歡迎閱讀2023年的第二份DDoS威脅報(bào)告����。DDoS攻擊����,即分布式拒絕服務(wù)攻擊,是一種網(wǎng)絡(luò)攻擊�����,旨在通過(guò)發(fā)送超過(guò)目標(biāo)網(wǎng)站或其他網(wǎng)絡(luò)資源處理能力的流量�����,使其無(wú)法對(duì)合法用戶提供服務(wù),類似于一位駕車人士在前往雜貨店的路上遇到堵車的情況���。
歡迎閱讀2023年的第二份DDoS威脅報(bào)告����。DDoS攻擊����,即分布式拒絕服務(wù)攻擊,是一種網(wǎng)絡(luò)攻擊�����,旨在通過(guò)發(fā)送超過(guò)目標(biāo)網(wǎng)站或其他網(wǎng)絡(luò)資源處理能力的流量���,使其無(wú)法對(duì)合法用戶提供服務(wù)�,類似于一位駕車人士在前往雜貨店的路上遇到堵車的情況�����。
我們看到大量各種類型和大小的DDoS攻擊���,而且我們的網(wǎng)絡(luò)是世界上最大的網(wǎng)絡(luò)之一���,覆蓋100多個(gè)國(guó)家/地區(qū)的300多個(gè)城市。通過(guò)這個(gè)網(wǎng)絡(luò)�,我們?cè)诟叻迤诿棵胩幚沓^(guò)6300萬(wàn)個(gè)HTTP請(qǐng)求,每天處理超過(guò)20億次DNS查詢���。龐大的數(shù)據(jù)量為我們提供了一個(gè)獨(dú)特的視角�,能夠?yàn)榇蠹姨峁┚哂卸床炝Φ腄DoS趨勢(shì)分析����。
對(duì)于我們的常規(guī)讀者,您可能會(huì)注意到本次報(bào)告的布局相對(duì)以往發(fā)生了一些變化�����。我們過(guò)去遵循一個(gè)固定的模式來(lái)分享有關(guān)DDoS攻擊的洞察和趨勢(shì)����。但隨著DDoS攻擊變得日益強(qiáng)大和復(fù)雜,DDoS威脅的形勢(shì)也在不斷變化���,我們覺(jué)得是時(shí)候改變我們呈現(xiàn)研究結(jié)果的方式了����。因此,我們首先簡(jiǎn)要介紹全球概況����,然后深入探討我們?cè)贒DoS攻擊領(lǐng)域看到的主要變化。
溫馨提示:我們還將通過(guò)Cloudflare Radar提供本報(bào)告的交互式版本���。此外���,我們還增加了一個(gè)新的交互式組件,以便您更深入了解每個(gè)國(guó)家或地區(qū)的攻擊活動(dòng)�����。
全新交互式Radar圖揭示局部DDoS活動(dòng)
DDoS攻擊形勢(shì):全球趨勢(shì)概述
2023年第二季度的主要攻擊趨勢(shì)體現(xiàn)在多個(gè)方面發(fā)動(dòng)的精心策劃����、量身定制和持續(xù)不斷的DDoS攻擊浪潮,包括:
黑客組織REvil����、Killnet和Anonymous Sudan聯(lián)合起來(lái)對(duì)西方利益網(wǎng)站進(jìn)行了多次DDoS攻擊。
精心設(shè)計(jì)和極具針對(duì)性的DNS攻擊有所增加����,同時(shí)利用Mitel漏洞(CVE-2022-26143)的DDoS攻擊激增了532%���。(Cloudflare曾在去年協(xié)助披露過(guò)這一零日漏洞)。
針對(duì)加密貨幣公司的攻擊增加了600%���,而HTTP DDoS攻擊增加了15%。其中����,我們注意到攻擊的復(fù)雜度達(dá)到了驚人的升級(jí)程度,下文將詳細(xì)介紹����。
此外,本季度看到最大的攻擊之一是一場(chǎng)ACK洪水DDoS攻擊�,源于一個(gè)包含大約1.1萬(wàn)個(gè)IP地址的Mirai變種僵尸網(wǎng)絡(luò)。攻擊的目標(biāo)是一家美國(guó)互聯(lián)網(wǎng)服務(wù)提供商����,峰值達(dá)到1.4太比特/秒(Tbps),被Cloudflare的系統(tǒng)自動(dòng)檢測(cè)和緩解了���。
盡管總體數(shù)據(jù)顯示攻擊持續(xù)時(shí)間增加�,但大多數(shù)攻擊都是短暫的����,這場(chǎng)攻擊也是如此——只持續(xù)了兩分鐘�。然而���,更廣泛而言����,我們發(fā)現(xiàn)持續(xù)時(shí)間超過(guò)3小時(shí)的攻擊較前一個(gè)季度增加了103%����。
在此基礎(chǔ)上,讓我們深入探討下在DDoS攻擊形勢(shì)中看到的一些變化���。
Mirai僵尸網(wǎng)絡(luò)攻擊一家美國(guó)服務(wù)提供商���,峰值達(dá)到1.4 Tbps
被稱為Darknet Parliament的黑客聯(lián)盟瞄準(zhǔn)西方銀行和SWIFT網(wǎng)絡(luò)
6月14日,黑客組織Killnet����、以及再次活躍的REvil和Anonymous Sudan宣布聯(lián)合起來(lái)對(duì)西方金融系統(tǒng)進(jìn)行“大規(guī)模”的網(wǎng)絡(luò)攻擊�,目標(biāo)包括歐美銀行和美國(guó)聯(lián)邦儲(chǔ)備系統(tǒng)。這個(gè)被稱為Darknet Parliament(暗網(wǎng)議會(huì))的聯(lián)盟宣布���,其首個(gè)目標(biāo)是癱瘓SWIFT(環(huán)球銀行金融電信協(xié)會(huì))���。由于SWIFT是金融機(jī)構(gòu)進(jìn)行全球金融交易的主要服務(wù)�����,因此對(duì)SWIFT成功發(fā)動(dòng)DDoS攻擊可能會(huì)產(chǎn)生可怕的后果����。
除了一些廣為人知的事件�,例如媒體報(bào)道的Microsoft服務(wù)中斷�,我們沒(méi)有觀察到任何針對(duì)我們客戶的新型DDoS攻擊或中斷。我們的系統(tǒng)一直在自動(dòng)檢測(cè)和緩解與這類活動(dòng)相關(guān)的攻擊���。在過(guò)去幾周內(nèi)�����,“暗網(wǎng)議會(huì)”共對(duì)受Cloudflare保護(hù)的網(wǎng)站發(fā)起了多達(dá)1萬(wàn)次此類DDoS攻擊(見(jiàn)下圖)�。
REvil�����、Killnet和Anonymous Sudan發(fā)動(dòng)的攻擊
盡管黑客分子發(fā)表了聲明,但從我們監(jiān)測(cè)到的所有攻擊活動(dòng)的趨勢(shì)范圍及行業(yè)分布來(lái)看�����,銀行和金融服務(wù)網(wǎng)站在受到攻擊最多的行業(yè)當(dāng)中僅處于第九位���。
REvil�����、Killnet和Anonymous Sudan攻擊活動(dòng)的主要目標(biāo)行業(yè)
遭到最多攻擊的行業(yè)為計(jì)算機(jī)軟件����、泛娛樂(lè)和游戲�����。電信和媒體機(jī)構(gòu)分別排名第四和第五�。總體而言���,我們?cè)谶@場(chǎng)攻擊活動(dòng)中觀察到的峰值達(dá)到了每秒170萬(wàn)個(gè)請(qǐng)求(rps)���,平均為6.5萬(wàn)rps����。
作為對(duì)比���,今年早些時(shí)候我們緩解了有記錄以來(lái)最大的攻擊�����,峰值達(dá)到了7100萬(wàn)rps�。因此����,與Cloudflare的體量相比�����,這些攻擊非常小�����,但對(duì)于普通網(wǎng)站來(lái)說(shuō)就不一定了����。因此�,我們不應(yīng)低估未受保護(hù)或配置優(yōu)化欠佳的網(wǎng)站所面臨的潛在威脅���。
復(fù)雜的HTTP DDoS攻擊
HTTP DDoS攻擊是通過(guò)超文本傳輸協(xié)議(HTTP)發(fā)動(dòng)的DDoS攻擊����。其目標(biāo)是HTTP互聯(lián)網(wǎng)資產(chǎn)�����,例如網(wǎng)站和API網(wǎng)關(guān)����。在過(guò)去的一個(gè)季度中,HTTP DDoS攻擊同比下降35%����,但環(huán)比增長(zhǎng)15%。
HTTP DDoS攻擊示意圖
此外�����,我們?cè)谶^(guò)去幾個(gè)月中觀察到���,高度隨機(jī)和復(fù)雜的HTTP DDoS攻擊出現(xiàn)令人警覺(jué)的增長(zhǎng)����。看起來(lái)�,這些攻擊背后的威脅行為者精心設(shè)計(jì)了攻擊,以嘗試通過(guò)非常準(zhǔn)確地模仿瀏覽器行為來(lái)突破緩解系統(tǒng)�,在某些情況下,通過(guò)對(duì)不同的屬性引入高度隨機(jī)性�,例如用戶代理和JA3指紋。下面是這種攻擊的一個(gè)示例�,其中用不同的顏色表示不同的隨機(jī)化特征。
高度隨機(jī)化HTTP DDoS攻擊示例
此外����,在許多此類攻擊中,威脅行為者似乎試圖保持較低的每秒攻擊速率���,旨在避免檢測(cè)并隱藏在合法流量中�。
這種復(fù)雜程度過(guò)去與國(guó)家級(jí)和國(guó)家支持的威脅行為者相關(guān)聯(lián)�����,如今這些能力似乎已經(jīng)落入了網(wǎng)絡(luò)犯罪分子的手中����。他們已經(jīng)對(duì)一些知名企業(yè)發(fā)動(dòng)了攻擊,例如大型VoIP提供商�����、領(lǐng)先半導(dǎo)體公司和一家主流支付和信用卡服務(wù)提供商等�����。
要保護(hù)網(wǎng)站免受復(fù)雜的HTTP DDoS攻擊�����,需要一種自動(dòng)�����、快速的智能防護(hù)���,其利用威脅情報(bào)�、流量分析和機(jī)器學(xué)習(xí)/統(tǒng)計(jì)分析來(lái)區(qū)分攻擊流量和用戶流量���。此外���,即使在適用的情況下增加緩存也有助于降低攻擊流量影響源站的風(fēng)險(xiǎn)�。如需進(jìn)一步了解DDoS保護(hù)最佳實(shí)踐����,請(qǐng)點(diǎn)擊此處。
針對(duì)DNS的DDoS攻擊
域名系統(tǒng)(DNS)是互聯(lián)網(wǎng)的電話簿�����。DNS幫助將對(duì)用戶友好的網(wǎng)站地址(例如www.cloudflare.com)轉(zhuǎn)換為機(jī)器友好的IP地址(例如104.16.124.96)�����。通過(guò)破壞DNS服務(wù)器�,攻擊者可影響機(jī)器與網(wǎng)站連接的能力,從而導(dǎo)致網(wǎng)站對(duì)用戶不可用���。
在過(guò)去的一個(gè)季度中����,最常見(jiàn)的攻擊手段是基于DNS的DDoS攻擊—32%的DDoS攻擊利用了DNS協(xié)議�����。其中����,我們看到一種更令人擔(dān)憂的攻擊類型——DNS Laundering攻擊有所增加,這種攻擊可能對(duì)運(yùn)行自有權(quán)威DNS服務(wù)器的組織構(gòu)成嚴(yán)重挑戰(zhàn)���。
2023年第二季度的主要DDoS攻擊手段
DNS Laundering攻擊名稱中的“Laundering”類比使非法收益顯得合法的曲折過(guò)程���。類似地,在DDoS領(lǐng)域���,DNS Laundering攻擊是通過(guò)信譽(yù)良好的遞歸DNS解析器將不良的惡意流量偽裝成良好的合法流量的過(guò)程�。
在DNS Laundering攻擊中���,威脅參與者將查詢由受害者DNS服務(wù)器管理的域的子域�����。定義子域的前綴是隨機(jī)的�,在這種攻擊中使用的次數(shù)絕不會(huì)超過(guò)一次或兩次����。由于這種隨機(jī)性���,遞歸DNS服務(wù)器將永遠(yuǎn)不會(huì)有緩存的響應(yīng),需要將查詢轉(zhuǎn)發(fā)到受害者的權(quán)威DNS服務(wù)器���。然后�����,權(quán)威DNS服務(wù)器受到大量查詢的轟炸�����,直到無(wú)法提供合法查詢����,甚至完全崩潰�����。
DNS Laundering DDoS攻擊示意圖
從保護(hù)的角度來(lái)看�,DNS管理員無(wú)法阻止攻擊來(lái)源,因?yàn)槠渲邪曌u(yù)良好的遞歸DNS服務(wù)器�����,例如Google的8.8.8.8和Cloudflare的1.1.1.1。管理員也不能阻止對(duì)受攻擊域名的所有查詢�,因?yàn)檫@是一個(gè)合法的域名�����,他們希望保留對(duì)合法查詢的訪問(wèn)�。
以上因素使得區(qū)分合法查詢和惡意查詢變得非常具有挑戰(zhàn)性。最近遭受這種攻擊的受害者中包括一家亞洲大型金融機(jī)構(gòu)和一家北美DNS提供商�。如下為此類攻擊的一個(gè)示例。
DNS Laundering DDoS攻擊示例
類似于針對(duì)HTTP應(yīng)用程序的保護(hù)策略���,DNS服務(wù)器也需要精確�����、快速和自動(dòng)化的方法���。利用托管DNS服務(wù)或DNS反向代理(例如Cloudflare提供的服務(wù))可以幫助吸收和減輕攻擊流量。對(duì)于那些更為復(fù)雜的DNS攻擊���,需要一種更智能的解決方案����,以利用對(duì)歷史數(shù)據(jù)的統(tǒng)計(jì)分析來(lái)區(qū)分合法查詢和攻擊查詢。
虛擬機(jī)僵尸網(wǎng)絡(luò)的崛起
如此前披露����,我們正在見(jiàn)證僵尸網(wǎng)絡(luò)DNA的進(jìn)化?��;谔摂M機(jī)的DDoS僵尸網(wǎng)絡(luò)時(shí)代已經(jīng)到來(lái)�,隨之而來(lái)的是超大容量的DDoS攻擊�����。這些僵尸網(wǎng)絡(luò)由虛擬機(jī)(VM)或虛擬專用服務(wù)器(VPS)組成����,而不是物聯(lián)網(wǎng)(IoT)設(shè)備,使其攻擊能力強(qiáng)大得多���,高達(dá)5000倍�。
IoT僵尸網(wǎng)絡(luò)與VM僵尸網(wǎng)絡(luò)對(duì)比示意圖
由于這些基于虛擬機(jī)的僵尸網(wǎng)絡(luò)擁有的計(jì)算和帶寬資源�����,它們能夠以比基于物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)更小的規(guī)模生成超大流量攻擊。
這些僵尸網(wǎng)絡(luò)已經(jīng)執(zhí)行了一些最大規(guī)模的DDoS攻擊�����,包括上述7100 rps的DDoS attack�。包括一家業(yè)界領(lǐng)先游戲平臺(tái)提供商在內(nèi)的多個(gè)組織已經(jīng)成為這種新一代僵尸網(wǎng)絡(luò)的攻擊目標(biāo)。
Cloudflare已經(jīng)與知名的云計(jì)算提供商積極合作����,共同打擊這些新型僵尸網(wǎng)絡(luò)����。通過(guò)這些提供商的快速且專注的行動(dòng),這些僵尸網(wǎng)絡(luò)的重要組成部分已經(jīng)被消滅����。自從這一干預(yù)以來(lái),我們還沒(méi)有觀察到任何進(jìn)一步超大容量攻擊�,證明了我們合作的成效。
雖然我們已經(jīng)與網(wǎng)絡(luò)安全社區(qū)建立了富有成效的聯(lián)盟�,以應(yīng)對(duì)我們發(fā)現(xiàn)的大規(guī)模攻擊,但我們的目標(biāo)是進(jìn)一步簡(jiǎn)化和自動(dòng)化這個(gè)過(guò)程�����。我們邀請(qǐng)?jiān)朴?jì)算提供商、托管提供商和其他常規(guī)服務(wù)提供商加入Cloudflare的免費(fèi)Botnet Threat Feed���。這將提供對(duì)源自其網(wǎng)絡(luò)的攻擊的可見(jiàn)性���,為我們摧毀僵尸網(wǎng)絡(luò)的共同努力做出貢獻(xiàn)。
“Startblast”:利用Mitel漏洞進(jìn)行DDoS攻擊
2022年3月���,我們披露了一種名為“TP240PhoneHome”的零日漏洞(CVE-2022-26143)���。這個(gè)漏洞是在Mitel MiCollab商業(yè)電話系統(tǒng)中發(fā)現(xiàn)的,它使系統(tǒng)暴露于UDP放大DDoS攻擊�。
這種攻擊利用易受攻擊的服務(wù)器反射流量,在這個(gè)過(guò)程中放大流量�,放大倍數(shù)高達(dá)2200億倍。這種漏洞源于一個(gè)暴露到公共互聯(lián)網(wǎng)����、未經(jīng)身份驗(yàn)證的UDP端口,其允許惡意行為者發(fā)出“startblast”調(diào)試命令�,模擬一系列測(cè)試系統(tǒng)的調(diào)用。
因此����,對(duì)于每個(gè)測(cè)試調(diào)用����,會(huì)發(fā)送兩個(gè)UDP數(shù)據(jù)包到發(fā)起者�����,這使得攻擊者能夠?qū)⒋肆髁慷ㄏ虻饺魏蜪P和端口號(hào)�����,從而放大DDoS攻擊���。盡管存在此漏洞,但這些設(shè)備中只有數(shù)千臺(tái)是暴露的�����,限制了攻擊的潛在規(guī)模�,而且攻擊必須連續(xù)運(yùn)行,這意味著每個(gè)設(shè)備一次只能發(fā)起一次攻擊����。
Startblast DDoS攻擊的主要目標(biāo)行業(yè)
總體而言,在過(guò)去的一個(gè)季度中�,我們看到了更多新興威脅�,比如濫用TeamSpeak3協(xié)議的DDoS攻擊���。這種攻擊手段在本季度增長(zhǎng)了403%���。
TeamSpeak,是一種在UDP上運(yùn)行的專有互聯(lián)網(wǎng)語(yǔ)音協(xié)議(VoIP)�����,以幫助玩家與其他玩家進(jìn)行實(shí)時(shí)語(yǔ)音交流�。相比只是文字聊天,語(yǔ)音交流可以顯著提高游戲團(tuán)隊(duì)的效率�,并幫助他們獲勝。競(jìng)爭(zhēng)對(duì)手可能發(fā)起針對(duì)TeamSpeak服務(wù)器的DDoS攻擊����,試圖在實(shí)時(shí)多人游戲期間破壞他們的通信路徑,從而影響其團(tuán)隊(duì)表現(xiàn)���。
DDoS熱點(diǎn):攻擊來(lái)源
總體而言����,HTTP DDoS攻擊同比下降了35%�����,但環(huán)比增長(zhǎng)了15%。此外�����,本季度網(wǎng)絡(luò)層DDoS攻擊減少了大約14%�����。
HTTP DDoS攻擊請(qǐng)求(分季度統(tǒng)計(jì))
就攻擊總流量而言�,美國(guó)是HTTP DDoS攻擊的最大來(lái)源地。我們觀察到的每1000個(gè)請(qǐng)求中�,就有3個(gè)是源自美國(guó)的HTTP DDoS攻擊的一部分。中國(guó)位居第二�,德國(guó)位居第三。
HTTP DDoS攻擊的主要來(lái)源國(guó)家(占全球攻擊總流量的百分比)
一些國(guó)家由于市場(chǎng)規(guī)模等各種因素而自然地接收更多流量�,因此遭受了更多攻擊�。因此,雖然了解源自特定國(guó)家/地區(qū)的攻擊總流量有意義����,但通過(guò)計(jì)算攻擊流量占特定國(guó)家總流量的百分比來(lái)消除偏差也是有幫助的。
通過(guò)這樣做�����,我們看到了一種不同的模式。美國(guó)甚至沒(méi)有進(jìn)入前十名�。相反,按照相對(duì)其所有流量的百分比來(lái)計(jì)算�,莫桑比克、埃及和芬蘭成為HTTP DDoS攻擊流量最多的來(lái)源國(guó)家/地區(qū)�����。來(lái)自莫桑比克IP地址的所有HTTP流量中����,近五分之一是DDoS攻擊的一部分。
HTTP DDoS攻擊的主要來(lái)源國(guó)家/地區(qū)(攻擊流量占該國(guó)總流量的百分比)
如果使用相同的計(jì)算方法���,但換成字節(jié)數(shù)��,則越南連續(xù)第二個(gè)季度成為網(wǎng)絡(luò)層DDoS攻擊(也稱為L(zhǎng)3/4 DDoS攻擊)的最大來(lái)源—數(shù)量甚至環(huán)比增長(zhǎng)了58%���。Cloudflare越南數(shù)據(jù)中心吸收的所有字節(jié)中,超過(guò)41%是L3/4 DDoS攻擊的一部分����。
L3/4 DDoS攻擊的主要來(lái)源國(guó)家/地區(qū)(攻擊流量占該國(guó)總流量的百分比)
受到攻擊的行業(yè):研究DDoS攻擊的目標(biāo)
從第二季度的HTTP DDoS攻擊活動(dòng)來(lái)看���,加密貨幣網(wǎng)站成為HTTP DDoS攻擊的最大目標(biāo)。對(duì)于在Cloudflare背后的加密網(wǎng)站��,每1萬(wàn)個(gè)HTTP請(qǐng)求中就有6個(gè)是這些攻擊的一部分����。這比上一季度增長(zhǎng)了600%。
游戲和泛娛樂(lè)網(wǎng)站位居第二���,攻擊流量占比較上一個(gè)季度增長(zhǎng)了19%���。市場(chǎng)營(yíng)銷和廣告網(wǎng)站緊隨其后,排名第三����,攻擊流量占比變化甚微。
HTTP DDoS攻擊的主要目標(biāo)行業(yè)(攻擊流量占所有行業(yè)總流量的百分比)
然而�����,從針對(duì)特定行業(yè)的攻擊流量占總流量的百分比來(lái)看���,情況有所不同�����。上個(gè)季度中���,非營(yíng)利組織受到最多攻擊——到非營(yíng)利組織的流量中,12%為HTTP DDoS攻擊��。作為Project Galileo(今年已進(jìn)入第九個(gè)年頭)的一部分�,Cloudflare保護(hù)著來(lái)自111個(gè)國(guó)家/地區(qū)的2271個(gè)非盈利組織。在過(guò)去的幾個(gè)月中��,平均每天有6770萬(wàn)次網(wǎng)絡(luò)攻擊是針對(duì)非營(yíng)利組織的���。
總體而言�,針對(duì)非營(yíng)利組織的DDoS攻擊數(shù)量增加了46%�����,使攻擊流量的百分比達(dá)到17.6%����。盡管如此,管理咨詢行業(yè)仍然躍升到第一位,其流量中的18.4%為DDoS攻擊�����。
HTTP DDoS攻擊的主要目標(biāo)行業(yè)(攻擊流量占該行業(yè)總流量的百分比)
在OSI模型的更低層����,受到最多攻擊的互聯(lián)網(wǎng)網(wǎng)絡(luò)屬于信息技術(shù)和服務(wù)行業(yè)。發(fā)送到該行業(yè)的流量中�,幾乎每三個(gè)字節(jié)就有一個(gè)是L3/4 DDoS攻擊的一部分。
令人驚訝的是���,音樂(lè)行業(yè)的公司成為了受到第二多攻擊的行業(yè)�,其后是廣播媒體和航空航天業(yè)�。
L3/4 DDoS攻擊的主要目標(biāo)行業(yè)(攻擊流量占該行業(yè)總流量的百分比)
受到最多攻擊的行業(yè):分區(qū)域統(tǒng)計(jì)
加密貨幣網(wǎng)站在全球范圍內(nèi)遭受了最多的攻擊次數(shù),而就總流量而言��,管理咨詢和非營(yíng)利行業(yè)受到最多攻擊��。然而���,從每個(gè)區(qū)域來(lái)看���,情況略有不同。
各區(qū)域受到最多HTTP DDoS攻擊的行業(yè)
非洲
電信行業(yè)連續(xù)第二個(gè)季度成為非洲遭受攻擊最多的行業(yè)�����。其次是銀行����、金融服務(wù)和保險(xiǎn)(BFSI)行業(yè)。攻擊流量主要來(lái)自亞洲(35%)和歐洲(25%)����。
亞洲
在過(guò)去的兩個(gè)季度中,游戲和泛娛樂(lè)是亞洲受攻擊最多的行業(yè)���。然而�����,在第二季度����,游戲和泛娛樂(lè)降至第二位���,而加密貨幣行業(yè)成為遭受攻擊最多的行業(yè)(約占50%)�。攻擊流量的相當(dāng)大部分來(lái)自亞洲本身(30%)和北美(30%)。
歐洲
游戲和泛娛樂(lè)連續(xù)第三個(gè)季度成為歐洲受攻擊最多的行業(yè)�。酒店業(yè)和廣播媒體行業(yè)緊隨其后,分別是歐洲第二大和第三大受攻擊最多的行業(yè)��。大部分攻擊流量來(lái)自歐洲本身(40%)和亞洲(20%)���。
拉丁美洲
令人驚訝的是���,針對(duì)拉丁美洲的所有攻擊流量中,有一半瞄準(zhǔn)了體育用品行業(yè)���。在前一個(gè)季度�,BFSI是遭受攻擊最多的行業(yè)�����。大約35%的攻擊流量來(lái)自亞洲�,另外25%來(lái)自歐洲。
中東
在中東����,媒體和報(bào)紙行業(yè)是受攻擊最多的行業(yè)。絕大多數(shù)攻擊流量來(lái)自歐洲(74%)����。
北美
連續(xù)第二個(gè)季度�����,市場(chǎng)營(yíng)銷和廣告公司成為北美受攻擊最多的行業(yè)(約35%)。制造業(yè)和計(jì)算機(jī)軟件公司分別位居第二和第三���。攻擊流量的主要來(lái)源是歐洲(42%)和美國(guó)本身(35%)�����。
大洋洲
本季度����,生物技術(shù)行業(yè)受到最多攻擊�。而在前一個(gè)季度,受攻擊最多的行業(yè)是醫(yī)療和健康�。攻擊流量主要來(lái)自亞洲(38%)和歐洲(25%)。
受到攻擊的國(guó)家和地區(qū):研究DDoS攻擊的目標(biāo)
從攻擊總流量來(lái)看�����,以色列在上個(gè)季度躍升為遭受攻擊最多的國(guó)家�����。本季度,針對(duì)以色列網(wǎng)站的攻擊減少了33%�����,使其排名下降到第四位���。美國(guó)成為受攻擊最多的國(guó)家�����,其次是加拿大和新加坡��。
HTTP DDoS攻擊的主要目標(biāo)國(guó)家和地區(qū)(攻擊流量占所有國(guó)家和地區(qū)總流量的百分比)
如果我們標(biāo)準(zhǔn)化每個(gè)國(guó)家和地區(qū)的數(shù)據(jù)����,將攻擊流量除以總流量�,我們得到一個(gè)不同的結(jié)果。巴勒斯坦躍升為受攻擊最多的國(guó)家����。到達(dá)巴勒斯坦網(wǎng)站的流量中接近12%是HTTP DDoS攻擊。
HTTP DDOS攻擊的主要目標(biāo)國(guó)家/地區(qū)(每個(gè)國(guó)家和地區(qū)攻擊流量占總流量的百分比)
上個(gè)季度�����,我們觀察到網(wǎng)絡(luò)層出現(xiàn)了驚人的偏差,Cloudflare保護(hù)的芬蘭網(wǎng)絡(luò)成為主要目標(biāo)��。這種激增可能與加速芬蘭正式加入北約的外交談判有關(guān)���。進(jìn)入芬蘭的流量中有大約83%屬于網(wǎng)絡(luò)攻擊�,中國(guó)緊隨其后���,攻擊流量占比達(dá)到68%。
然而���,本季度情況截然不同��。芬蘭已經(jīng)從前十中消失了����,而受Cloudflare保護(hù)的中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)則上升到第一位��。在前往受Cloudflare保護(hù)的中國(guó)網(wǎng)絡(luò)的字節(jié)流中�,幾乎有三分之二是惡意的。在中國(guó)之后�����,瑞士的傳入流量中有一半屬于攻擊流量,而土耳其位居第三�,四分之一的傳入流量被確認(rèn)為惡意流量。
L3/4 DDOS攻擊的主要目標(biāo)國(guó)家/地區(qū)(每個(gè)國(guó)家和地區(qū)攻擊流量占總流量的百分比)
DDoS勒索攻擊
有時(shí)�����,發(fā)動(dòng)DDoS攻擊的目的是勒索贖金�。我們對(duì)Cloudflare客戶的調(diào)查現(xiàn)已進(jìn)入第三個(gè)年頭,以跟蹤勒索DDoS攻擊事件的發(fā)生�����。
以上是有關(guān)勒索軟件和勒索DDoS攻擊的高層次比較
在勒索軟件攻擊中�����,通常是受害者被騙下載惡意文件或單擊有問(wèn)題的電子郵件鏈接����,導(dǎo)致其文件被鎖定、刪除或泄露��,直到支付贖金為止�。對(duì)惡意行為者來(lái)說(shuō)��,執(zhí)行勒索DDoS攻擊要簡(jiǎn)單得多���。勒索DDoS攻擊不需要欺騙手段,比如引誘受害者打開(kāi)可疑的電子郵件或點(diǎn)擊欺詐鏈接����,也不需要侵入網(wǎng)絡(luò)或訪問(wèn)公司資源。
過(guò)去一個(gè)季度中�,勒索DDoS攻擊報(bào)告有所減少。有十分之一的受訪者報(bào)稱受到威脅或遭受到勒索DDoS攻擊���。
總結(jié):不斷變化的DDoS威脅形勢(shì)
最近幾個(gè)月來(lái),DDoS攻擊的復(fù)雜程度發(fā)生了令人警覺(jué)的提升����。即使是我們看到的最大、最復(fù)雜的攻擊也可能只持續(xù)了幾分鐘甚至數(shù)秒鐘——這不足以給大家足夠的時(shí)間做出反應(yīng)�。甚至PagerDuty警報(bào)發(fā)出之前,攻擊就已經(jīng)結(jié)束了����,損害已經(jīng)造成。從DDoS攻擊中恢復(fù)需要的時(shí)間可能遠(yuǎn)遠(yuǎn)長(zhǎng)于攻擊本身——就像拳擊手可能需要一段時(shí)間才能從面部遭受的不到一秒的一擊中恢復(fù)過(guò)來(lái)一樣��。
安全防御不是一個(gè)單一的產(chǎn)品或單擊一個(gè)按鈕,而是涉及多層防御的過(guò)程�,旨在降低受到影響的風(fēng)險(xiǎn)。Cloudflare的自動(dòng)化DDoS防御系統(tǒng)持續(xù)保護(hù)我們的客戶免受DDoS攻擊的影響����,使他們能夠集中精力專注于核心業(yè)務(wù)運(yùn)營(yíng)。這些系統(tǒng)還得到Cloudflare廣泛的能力進(jìn)行補(bǔ)充�����,例如防火墻����、機(jī)器人檢測(cè)、API保護(hù)甚至緩存����,所有這些都有助于減少因遭受攻擊而受到影響的風(fēng)險(xiǎn)。
DDoS攻擊威脅形勢(shì)正在不斷演變����,日益復(fù)雜,需要的不僅僅是快速修復(fù)���。值得慶幸的是����,借助Cloudflare的多層防御和自動(dòng)DDoS保護(hù),我們的客戶能夠自信應(yīng)對(duì)這些挑戰(zhàn)�����。我們的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)��,因此我們繼續(xù)保持警惕��,確保為所有人提供更安全�、更可靠的數(shù)字世界。
關(guān)于DDoS威脅趨勢(shì)統(tǒng)計(jì)方法
我們?nèi)绾谓y(tǒng)計(jì)及梳理勒索DDoS攻擊洞察
Cloudflare的系統(tǒng)不斷分析流量�,并在檢測(cè)到DDoS攻擊時(shí)自動(dòng)應(yīng)用緩解措施。每個(gè)遭到攻擊的客戶都會(huì)收到自動(dòng)調(diào)查的提示�����,以幫助我們更好地了解攻擊的性質(zhì)和緩解是否成功�。兩年多來(lái)��,Cloudflare一直對(duì)受到攻擊的客戶進(jìn)行調(diào)查�。調(diào)查的問(wèn)題之一是客戶是否收到威脅或勒索信。過(guò)去兩年來(lái),我們平均每個(gè)季度收集到167份答卷��。本調(diào)查的答卷用于計(jì)算勒索DDoS攻擊的比例�����。
我們?nèi)绾谓y(tǒng)計(jì)地域和行業(yè)洞察
·來(lái)源國(guó)家/地區(qū)
在應(yīng)用層�����,我們使用攻擊IP地址來(lái)了解攻擊的來(lái)源國(guó)家/地區(qū)�����。這是因?yàn)?,?yīng)用層的IP地址不能偽造(更改)。然而��,網(wǎng)絡(luò)層的來(lái)源IP地址可以被偽造���。因此�,我們不依賴IP地址來(lái)了解來(lái)源����,而是使用接收到攻擊數(shù)據(jù)包的數(shù)據(jù)中心位置。由于在全球超過(guò)285個(gè)地點(diǎn)的廣泛覆蓋,我們能夠獲得準(zhǔn)確的地理位置���。
·目標(biāo)國(guó)家/地區(qū)
對(duì)于應(yīng)用層和網(wǎng)絡(luò)層DDoS攻擊���,我們均使用客戶賬單國(guó)家/地區(qū)來(lái)分類攻擊和流量。這讓我們了解哪些國(guó)家/地區(qū)受到更多攻擊���。
·目標(biāo)行業(yè)
對(duì)于應(yīng)用層和網(wǎng)絡(luò)層DDoS攻擊�����,我們均使用客戶關(guān)系管理系統(tǒng)中的客戶行業(yè)來(lái)分類攻擊和流量����。這讓我們了解哪些行業(yè)受到更多攻擊��。
·總流量vs.百分比
對(duì)于來(lái)源和目標(biāo)分析���,我們通常將攻擊流量和總流量的比較作為一個(gè)數(shù)據(jù)參考點(diǎn)�。另外�����,我們還考慮流向或從特定國(guó)家/地區(qū)到特定國(guó)家/地區(qū)或特定行業(yè)的攻擊流量占總流量的比例��。這可以提供某個(gè)國(guó)家/地區(qū)或行業(yè)的“攻擊活動(dòng)率”����,根據(jù)其總流量水平進(jìn)行標(biāo)準(zhǔn)化。這種方法有助于消除某個(gè)國(guó)家/地區(qū)或行業(yè)因?yàn)槠浔旧砹髁亢艽?����、攻擊流量也很大而產(chǎn)生的偏差���。
·我們?nèi)绾谓y(tǒng)計(jì)攻擊特征
為了統(tǒng)計(jì)攻擊大小����、持續(xù)時(shí)間�����、攻擊手段和新興威脅��,我們通常會(huì)將攻擊分組����,然后在每個(gè)維度提供每個(gè)分組所占總量的比例��。在新的Radar組件中��,這些趨勢(shì)是通過(guò)字節(jié)數(shù)來(lái)計(jì)算的��。由于不同攻擊之間的字節(jié)數(shù)可能相差很大����,這可能導(dǎo)致報(bào)告和Radar組件之間的趨勢(shì)存在差異���。
相關(guān)聲明
當(dāng)我們描述作為攻擊來(lái)源或目標(biāo)的主要國(guó)家/地區(qū)時(shí)����,這并不一定意味著該國(guó)家/地區(qū)作為一個(gè)整體被攻擊��,而是指使用該國(guó)家作為賬單國(guó)家的組織受到了攻擊��。同樣地�����,攻擊源于某個(gè)國(guó)家/地區(qū)并不意味著該國(guó)家/地區(qū)發(fā)動(dòng)了攻擊���,而是指攻擊是從被映射到該國(guó)家/地區(qū)的IP地址發(fā)起的����。威脅行為者使用節(jié)點(diǎn)遍布全球的僵尸網(wǎng)絡(luò)��,很多情況下也使用虛擬專用網(wǎng)絡(luò)(VPN)和代理來(lái)混淆自己的真實(shí)位置����。因此,來(lái)源國(guó)家/地區(qū)可能表明該國(guó)家/地區(qū)存在出口節(jié)點(diǎn)或僵尸網(wǎng)絡(luò)節(jié)點(diǎn)��。
閩公網(wǎng)安備 35010202001226號(hào)
