huán)比增長(zhǎng)逾300%，超過(guò)100 Gbps的攻擊環(huán)比增長(zhǎng)645%。

衡量L3/4DDoS攻擊的規(guī)模有不同的方法。一種方法是測(cè)量它產(chǎn)生的流量大小，以比特率為單位（例如，Tbps或Gbps）。另一種是測(cè)量它產(chǎn)生的數(shù)據(jù)包數(shù)，以數(shù)據(jù)包速率為單位（例如，Mpps：百萬(wàn)數(shù)據(jù)包/每秒）。

高比特率的攻擊試圖使互聯(lián)網(wǎng)鏈路飽和，而高數(shù)據(jù)包速率的攻擊會(huì)使路由器或其他聯(lián)網(wǎng)硬件設(shè)備不堪重負(fù)。這些設(shè)備分配一定的內(nèi)存和計(jì)算能力來(lái)處理每個(gè)數(shù)據(jù)包。因此，通過(guò)向設(shè)備發(fā)送大量數(shù)據(jù)包，該設(shè)備的處理資源就可能被耗盡。在這種情況下，數(shù)據(jù)包就會(huì)“被丟棄”，即設(shè)備無(wú)法再處理數(shù)據(jù)包。對(duì)用戶而言，這會(huì)導(dǎo)致服務(wù)中斷和拒絕服務(wù)。

數(shù)據(jù)包速率分布

大多數(shù)網(wǎng)絡(luò)層DDoS攻擊的包速率在50kpps以下。雖然50kpps在Cloudflare的尺度上處于較低水平，但其仍能輕松地壓垮不受保護(hù)的互聯(lián)網(wǎng)資產(chǎn)，甚至能堵塞標(biāo)準(zhǔn)的千兆以太網(wǎng)連接。

從攻擊規(guī)模的變化來(lái)看，超過(guò)10Mpps的攻擊環(huán)比增長(zhǎng)逾300%。同樣，1-10Mpps的攻擊環(huán)比增長(zhǎng)接近40%。

比特率分布

大多數(shù)網(wǎng)絡(luò)層DDoS攻擊的在500 Mbps以下。這在Cloudflare的尺度上也是微不足道的，但仍能在很短時(shí)間內(nèi)導(dǎo)致容量較小的互聯(lián)網(wǎng)資產(chǎn)宕機(jī)，或至少導(dǎo)致?lián)砣词箻?biāo)準(zhǔn)的千兆以太網(wǎng)連接也如此。

類(lèi)似于在包速率角度觀察到的趨勢(shì)，我們?cè)谶@個(gè)方面也能看到大幅增長(zhǎng)。峰值超過(guò)100Gbps的DDoS攻擊環(huán)比增長(zhǎng)645%；峰值介于10Gbps至100Gpbs的攻擊增長(zhǎng)407%；峰值介于1Gbps至10Gbps的攻擊增長(zhǎng)88%；甚至峰值介于500Mbps至1Gbps的攻擊也環(huán)比增長(zhǎng)接近20%。

網(wǎng)絡(luò)層DDoS攻擊：持續(xù)時(shí)間分布

大多數(shù)攻擊的持續(xù)時(shí)間仍在一小時(shí)以內(nèi)，再次表明有必要采取始終啟用的自動(dòng)DDoS緩解解決方案。

我們測(cè)量攻擊持續(xù)時(shí)間的方式是：記錄系統(tǒng)首次檢測(cè)到攻擊與具備該攻擊特征的最后一個(gè)數(shù)據(jù)包之間的時(shí)間差。

在此前的報(bào)告中，我們提供“一小時(shí)以內(nèi)的攻擊”和更大時(shí)間范圍的細(xì)分?jǐn)?shù)據(jù)。然而，大部分情況下，超過(guò)90%的攻擊持續(xù)時(shí)間不到一小時(shí)。因此，從這份報(bào)告開(kāi)始，我們將短時(shí)間攻擊進(jìn)一步拆分，并按照更短的時(shí)間范圍來(lái)分組，以提供更細(xì)的粒度。

值得注意的是，即使某一次攻擊僅持續(xù)幾分鐘，如果能夠取得成功，則其影響會(huì)遠(yuǎn)遠(yuǎn)超過(guò)最初的攻擊持續(xù)時(shí)間。對(duì)于一次成功的攻擊，IT人員可能要花費(fèi)數(shù)小時(shí)或甚至數(shù)天才能恢復(fù)服務(wù)。

在2022年第一季度，超過(guò)半數(shù)的攻擊持續(xù)10-20分鐘，約40%持續(xù)不到10分鐘，還有大約5%持續(xù)20-40分鐘，余下持續(xù)超過(guò)40分鐘。

短時(shí)間的攻擊很可能不被察覺(jué)，特別是爆發(fā)攻擊，此類(lèi)攻擊會(huì)在幾秒鐘內(nèi)用大量的包、字節(jié)或請(qǐng)求轟擊目標(biāo)。在這種情況下，依賴于安全分析來(lái)手動(dòng)緩解的DDoS保護(hù)服務(wù)沒(méi)有機(jī)會(huì)及時(shí)緩解攻擊。此類(lèi)服務(wù)只能從攻擊后分析中吸取教訓(xùn)，然后部署過(guò)濾該攻擊指紋的新規(guī)則，期望下次能捕捉到它。同樣，使用“按需”服務(wù)（即安全團(tuán)隊(duì)在遭到攻擊時(shí)將流量重定向至DDoS保護(hù)提供商）也無(wú)濟(jì)于事，因?yàn)樵诹髁康竭_(dá)按需DDoS保護(hù)提供商前，攻擊就已經(jīng)結(jié)束了。

建議企業(yè)使用始終啟用的自動(dòng)化DDoS防護(hù)服務(wù)，此類(lèi)服務(wù)能分析流量并應(yīng)用實(shí)時(shí)指紋識(shí)別，從而及時(shí)攔截短暫的攻擊。

摘要

Cloudflare的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)，使互聯(lián)網(wǎng)對(duì)所有人都更安全、更快速、更可靠——即使面對(duì)DDoS攻擊也如此。作為這個(gè)使命的一部分，我們自2017年以來(lái)一直向我們所有客戶提供免費(fèi)的不計(jì)量、無(wú)限D(zhuǎn)DoS防護(hù)。近年來(lái)，攻擊者發(fā)動(dòng)DDoS攻擊的難度變得越來(lái)越低。為了對(duì)抗攻擊者的優(yōu)勢(shì)，我們想確保所有規(guī)模的組織能夠更輕松且免費(fèi)地防御各種類(lèi)型的DDoS攻擊。