2023年第一季度DDoS威脅報(bào)告（上）

歡迎閱讀2023年第一份DDoS威脅報(bào)告。DDoS攻擊，即分布式拒絕服務(wù)攻擊,是一種網(wǎng)絡(luò)攻擊類型，旨在通過發(fā)送超過網(wǎng)站處理能力的流量，使其不堪重負(fù)，從而破壞其服務(wù)并使合法用戶無法訪問。本報(bào)告中將涵蓋在我們的全球網(wǎng)絡(luò)上觀察到的DDoS攻擊相關(guān)最新洞察和趨勢。

2023年初的一系列重大攻擊

2023年伊始，威脅行為者就發(fā)動(dòng)了一系列重大攻擊。年初出現(xiàn)了一系列針對西方目標(biāo)（包括銀行、機(jī)場、醫(yī)療和大學(xué)）的黑客活動(dòng)，主要由通過Telegram組織的Killnet以及最近的AnonymousSudan發(fā)動(dòng)。

盡管Killnet和AnonymousSudan領(lǐng)導(dǎo)的網(wǎng)絡(luò)攻擊引起了人們的關(guān)注，但我們并沒有看到這些組織發(fā)起新型或異常大規(guī)模的攻擊。

超大容量攻擊

然而，我們確實(shí)看到其他威脅行為者發(fā)起的超大容量DDoS攻擊有所增加，其中最大的一次攻擊峰值每秒7100萬個(gè)請求（rps）—比之前谷歌4600萬rps的世界紀(jì)錄高出55%。

回到Killnet和AnonymousSudan，盡管沒有報(bào)道任何值得注意的攻擊，但我們不應(yīng)低估潛在的風(fēng)險(xiǎn)。缺乏保護(hù)的互聯(lián)網(wǎng)資產(chǎn)曾經(jīng)并仍有可能遭到Killnet或AnonymousSudan領(lǐng)導(dǎo)的網(wǎng)絡(luò)活動(dòng)攻擊并癱瘓。組織應(yīng)采取積極的防御措施以降低風(fēng)險(xiǎn)。

依托于Cloudflare的保護(hù)，South American Telco遭受TB級攻擊后仍能正常運(yùn)營

第一季度期間，我們觀察到另一次達(dá)到1.3 Tbps（太比特/秒）的大型DDoS攻擊，目標(biāo)是一家南美洲的電信服務(wù)提供商。攻擊僅持續(xù)了一分鐘。該攻擊使用了多種手段，包括DNS和UDP攻擊流量。該攻擊是一個(gè)更廣泛的網(wǎng)絡(luò)攻擊活動(dòng)的一部分，其中包括多次TB級攻擊，源于一個(gè)擁有2萬多個(gè)Mirai變種節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)。大多數(shù)攻擊流量來自美國、巴西、日本、香港和印度。Cloudflare系統(tǒng)自動(dòng)檢測并緩解了這次攻擊，客戶的網(wǎng)絡(luò)沒有受到任何影響。

Cloudflare自動(dòng)緩解了一次1.3 Tbps的Mirai DDoS攻擊

高性能的僵尸網(wǎng)絡(luò)

超大容量攻擊利用新一代的僵尸網(wǎng)絡(luò)，這些網(wǎng)絡(luò)由虛擬專用服務(wù)器（VPS）組成，而不是物聯(lián)網(wǎng)（IoT）設(shè)備。

過去，大型僵尸網(wǎng)絡(luò)依賴于易受利用的物聯(lián)網(wǎng)設(shè)備（如智能安全攝像頭）來組織其攻擊。盡管每個(gè)物聯(lián)網(wǎng)設(shè)備的吞吐量有限，但聯(lián)合起來，通常達(dá)到數(shù)十萬或數(shù)百萬臺(tái)，則足以產(chǎn)生足夠的流量來破壞其攻擊目標(biāo)。

新一代僵尸網(wǎng)絡(luò)只需要少量的設(shè)備，但每個(gè)設(shè)備的性能都要高得多。云計(jì)算服務(wù)提供商提供虛擬專用服務(wù)器，使初創(chuàng)公司和企業(yè)能夠創(chuàng)建高性能的應(yīng)用程序。缺點(diǎn)是它也允許攻擊者創(chuàng)建高性能的僵尸網(wǎng)絡(luò)，性能高出5000倍之多。攻擊者通過攻擊未打補(bǔ)丁的服務(wù)器和使用泄露的API憑據(jù)入侵管理控制臺(tái)，從而獲取虛擬專用服務(wù)器的訪問權(quán)限。

Cloudflare一直在與主流云計(jì)算服務(wù)提供商合作，打擊這種基于VPS的僵尸網(wǎng)絡(luò)。通過云計(jì)算服務(wù)提供商的快速響應(yīng)和不懈努力，此類僵尸網(wǎng)絡(luò)的大部分已被禁用。自那時(shí)以來，我們還沒有看到更多超大容量攻擊，證明了以上合作卓有成效。

我們與網(wǎng)絡(luò)安全社區(qū)有著良好的合作，一旦我們檢測到此類大規(guī)模攻擊，就會(huì)采取行動(dòng)來摧毀僵尸網(wǎng)絡(luò)，但我們希望讓這個(gè)過程變得更簡單、更自動(dòng)化。

我們邀請?jiān)朴?jì)算服務(wù)提供商、托管服務(wù)提供商和其他服務(wù)提供商注冊Cloudflare的免費(fèi)Botnet Threat Feed以獲得對從其網(wǎng)絡(luò)內(nèi)發(fā)起的攻擊的可見性，并幫助我們摧毀僵尸網(wǎng)絡(luò)。

本季度報(bào)告的關(guān)鍵洞察

1.在第一季度，16%的受訪客戶報(bào)告遭受了勒索DDoS攻擊，相比上一季度保持穩(wěn)定，但同比增長了60%。

2.非營利組織和廣播媒體是遭到最多攻擊的兩個(gè)行業(yè)。按攻擊流量百分比計(jì)算，芬蘭是最大的HTTP DDoS攻擊來源地，也是網(wǎng)絡(luò)層DDoS攻擊的主要目標(biāo)。以色列是全球范圍內(nèi)遭受最多HTTP DDoS攻擊的國家。

3.大規(guī)模容量耗盡型DDoS攻擊（超過100 Gbps的攻擊）較上季度增長了6%。基于DNS的攻擊成為最流行的攻擊手段。類似地，我們觀察到SPSS攻擊、DNS放大攻擊和基于GRE的DDoS攻擊數(shù)量激增。

查看Cloudflare Radar上的交互式報(bào)告。

DDoS勒索攻擊

DDoS攻擊通常是為了勒索贖金而發(fā)動(dòng)的。我們繼續(xù)對Cloudflare客戶進(jìn)行調(diào)查，并跟蹤DDoS事件中目標(biāo)收到勒索信的比例。自2022年以來，這個(gè)數(shù)字持續(xù)上升，目前為16%，與2022年第四季度時(shí)相同。

每個(gè)季度報(bào)告勒索DDoS攻擊或威脅的用戶百分比如上圖所示

勒索軟件攻擊通常欺騙受害者下載文件或點(diǎn)擊電子郵件鏈接來加密和鎖定其計(jì)算機(jī)文件，與此不同，勒索DDoS攻擊執(zhí)行起來要容易得多。勒索DDoS攻擊不需要欺騙受害者打開電子郵件或點(diǎn)擊鏈接，也不需要入侵網(wǎng)絡(luò)或進(jìn)入企業(yè)的資產(chǎn)。

在勒索DDoS攻擊中，攻擊者不需要獲得受害者計(jì)算機(jī)的訪問權(quán)限，只需要向其發(fā)送足夠大量的流量，以使其網(wǎng)站、DNS服務(wù)器和任何其他接入互聯(lián)網(wǎng)的資產(chǎn)無法使用或性能低下。攻擊者將要求被攻擊者支付贖金，通常以比特幣的形式，以停止和/或避免進(jìn)一步的攻擊。

根據(jù)我們的用戶報(bào)告，2023年1月和2023年3月是勒索勒索DDoS活動(dòng)達(dá)到第二高峰值的月份。到目前為止，最高的月份仍然是2022年11月，期間適逢黑色星期五、感恩節(jié)和中國的雙11，對威脅行為者而言這是一個(gè)有利可圖的月份。

每月報(bào)告勒索DDoS攻擊或威脅的用戶百分比

受到攻擊的目標(biāo)區(qū)域及所屬行業(yè)

·受攻擊最多的國家/地區(qū)

可能與最近的司法改革和反對抗議活動(dòng)或西岸當(dāng)前緊張局勢有關(guān)，在第一季度，以色列躍升為遭受最多HTTP DDoS攻擊流量的國家，甚至超過了美國。這是一個(gè)驚人的數(shù)字：Cloudflare在第一季度處理的所有HTTP流量中，接近1%的流量是針對以色列網(wǎng)站的HTTP DDoS攻擊。緊隨以色列之后的是美國、加拿大和土耳其。

HTTP DDoS攻擊的主要目標(biāo)國家/地區(qū)

（攻擊流量占全球總流量的百分比）

就攻擊流量占特定國家/地區(qū)所有流量的百分比而言，斯洛文尼亞和格魯吉亞排名最前。到斯洛文尼亞和格魯吉亞網(wǎng)站的所有流量中，大約20%是HTTP DDoS攻擊。接下來是加勒比海小國圣基茨和尼維斯，以及土耳其。雖然以色列在前一張圖中排名第一，但在這里，以色列成為受攻擊最多的第九個(gè)國家，排名高于俄羅斯。與以往季度相比依然很高。

HTTP DDoS攻擊的主要目標(biāo)國家/地區(qū)

（攻擊流量占該國總流量的百分比）

從網(wǎng)絡(luò)層DDoS攻擊的總流量來看，中國依然位居第一。接近18%的網(wǎng)絡(luò)層DDoS攻擊流量來自中國。緊隨其后的是新加坡，占17%，排名第二。美國排名第三，其次是芬蘭。

網(wǎng)絡(luò)層DDoS攻擊的主要目標(biāo)國家/地區(qū)

（攻擊流量占全球DDoS總流量的百分比）

如果按某個(gè)國家/地區(qū)遭受的攻擊流量占該國所有流量的百分比計(jì)算，則芬蘭躍升到第一位，可能因?yàn)槠渥罱匠蔀楸奔s成員國。芬蘭的所有流量中，近83%是網(wǎng)絡(luò)層攻擊流量。緊隨其后的是中國，占68%，新加坡再次位居第三，占49%。

網(wǎng)絡(luò)層DDoS攻擊的主要目標(biāo)國家/地區(qū)

（攻擊流量占該國總流量的百分比）