2023年第一季度DDoS威脅報告（下）

主要目標行業(yè)

全球范圍內(nèi)，按總帶寬計算，互聯(lián)網(wǎng)公司遭受到最多HTTP DDoS攻擊流量。排在其后的是營銷和廣告行業(yè)、計算機軟件行業(yè)、游戲/泛娛樂和電信行業(yè)。

HTTP DDoS攻擊的主要目標行業(yè)

（攻擊流量占所有行業(yè)總流量的百分比）

根據(jù)攻擊流量占行業(yè)總流量的百分比，非營利組織是今年第一季度受攻擊最多的行業(yè)，其次是會計事務(wù)所。盡管針對醫(yī)療保健行業(yè)的攻擊有所增長，但該行業(yè)并沒有進入前十名。另外，化學、政府和能源公用事業(yè)和廢物處理行業(yè)前列。在美國，到美國聯(lián)邦政府網(wǎng)站的所有流量中，近2%是DDoS攻擊流量。

HTTP DDoS攻擊的主要目標行業(yè)

（攻擊流量占該行業(yè)總流量的百分比）

按區(qū)域劃分，游戲/泛娛樂行業(yè)是亞洲、歐洲和中東地區(qū)受攻擊最多的行業(yè)。在南美和中美地區(qū)，銀行、金融服務(wù)和保險（BFSI）行業(yè)是受攻擊最多的行業(yè)。在北美地區(qū)，營銷和廣告行業(yè)是受攻擊最多的行業(yè)，其次是電信行業(yè)。而在非洲地區(qū)，電信行業(yè)是受攻擊最多的行業(yè)。最后，在大洋洲地區(qū)，醫(yī)療和健身行業(yè)是HTTP DDoS攻擊最多的行業(yè)。

在OSI模型的更低層，按L3/4攻擊的總流量計算，受攻擊最多的行業(yè)是信息技術(shù)與服務(wù)、游戲/泛娛樂和電信行業(yè)。

L3/4 DDoS攻擊的主要目標行業(yè)

（攻擊流量占所有行業(yè)總DDoS流量的百分比）

將攻擊流量與每個行業(yè)的總流量進行比較時，情況有所不同。發(fā)送到廣播媒體公司的流量中，接近一半為L3/4 DDoS攻擊流量。

L3/4 DDoS攻擊的主要目標行業(yè)

（攻擊流量占該行業(yè)總流量的百分比）

攻擊來源

·主要來源國家/地區(qū)

根據(jù)攻擊流量占該國總流量的百分比，在2023年第一季度，芬蘭是HTTP DDoS攻擊的最重要來源國家。緊隨芬蘭之后，英屬維爾京群島排名第二，利比亞和巴巴多斯分別排名第三和第四。

HTTP DDoS攻擊的主要來源國家/地區(qū)

（攻擊流量占該國總流量的百分比）

就絕對流量而言，大部分HTTP DDoS攻擊流量來自美國IP地址。中國位列第二，其后是德國、印度尼西亞、巴西和芬蘭。

HTTP DDoS攻擊的主要來源國家

（占全球攻擊總流量的百分比）

就L3/4 DDoS攻擊流量而言，越南是最大的來源國家。在我們的越南數(shù)據(jù)中心，接收到的L3/4流量中近三分之一為攻擊流量。排在越南之后的是巴拉圭、摩爾多瓦和牙買加。

L3/4 DDoS攻擊的主要來源國家/地區(qū)

（攻擊流量占該國總流量的百分比）

我們觀察到的攻擊類型和規(guī)模

·攻擊規(guī)模和持續(xù)時間

從針對我們的客戶和我們自己的網(wǎng)絡(luò)和應(yīng)用發(fā)起的攻擊類型來看，大多數(shù)攻擊都是短暫且規(guī)模較小的；86%的網(wǎng)絡(luò)層DDoS攻擊持續(xù)時間不到10分鐘，而且91%的攻擊從未超過500 Mbps。

網(wǎng)絡(luò)層DDoS攻擊：持續(xù)時間分布

50次攻擊中僅一次超過10 Gbps，1000次攻擊中僅一次超過100 Gbps。

網(wǎng)絡(luò)層DDoS攻擊按比特率分布

盡管如此，較大規(guī)模攻擊的數(shù)量和頻率正在緩慢增加。上個季度，超過100 Gbps的攻擊數(shù)量環(huán)比增長了67%。本季度，超過100 Gbps的攻擊數(shù)量增幅放緩至6%，但仍在增長。實際上，除了大多數(shù)攻擊所屬的“小型”類別以外，所有容量耗盡型攻擊均有所增加，如下圖所示。最大增長來自10-100 Gbps范圍內(nèi)的攻擊，較上季度增長了89%。

網(wǎng)絡(luò)層DDoS攻擊按規(guī)模分布：季度環(huán)比變化

·攻擊手段

本季度，我們觀察到一個重大變化。SYN洪水以22%的份額滑落到第二位，使基于DNS的DDoS攻擊成為最流行的攻擊手段（30%）。近三分之一的L3/4 DDoS攻擊是基于DNS的攻擊，包括DNS洪水或DNS放大/反射攻擊。緊隨其后，基于UDP的攻擊占21%，位居第三。

主要DDoS攻擊手段

·新興威脅

每個季度我們都會看到舊的，甚至是古老的攻擊手段反復(fù)出現(xiàn)。由此可見，即使是十年前的漏洞仍然被利用來發(fā)動攻擊。威脅行為者正在循環(huán)和重復(fù)使用舊的方法——也許是希望組織已經(jīng)放棄了針對較舊方法的保護。

在2023年第一季度，基于SPSS的DDoS攻擊、DNS放大攻擊和基于GRE DDoS攻擊大幅增加。

主要的新興DDoS威脅

·基于SPSS的DDoS攻擊較上季度增長1565%

統(tǒng)計產(chǎn)品與服務(wù)解決方案（SPSS）是IBM開發(fā)的軟件套件，用于數(shù)據(jù)管理、商業(yè)智能和刑事調(diào)查等用例。Sentinel RMS許可證管理器服務(wù)器用于管理諸如IBM SPSS系統(tǒng)之類的軟件產(chǎn)品的許可證。早在2021年，Sentinel RMS許可證管理器服務(wù)器中發(fā)現(xiàn)了兩個漏洞（CVE-2021-22713和CVE-2021-38153），可被利用發(fā)動反射DDoS攻擊。攻擊者可以向服務(wù)器發(fā)送大量特別構(gòu)造的許可請求，導(dǎo)致服務(wù)器生成比原始請求大得多的響應(yīng)。該響應(yīng)被發(fā)送回受害者的IP地址，有效放大攻擊的規(guī)模，用流量淹沒受害者的網(wǎng)絡(luò)。這種類型的攻擊被稱為反射DDoS攻擊，它可能會對依賴Sentinel RMS許可證管理器的軟件產(chǎn)品的可用性造成重大影響，例如IBM SPSS Statistics。為防止這些漏洞被利用并有效防御反射DDoS攻擊，必須對許可證管理器打上可用的補丁。

·DNS放大DDoS攻擊較上季度增長了958%

DNS放大攻擊是一種DDoS攻擊，利用域名系統(tǒng)（DNS）基礎(chǔ)設(shè)施中的漏洞來產(chǎn)生大量針對受害者網(wǎng)絡(luò)的流量。攻擊者向已被錯誤配置而允許任何來源的遞歸查詢的開放DNS解析器發(fā)送DNS請求，并使用這些請求生成比原始查詢大得多的響應(yīng)。然后，攻擊者假冒受害者的IP地址，導(dǎo)致大規(guī)模響應(yīng)被定向到受害者的網(wǎng)絡(luò)，用流量淹沒后者并導(dǎo)致拒絕服務(wù)。緩解DNS放大攻擊的挑戰(zhàn)在于很難區(qū)分攻擊流量與合法流量，使得在網(wǎng)絡(luò)層阻止攻擊變得困難。為了緩解DNS放大攻擊，組織可以采取一些措施，例如正確配置DNS解析器、實施速率限制技術(shù)，并使用流量過濾工具阻止已知攻擊來源的流量。

·基于GRE的DDoS攻擊較上季度增長835%

基于GRE的DDoS攻擊利用通用路由封裝（GRE）向受害者的網(wǎng)絡(luò)發(fā)送大量流量以將其淹沒。攻擊者在被入侵的主機之間創(chuàng)建多個GRE隧道，以向受害者的網(wǎng)絡(luò)發(fā)送流量。這些攻擊很難檢測和過濾，因為流量在受害者的網(wǎng)絡(luò)上看起來像合法流量。攻擊者還可以使用源IP地址欺騙，使流量看似來自合法來源，使得在網(wǎng)絡(luò)層阻止攻擊變得困難?；贕RE的DDoS攻擊給目標組織造成多種風險，包括停機、業(yè)務(wù)運營中斷以及潛在的數(shù)據(jù)盜竊或網(wǎng)絡(luò)滲透。緩解這些攻擊需要使用先進的流量過濾工具，可以基于攻擊流量的特征進行檢測和阻止，同時使用速率限制和源IP地址過濾等技術(shù)來阻止已知攻擊來源的流量。

DDoS威脅趨勢

近幾個月來，在各行各業(yè)，持續(xù)時間較長、規(guī)模較大的DDoS攻擊有所增加，其中容量耗盡型攻擊尤其突出。非營利和廣播媒體公司是部分受到最多攻擊的行業(yè)。DNS DDoS攻擊也越來越普遍。

由于DDoS攻擊通常是由僵尸網(wǎng)絡(luò)執(zhí)行，因此自動化的檢測和緩解對于有效的防御至關(guān)重要。Cloudflare的自動化系統(tǒng)持續(xù)為客戶檢測和緩解DDoS攻擊，讓其專注于業(yè)務(wù)的其他方面。我們認為，DDoS保護應(yīng)該易于為各種規(guī)模的組織所用，并自2017以來一直提供免費、無限的保護。

Cloudflare的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)，而更好的互聯(lián)網(wǎng)就是對每個人都更安全、更快和更可靠。

有關(guān)報告統(tǒng)計方法的說明

我們?nèi)绾斡嬎憷账鱀DoS攻擊洞察

Cloudflare的系統(tǒng)不斷分析流量，并在檢測到DDoS攻擊時自動應(yīng)用緩解措施。每個遭到攻擊的客戶都會收到自動調(diào)查的提示，以幫助我們更好地了解攻擊的性質(zhì)和緩解是否成功。兩年多來，Cloudflare一直對受到攻擊的客戶進行調(diào)查。調(diào)查的問題之一是客戶是否收到威脅或勒索信。過去兩年來，我們平均每個季度收集到167份答卷。本調(diào)查的答卷用于計算勒索DDoS攻擊的比例。

我們?nèi)绾斡嬎愕赜蚝托袠I(yè)洞察

來源國家/地區(qū)

在應(yīng)用層，我們使用攻擊IP地址來了解攻擊的來源國家/地區(qū)。這是因為，應(yīng)用層的IP地址不能偽造（更改）。然而，網(wǎng)絡(luò)層的來源IP地址可以被偽造。因此，我們不依賴IP地址來了解來源，而是使用接收到攻擊數(shù)據(jù)包的數(shù)據(jù)中心位置。由于在全球超過285個地點的廣泛覆蓋，我們能夠獲得準確的地理位置。

目標國家/地區(qū)

對于應(yīng)用層和網(wǎng)絡(luò)層DDoS攻擊，我們均使用客戶賬單國家/地區(qū)來分類攻擊和流量。這讓我們了解哪些國家/地區(qū)受到更多攻擊。

目標行業(yè)

對于應(yīng)用層和網(wǎng)絡(luò)層DDoS攻擊，我們均使用客戶關(guān)系管理系統(tǒng)中的客戶行業(yè)來分類攻擊和流量。這讓我們了解哪些行業(yè)受到更多攻擊。

總流量vs.百分比

對于來源和目標分析，我們通常將攻擊流量和總流量的比較作為一個數(shù)據(jù)點。另外，我們還考慮流向或從特定國家/地區(qū)到特定國家/地區(qū)或特定行業(yè)的攻擊流量占總流量的比例。這可以提供某個國家/地區(qū)或行業(yè)的“攻擊活動率”，根據(jù)其總流量水平進行標準化。這種方法有助于消除某個國家/地區(qū)或行業(yè)因為其本身流量很大、攻擊流量也很大而產(chǎn)生的偏差。

我們?nèi)绾斡嬎愎籼卣?/p>

為了計算攻擊大小、持續(xù)時間、攻擊手段和新興威脅，我們通常會將攻擊分組，然后為每個維度提供每個分組所占總量的比例。

一般免責聲明和澄清

當我們描述作為攻擊來源或目標的主要國家/地區(qū)時，這并不一定意味著該國家/地區(qū)作為一個整體被攻擊，而是指使用該國家作為賬單國家的組織受到了攻擊。同樣地，攻擊源于某個國家/地區(qū)并不意味著該國家/地區(qū)發(fā)動了攻擊，而是指攻擊是從被映射到該國家/地區(qū)的IP地址發(fā)起的。威脅行為者使用節(jié)點遍布全球的僵尸網(wǎng)絡(luò)，很多情況下也使用虛擬專用網(wǎng)絡(luò)（VPN）和代理來混淆自己的真實位置。因此，來源國家/地區(qū)可能表明該國家/地區(qū)存在出口節(jié)點或僵尸網(wǎng)絡(luò)節(jié)點。