2023年伊始�����,威脅行為者就發(fā)動(dòng)了一系列重大攻擊�����。年初出現(xiàn)了一系列針對(duì)西方目標(biāo)(包括銀行、機(jī)場(chǎng)、醫(yī)療和大學(xué))的黑客活動(dòng)���,主要由通過Telegram組織的Killnet以及最近的AnonymousSudan發(fā)動(dòng)�。
主要目標(biāo)行業(yè)
全球范圍內(nèi)���,按總帶寬計(jì)算�,互聯(lián)網(wǎng)公司遭受到最多HTTP DDoS攻擊流量。排在其后的是營(yíng)銷和廣告行業(yè)���、計(jì)算機(jī)軟件行業(yè)���、游戲/泛娛樂和電信行業(yè)�。
HTTP DDoS攻擊的主要目標(biāo)行業(yè)
(攻擊流量占所有行業(yè)總流量的百分比)
根據(jù)攻擊流量占行業(yè)總流量的百分比���,非營(yíng)利組織是今年第一季度受攻擊最多的行業(yè)�����,其次是會(huì)計(jì)事務(wù)所�����。盡管針對(duì)醫(yī)療保健行業(yè)的攻擊有所增長(zhǎng)����,但該行業(yè)并沒有進(jìn)入前十名。另外����,化學(xué)����、政府和能源公用事業(yè)和廢物處理行業(yè)前列����。在美國(guó)���,到美國(guó)聯(lián)邦政府網(wǎng)站的所有流量中�,近2%是DDoS攻擊流量��。
HTTP DDoS攻擊的主要目標(biāo)行業(yè)
(攻擊流量占該行業(yè)總流量的百分比)
按區(qū)域劃分��,游戲/泛娛樂行業(yè)是亞洲���、歐洲和中東地區(qū)受攻擊最多的行業(yè)。在南美和中美地區(qū)��,銀行���、金融服務(wù)和保險(xiǎn)(BFSI)行業(yè)是受攻擊最多的行業(yè)����。在北美地區(qū)���,營(yíng)銷和廣告行業(yè)是受攻擊最多的行業(yè)�����,其次是電信行業(yè)。而在非洲地區(qū),電信行業(yè)是受攻擊最多的行業(yè)�。最后,在大洋洲地區(qū)����,醫(yī)療和健身行業(yè)是HTTP DDoS攻擊最多的行業(yè)。
在OSI模型的更低層,按L3/4攻擊的總流量計(jì)算���,受攻擊最多的行業(yè)是信息技術(shù)與服務(wù)��、游戲/泛娛樂和電信行業(yè)��。
L3/4 DDoS攻擊的主要目標(biāo)行業(yè)
(攻擊流量占所有行業(yè)總DDoS流量的百分比)
將攻擊流量與每個(gè)行業(yè)的總流量進(jìn)行比較時(shí)�����,情況有所不同���。發(fā)送到廣播媒體公司的流量中,接近一半為L(zhǎng)3/4 DDoS攻擊流量�����。
L3/4 DDoS攻擊的主要目標(biāo)行業(yè)
(攻擊流量占該行業(yè)總流量的百分比)
攻擊來(lái)源
·主要來(lái)源國(guó)家/地區(qū)
根據(jù)攻擊流量占該國(guó)總流量的百分比���,在2023年第一季度��,芬蘭是HTTP DDoS攻擊的最重要來(lái)源國(guó)家。緊隨芬蘭之后��,英屬維爾京群島排名第二,利比亞和巴巴多斯分別排名第三和第四�����。
HTTP DDoS攻擊的主要來(lái)源國(guó)家/地區(qū)
(攻擊流量占該國(guó)總流量的百分比)
就絕對(duì)流量而言�,大部分HTTP DDoS攻擊流量來(lái)自美國(guó)IP地址����。中國(guó)位列第二�����,其后是德國(guó)�、印度尼西亞、巴西和芬蘭���。
HTTP DDoS攻擊的主要來(lái)源國(guó)家
(占全球攻擊總流量的百分比)
就L3/4 DDoS攻擊流量而言���,越南是最大的來(lái)源國(guó)家�����。在我們的越南數(shù)據(jù)中心�����,接收到的L3/4流量中近三分之一為攻擊流量�����。排在越南之后的是巴拉圭�、摩爾多瓦和牙買加。
L3/4 DDoS攻擊的主要來(lái)源國(guó)家/地區(qū)
(攻擊流量占該國(guó)總流量的百分比)
我們觀察到的攻擊類型和規(guī)模
·攻擊規(guī)模和持續(xù)時(shí)間
從針對(duì)我們的客戶和我們自己的網(wǎng)絡(luò)和應(yīng)用發(fā)起的攻擊類型來(lái)看�����,大多數(shù)攻擊都是短暫且規(guī)模較小的��;86%的網(wǎng)絡(luò)層DDoS攻擊持續(xù)時(shí)間不到10分鐘�����,而且91%的攻擊從未超過500 Mbps�。
網(wǎng)絡(luò)層DDoS攻擊:持續(xù)時(shí)間分布
50次攻擊中僅一次超過10 Gbps,1000次攻擊中僅一次超過100 Gbps����。
網(wǎng)絡(luò)層DDoS攻擊按比特率分布
盡管如此,較大規(guī)模攻擊的數(shù)量和頻率正在緩慢增加���。上個(gè)季度���,超過100 Gbps的攻擊數(shù)量環(huán)比增長(zhǎng)了67%����。本季度����,超過100 Gbps的攻擊數(shù)量增幅放緩至6%�,但仍在增長(zhǎng)。實(shí)際上�,除了大多數(shù)攻擊所屬的“小型”類別以外,所有容量耗盡型攻擊均有所增加�,如下圖所示。最大增長(zhǎng)來(lái)自10-100 Gbps范圍內(nèi)的攻擊,較上季度增長(zhǎng)了89%�。
網(wǎng)絡(luò)層DDoS攻擊按規(guī)模分布:季度環(huán)比變化
·攻擊手段
本季度��,我們觀察到一個(gè)重大變化���。SYN洪水以22%的份額滑落到第二位,使基于DNS的DDoS攻擊成為最流行的攻擊手段(30%)���。近三分之一的L3/4 DDoS攻擊是基于DNS的攻擊�,包括DNS洪水或DNS放大/反射攻擊。緊隨其后�����,基于UDP的攻擊占21%��,位居第三����。
主要DDoS攻擊手段
·新興威脅
每個(gè)季度我們都會(huì)看到舊的,甚至是古老的攻擊手段反復(fù)出現(xiàn)�。由此可見,即使是十年前的漏洞仍然被利用來(lái)發(fā)動(dòng)攻擊��。威脅行為者正在循環(huán)和重復(fù)使用舊的方法——也許是希望組織已經(jīng)放棄了針對(duì)較舊方法的保護(hù)��。
在2023年第一季度,基于SPSS的DDoS攻擊�、DNS放大攻擊和基于GRE DDoS攻擊大幅增加。
主要的新興DDoS威脅
·基于SPSS的DDoS攻擊較上季度增長(zhǎng)1565%
統(tǒng)計(jì)產(chǎn)品與服務(wù)解決方案(SPSS)是IBM開發(fā)的軟件套件��,用于數(shù)據(jù)管理、商業(yè)智能和刑事調(diào)查等用例。Sentinel RMS許可證管理器服務(wù)器用于管理諸如IBM SPSS系統(tǒng)之類的軟件產(chǎn)品的許可證�����。早在2021年��,Sentinel RMS許可證管理器服務(wù)器中發(fā)現(xiàn)了兩個(gè)漏洞(CVE-2021-22713和CVE-2021-38153)���,可被利用發(fā)動(dòng)反射DDoS攻擊。攻擊者可以向服務(wù)器發(fā)送大量特別構(gòu)造的許可請(qǐng)求��,導(dǎo)致服務(wù)器生成比原始請(qǐng)求大得多的響應(yīng)�����。該響應(yīng)被發(fā)送回受害者的IP地址��,有效放大攻擊的規(guī)模����,用流量淹沒受害者的網(wǎng)絡(luò)。這種類型的攻擊被稱為反射DDoS攻擊,它可能會(huì)對(duì)依賴Sentinel RMS許可證管理器的軟件產(chǎn)品的可用性造成重大影響����,例如IBM SPSS Statistics。為防止這些漏洞被利用并有效防御反射DDoS攻擊�����,必須對(duì)許可證管理器打上可用的補(bǔ)丁��。
·DNS放大DDoS攻擊較上季度增長(zhǎng)了958%
DNS放大攻擊是一種DDoS攻擊����,利用域名系統(tǒng)(DNS)基礎(chǔ)設(shè)施中的漏洞來(lái)產(chǎn)生大量針對(duì)受害者網(wǎng)絡(luò)的流量。攻擊者向已被錯(cuò)誤配置而允許任何來(lái)源的遞歸查詢的開放DNS解析器發(fā)送DNS請(qǐng)求����,并使用這些請(qǐng)求生成比原始查詢大得多的響應(yīng)。然后���,攻擊者假冒受害者的IP地址�,導(dǎo)致大規(guī)模響應(yīng)被定向到受害者的網(wǎng)絡(luò)�,用流量淹沒后者并導(dǎo)致拒絕服務(wù)。緩解DNS放大攻擊的挑戰(zhàn)在于很難區(qū)分攻擊流量與合法流量�,使得在網(wǎng)絡(luò)層阻止攻擊變得困難����。為了緩解DNS放大攻擊���,組織可以采取一些措施���,例如正確配置DNS解析器、實(shí)施速率限制技術(shù)�,并使用流量過濾工具阻止已知攻擊來(lái)源的流量。
·基于GRE的DDoS攻擊較上季度增長(zhǎng)835%
基于GRE的DDoS攻擊利用通用路由封裝(GRE)向受害者的網(wǎng)絡(luò)發(fā)送大量流量以將其淹沒���。攻擊者在被入侵的主機(jī)之間創(chuàng)建多個(gè)GRE隧道�,以向受害者的網(wǎng)絡(luò)發(fā)送流量����。這些攻擊很難檢測(cè)和過濾���,因?yàn)榱髁吭谑芎φ叩木W(wǎng)絡(luò)上看起來(lái)像合法流量��。攻擊者還可以使用源IP地址欺騙�����,使流量看似來(lái)自合法來(lái)源����,使得在網(wǎng)絡(luò)層阻止攻擊變得困難?����;贕RE的DDoS攻擊給目標(biāo)組織造成多種風(fēng)險(xiǎn)��,包括停機(jī)�����、業(yè)務(wù)運(yùn)營(yíng)中斷以及潛在的數(shù)據(jù)盜竊或網(wǎng)絡(luò)滲透�����。緩解這些攻擊需要使用先進(jìn)的流量過濾工具�,可以基于攻擊流量的特征進(jìn)行檢測(cè)和阻止,同時(shí)使用速率限制和源IP地址過濾等技術(shù)來(lái)阻止已知攻擊來(lái)源的流量��。
DDoS威脅趨勢(shì)
近幾個(gè)月來(lái)����,在各行各業(yè)���,持續(xù)時(shí)間較長(zhǎng)、規(guī)模較大的DDoS攻擊有所增加�����,其中容量耗盡型攻擊尤其突出�����。非營(yíng)利和廣播媒體公司是部分受到最多攻擊的行業(yè)����。DNS DDoS攻擊也越來(lái)越普遍。
由于DDoS攻擊通常是由僵尸網(wǎng)絡(luò)執(zhí)行����,因此自動(dòng)化的檢測(cè)和緩解對(duì)于有效的防御至關(guān)重要。Cloudflare的自動(dòng)化系統(tǒng)持續(xù)為客戶檢測(cè)和緩解DDoS攻擊��,讓其專注于業(yè)務(wù)的其他方面��。我們認(rèn)為�,DDoS保護(hù)應(yīng)該易于為各種規(guī)模的組織所用���,并自2017以來(lái)一直提供免費(fèi)�����、無(wú)限的保護(hù)��。
Cloudflare的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)�����,而更好的互聯(lián)網(wǎng)就是對(duì)每個(gè)人都更安全�����、更快和更可靠�。
有關(guān)報(bào)告統(tǒng)計(jì)方法的說(shuō)明
我們?nèi)绾斡?jì)算勒索DDoS攻擊洞察
Cloudflare的系統(tǒng)不斷分析流量,并在檢測(cè)到DDoS攻擊時(shí)自動(dòng)應(yīng)用緩解措施�。每個(gè)遭到攻擊的客戶都會(huì)收到自動(dòng)調(diào)查的提示,以幫助我們更好地了解攻擊的性質(zhì)和緩解是否成功����。兩年多來(lái),Cloudflare一直對(duì)受到攻擊的客戶進(jìn)行調(diào)查�����。調(diào)查的問題之一是客戶是否收到威脅或勒索信。過去兩年來(lái)�,我們平均每個(gè)季度收集到167份答卷。本調(diào)查的答卷用于計(jì)算勒索DDoS攻擊的比例�。
我們?nèi)绾斡?jì)算地域和行業(yè)洞察
來(lái)源國(guó)家/地區(qū)
在應(yīng)用層,我們使用攻擊IP地址來(lái)了解攻擊的來(lái)源國(guó)家/地區(qū)��。這是因?yàn)?�,?yīng)用層的IP地址不能偽造(更改)��。然而�,網(wǎng)絡(luò)層的來(lái)源IP地址可以被偽造。因此�,我們不依賴IP地址來(lái)了解來(lái)源,而是使用接收到攻擊數(shù)據(jù)包的數(shù)據(jù)中心位置����。由于在全球超過285個(gè)地點(diǎn)的廣泛覆蓋,我們能夠獲得準(zhǔn)確的地理位置�。
目標(biāo)國(guó)家/地區(qū)
對(duì)于應(yīng)用層和網(wǎng)絡(luò)層DDoS攻擊,我們均使用客戶賬單國(guó)家/地區(qū)來(lái)分類攻擊和流量�。這讓我們了解哪些國(guó)家/地區(qū)受到更多攻擊。
目標(biāo)行業(yè)
對(duì)于應(yīng)用層和網(wǎng)絡(luò)層DDoS攻擊�����,我們均使用客戶關(guān)系管理系統(tǒng)中的客戶行業(yè)來(lái)分類攻擊和流量����。這讓我們了解哪些行業(yè)受到更多攻擊。
總流量vs.百分比
對(duì)于來(lái)源和目標(biāo)分析����,我們通常將攻擊流量和總流量的比較作為一個(gè)數(shù)據(jù)點(diǎn)。另外�����,我們還考慮流向或從特定國(guó)家/地區(qū)到特定國(guó)家/地區(qū)或特定行業(yè)的攻擊流量占總流量的比例�����。這可以提供某個(gè)國(guó)家/地區(qū)或行業(yè)的“攻擊活動(dòng)率”����,根據(jù)其總流量水平進(jìn)行標(biāo)準(zhǔn)化。這種方法有助于消除某個(gè)國(guó)家/地區(qū)或行業(yè)因?yàn)槠浔旧砹髁亢艽?���、攻擊流量也很大而產(chǎn)生的偏差。
我們?nèi)绾斡?jì)算攻擊特征
為了計(jì)算攻擊大小、持續(xù)時(shí)間�、攻擊手段和新興威脅,我們通常會(huì)將攻擊分組��,然后為每個(gè)維度提供每個(gè)分組所占總量的比例���。
一般免責(zé)聲明和澄清
當(dāng)我們描述作為攻擊來(lái)源或目標(biāo)的主要國(guó)家/地區(qū)時(shí)�����,這并不一定意味著該國(guó)家/地區(qū)作為一個(gè)整體被攻擊��,而是指使用該國(guó)家作為賬單國(guó)家的組織受到了攻擊��。同樣地����,攻擊源于某個(gè)國(guó)家/地區(qū)并不意味著該國(guó)家/地區(qū)發(fā)動(dòng)了攻擊����,而是指攻擊是從被映射到該國(guó)家/地區(qū)的IP地址發(fā)起的。威脅行為者使用節(jié)點(diǎn)遍布全球的僵尸網(wǎng)絡(luò)����,很多情況下也使用虛擬專用網(wǎng)絡(luò)(VPN)和代理來(lái)混淆自己的真實(shí)位置��。因此�����,來(lái)源國(guó)家/地區(qū)可能表明該國(guó)家/地區(qū)存在出口節(jié)點(diǎn)或僵尸網(wǎng)絡(luò)節(jié)點(diǎn)����。
立即登錄�����,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
