歡迎閱讀Cloudflare的第17版DDoS威脅報(bào)告。本版涵蓋2024年第一季度期間從Cloudflare網(wǎng)絡(luò)觀察到的DDoS威脅形勢(shì)以及主要發(fā)現(xiàn)。
什么是DDoS攻擊?
但首先讓我們快速回顧一下。DDoS攻擊是分布式拒絕服務(wù)攻擊的簡(jiǎn)稱,這是一種網(wǎng)絡(luò)攻擊,旨在使網(wǎng)站或移動(dòng)應(yīng)用程序等互聯(lián)網(wǎng)服務(wù)癱瘓或中斷,導(dǎo)致用戶無(wú)法使用。DDoS攻擊一般通過(guò)向受害者的服務(wù)器發(fā)送超出其處理能力的流量來(lái)實(shí)施。
如何訪問(wèn)往期報(bào)告
溫馨提示:您可在Cloudflare博客上訪問(wèn)以往版本的DDoS威脅報(bào)告。這些報(bào)告也可在我們的交互式中心Cloudflare Radar上找到。Radar提供有關(guān)全球互聯(lián)網(wǎng)流量、攻擊的信息,以及技術(shù)趨勢(shì)和見(jiàn)解,并具有向下鉆取和過(guò)濾功能,以便您聚焦到特定的國(guó)家/地區(qū)、行業(yè)和網(wǎng)絡(luò)。我們還提供一個(gè)免費(fèi)API,以便學(xué)者、數(shù)據(jù)研究院和其他Web愛(ài)好者調(diào)查全球互聯(lián)網(wǎng)趨勢(shì)。
2024年第一季度關(guān)鍵洞察
2024年第一季度的關(guān)鍵洞察包括:
2024年以轟轟烈烈的方式開始:Cloudflare的防御系統(tǒng)在第一季度自動(dòng)緩解了450萬(wàn)次DDoS攻擊,同比增長(zhǎng)了50%。
基于DNS的DDoS攻擊同比增長(zhǎng)了80%,仍然是最主要的攻擊手段。
瑞典加入北約后,針對(duì)該國(guó)的DDoS攻擊激增了466%,類似于芬蘭2023年加入北約時(shí)觀察到的模式。
2024年以轟轟烈烈的方式開始
2024年第一季度才剛剛結(jié)束,我們的自動(dòng)化防御系統(tǒng)就已經(jīng)緩解了450萬(wàn)次DDoS攻擊,相當(dāng)于我們2023年緩解DDoS攻擊總數(shù)的32%。
按攻擊類型細(xì)分,HTTP DDoS攻擊同比增長(zhǎng)93%,環(huán)比增長(zhǎng)51%。網(wǎng)絡(luò)層DDoS攻擊,即L3/4 DDoS攻擊同比增長(zhǎng)28%,環(huán)比增長(zhǎng)5%。
2024年第一季度:Cloudflare緩解了450萬(wàn)次DDoS攻擊
通過(guò)比較HTTP DDoS攻擊和L3/4 DDoS攻擊的合計(jì)數(shù)量,2024年第一季度攻擊總數(shù)同比增長(zhǎng)了50%,環(huán)比增長(zhǎng)了18%。
DDoS攻擊統(tǒng)計(jì)數(shù)據(jù)(分年度和季度)
第一季度期間,我們的系統(tǒng)總共緩解了10.5萬(wàn)億個(gè)HTTP DDoS攻擊請(qǐng)求。我們的系統(tǒng)還緩解了超過(guò)59 PB的DDoS攻擊流量——僅在網(wǎng)絡(luò)層。
在這些網(wǎng)絡(luò)層DDoS攻擊中,許多攻擊的速率超過(guò)了1 Tbps,幾乎每周都有。2024年迄今為止我們緩解的最大規(guī)模攻擊是由Mirai變種僵尸網(wǎng)絡(luò)發(fā)起的。這一攻擊達(dá)到2 Tbps,目標(biāo)是一家受Cloudflare Magic Transit保護(hù)的亞洲托管服務(wù)提供商。Cloudflare的系統(tǒng)自動(dòng)檢測(cè)并緩解了攻擊。
Mirai僵尸網(wǎng)絡(luò)因其大規(guī)模DDoS攻擊而臭名昭著,它主要由受感染的物聯(lián)網(wǎng)(IoT)設(shè)備組成。在2016年,一個(gè)Mirai僵尸網(wǎng)絡(luò)通過(guò)對(duì)DNS服務(wù)提供商發(fā)動(dòng)攻擊導(dǎo)致美國(guó)各地的互聯(lián)網(wǎng)訪問(wèn)中斷。將近八年過(guò)去了,Mirai僵尸網(wǎng)絡(luò)攻擊仍然非常普遍。每100次DDoS HTTP攻擊中有四次,每100次L3/4攻擊有兩次是由Mirai變體僵尸網(wǎng)絡(luò)發(fā)起的。我們之所以說(shuō)“變體”,是因?yàn)镸irai源代碼已被公開,多年來(lái)出現(xiàn)了基于原始代碼的許多變體。
Mirai僵尸網(wǎng)絡(luò)針對(duì)亞洲托管服務(wù)提供商發(fā)動(dòng)2 Tbps DDoS攻擊
DNS攻擊激增80%
我們于近期推出了最新的DDoS防御系統(tǒng)之一——Advanced DNS Protection系統(tǒng)。這是對(duì)我們現(xiàn)有系統(tǒng)的補(bǔ)充,旨在防御最復(fù)雜的基于DNS的DDoS攻擊。
我們決定投資開發(fā)這個(gè)新系統(tǒng)并非心血來(lái)潮?;贒NS的DDoS攻擊已成為最主要的攻擊手段,在所有網(wǎng)絡(luò)層攻擊中所占比例繼續(xù)增長(zhǎng)。2024年第一季度,基于DNS的DDoS攻擊同比增長(zhǎng)80%,占比達(dá)到約54%。
基于DNS的DDoS攻擊(分年度和季度)
盡管DNS攻擊激增,但值得注意的是,由于所有類型的DDoS攻擊總體都進(jìn)一步增加了,每種攻擊類型的占比仍然與我們的2023年第四季度報(bào)告中所見(jiàn)相同。HTTP DDoS攻擊在DDoS攻擊總數(shù)中的比例保持在37%,DNS DDoS攻擊占33%,余下30%為所有其他類型的L3/4攻擊,例如SYN Flood和UDP Flood。
攻擊類型分布
而且事實(shí)上,SYN Flood是第二種最常見(jiàn)的L3/4攻擊。排名第三的是RST Flood,這是另一種基于TCP的DDoS攻擊。UDP Flood排名第四,占6%。
主要攻擊手段
在分析最常見(jiàn)的攻擊手段時(shí),我們還會(huì)查看那些增長(zhǎng)最快、但不一定進(jìn)入前十名的攻擊手段。在增長(zhǎng)最快的攻擊手段(新興威脅)中,Jenkins Flood季度環(huán)比增長(zhǎng)超過(guò)826%。
Jenkins Flood是一種DDoS攻擊,利用Jenkins自動(dòng)化服務(wù)器中的漏洞,特別是通過(guò)UDP多播/廣播和DNS多播服務(wù)。攻擊者可以向Jenkins服務(wù)器的公共UDP端口發(fā)送精心制作的小型請(qǐng)求,導(dǎo)致服務(wù)器以不合比例的大量數(shù)據(jù)進(jìn)行響應(yīng)。此舉可顯著放大流量,使目標(biāo)網(wǎng)絡(luò)不堪重負(fù)并導(dǎo)致服務(wù)中斷。Jenkins在2020年通過(guò)在后續(xù)版本中默認(rèn)禁用這些服務(wù)來(lái)解決了這個(gè)漏洞(CVE-2020-2100)。然而,如我們所見(jiàn),即使4年后,這個(gè)漏洞仍在被濫用以發(fā)動(dòng)DDoS攻擊。
季度環(huán)比增長(zhǎng)最快的攻擊手段
HTTP/2 Continuation Flood
另一種值得討論的攻擊手段是HTTP/2 Continuation Flood。研究人員Bartek Nowotarski在2024年4月3日發(fā)現(xiàn)并公開的一個(gè)漏洞使這種攻擊手段成為可能。
HTTP/2 Continuation Flood漏洞的目標(biāo)是未正確處理HEADERS和多個(gè)CONTINUATION幀的HTTP/2協(xié)議實(shí)現(xiàn)。威脅行為者發(fā)送一系列不帶END_HEADERS標(biāo)志的CONTINUATION幀,導(dǎo)致潛在的服務(wù)器問(wèn)題,例如內(nèi)存不足崩潰或CPU耗盡。HTTP/2 Continuation Flood可以做到通過(guò)僅允許單臺(tái)機(jī)器就能夠破壞使用HTTP/2的網(wǎng)站和API,但由于HTTP訪問(wèn)日志中沒(méi)有可見(jiàn)的請(qǐng)求,這種攻擊難以被發(fā)現(xiàn)。
這個(gè)漏洞構(gòu)成的潛在嚴(yán)重威脅比之前已知的HTTP/2 Rapid Reset更具破壞性,這種攻擊手段導(dǎo)致了歷史上一些最大規(guī)模的HTTP/2 DDoS攻擊活動(dòng)。其中一次活動(dòng)中,數(shù)千次超大規(guī)模DDoS攻擊以Cloudflare為目標(biāo)。這些攻擊的速率高達(dá)數(shù)百萬(wàn)次請(qǐng)求/秒(rps)。根據(jù)Cloudflare記錄,本輪活動(dòng)的平均攻擊速率為3000萬(wàn)rps。其中大約89次攻擊的峰值超過(guò)1億rps,我們看到的規(guī)模最大的一次攻擊達(dá)到2.01億rps。
2023年第三季度的HTTP/2 Rapid Reset超大規(guī)模DDoS攻擊活動(dòng)
Cloudflare的網(wǎng)絡(luò)、其HTTP/2實(shí)現(xiàn),以及使用我們的WAF/CDN服務(wù)的客戶不受此漏洞的影響。此外,我們目前沒(méi)有發(fā)現(xiàn)互聯(lián)網(wǎng)上有任何威脅行為者利用此漏洞。
多個(gè)CVE已被分配給受此漏洞影響的各種HTTP/2實(shí)現(xiàn)??▋?nèi)基梅隆大學(xué)的Christopher Cullen發(fā)布的一個(gè)CERT警報(bào)(Bleeping Computer對(duì)此進(jìn)行了報(bào)道)已經(jīng)列出了各種CVE:
受攻擊最多的行業(yè)
在分析攻擊統(tǒng)計(jì)數(shù)據(jù)時(shí),我們使用系統(tǒng)中記錄的客戶行業(yè)來(lái)確定受攻擊最多的行業(yè)。2024年第一季度,北美地區(qū)受到最多HTTP DDoS攻擊的行業(yè)是營(yíng)銷和廣告行業(yè)。在非洲和歐洲,信息技術(shù)和互聯(lián)網(wǎng)行業(yè)受到最多攻擊。在中東,受攻擊最多的行業(yè)是計(jì)算機(jī)軟件。亞洲受攻擊最多的行業(yè)是游戲和泛娛樂(lè)。在南美,受攻擊最多的是銀行、金融服務(wù)和保險(xiǎn)(BFSI)。最后(但并非最不重要),大洋洲受到最多攻擊的行業(yè)是電信。
受到最多HTTP DDoS攻擊的行業(yè)(分地區(qū))
在全球范圍內(nèi),游戲和泛娛樂(lè)是HTTP DDoS攻擊第一大目標(biāo)。Cloudflare緩解的每100個(gè)DDoS請(qǐng)求中,超過(guò)7個(gè)是針對(duì)游戲和泛娛樂(lè)行業(yè)。第二位是信息技術(shù)和互聯(lián)網(wǎng)行業(yè),第三位是營(yíng)銷和廣告行業(yè)。
受HTTP DDoS攻擊最多的行業(yè)
信息技術(shù)和互聯(lián)網(wǎng)行業(yè)是網(wǎng)絡(luò)層DDoS攻擊的第一大目標(biāo),占網(wǎng)絡(luò)層DDoS攻擊字節(jié)總數(shù)的75%。這一巨大比例的一個(gè)可能解釋是信息技術(shù)和互聯(lián)網(wǎng)公司可成為攻擊的“超級(jí)聚合者”,它們受到的DDoS攻擊實(shí)際上是針對(duì)其最終客戶的。其次是電信、銀行、金融服務(wù)和保險(xiǎn)(BFSI)、游戲和泛娛樂(lè)以及計(jì)算機(jī)軟件,合計(jì)占3%。
受L3/4 DDoS攻擊最多的行業(yè)
通過(guò)將攻擊流量除以給定行業(yè)的總流量來(lái)對(duì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,我們會(huì)得到完全不同的狀況。在HTTP方面,律師事務(wù)所和法律服務(wù)是受到最多攻擊的行業(yè),其流量中超過(guò)40%是HTTP DDoS攻擊流量。生物技術(shù)行業(yè)位居第二,HTTP DDoS攻擊流量占比達(dá)到20%。第三位是非營(yíng)利組織,HTTP DDoS攻擊占比13%。航空和航天排名第四,前十的其他行業(yè)依次為交通運(yùn)輸、批發(fā)、政府關(guān)系、電影、公共政策和成人娛樂(lè)。
受HTTP DDoS攻擊最多的行業(yè)(標(biāo)準(zhǔn)化后)
回到網(wǎng)絡(luò)層,標(biāo)準(zhǔn)化后信息技術(shù)和互聯(lián)網(wǎng)仍然是受到L3/4 DDoS攻擊最多的行業(yè),其流量中近三分之一為攻擊流量。第二位是紡織行業(yè),攻擊流量占比為4%。土木工程排名第三,前十的其他行業(yè)依次是銀行、金融服務(wù)和保險(xiǎn)(BFSI)、軍事、建筑、醫(yī)療器械、國(guó)防和航天、游戲和泛娛樂(lè),最后是零售。
受L3/4 DDoS攻擊最多的行業(yè)(標(biāo)準(zhǔn)化后)
DDoS攻擊的最大來(lái)源
在分析HTTP DDoS攻擊的來(lái)源時(shí),我們通過(guò)查看源IP地址以確定這些攻擊的來(lái)源位置。某個(gè)國(guó)家/地區(qū)成為大量攻擊的來(lái)源地,表明在虛擬專用網(wǎng)絡(luò)(VPN)或代理端點(diǎn)后面很可能存在大量僵尸網(wǎng)絡(luò)節(jié)點(diǎn),可被攻擊者利用來(lái)混淆其來(lái)源。
在2024年第一季度,美國(guó)是HTTP DDoS攻擊流量的最大來(lái)源,所有DDoS攻擊請(qǐng)求的五分之一來(lái)自美國(guó)IP地址。中國(guó)位居第二,其后是德國(guó)、印度尼西亞、巴西、俄羅斯、伊朗、新加坡、印度和阿根廷。
HTTP DDoS攻擊的主要來(lái)源
在網(wǎng)絡(luò)層,源IP地址可被偽造。因此我們不依賴于IP地址來(lái)了解來(lái)源,而是使用我們接收到攻擊流量的數(shù)據(jù)中心位置。由于Cloudflare的網(wǎng)絡(luò)覆蓋全球310多個(gè)城市,我們可以獲得準(zhǔn)確的地理位置。
通過(guò)使用我們的數(shù)據(jù)中心位置,我們可以看到,2024年第一季度期間超過(guò)40%的L3/4 DDoS攻擊流量被我們的美國(guó)數(shù)據(jù)中心接收,使美國(guó)成為L(zhǎng)3/4攻擊的最大來(lái)源。遠(yuǎn)遠(yuǎn)落后的第二位是德國(guó),占6%,其后是巴西、新加坡、俄羅斯、韓國(guó)、中國(guó)香港、英國(guó)、荷蘭和日本。
L3/4 DDoS攻擊的主要來(lái)源
通過(guò)將攻擊流量除以給定國(guó)家或地區(qū)的總流量來(lái)標(biāo)準(zhǔn)化數(shù)據(jù),我們得到一個(gè)完全不同的排名。來(lái)自直布羅陀的HTTP流量中有近三分之一是DDoS攻擊流量,使其成為最大的來(lái)源。第二名是圣赫勒拿,其后是英屬維爾京群島、利比亞、巴拉圭、馬約特、赤道幾內(nèi)亞、阿根廷和安哥拉。
HTTP DDoS攻擊的主要來(lái)源(標(biāo)準(zhǔn)化后)
回到網(wǎng)絡(luò)層,標(biāo)準(zhǔn)化處理后的情況也大不相同。在我們位于津巴布韋的數(shù)據(jù)中心,所接收流量中近89%是L3/4 DDoS攻擊。在巴拉圭,攻擊流量占比超過(guò)56%,其后是蒙古,占比接近35%。排在前列的其他地點(diǎn)包括摩爾多瓦、剛果民主共和國(guó)、厄瓜多爾、吉布提、阿塞拜疆、海地和多米尼加共和國(guó)。
L3/4 DDoS攻擊的主要來(lái)源(標(biāo)準(zhǔn)化后)
受攻擊最多的地點(diǎn)
在分析針對(duì)我們客戶的DDoS攻擊時(shí),我們使用客戶的賬單國(guó)家/地區(qū)來(lái)確定“受攻擊的國(guó)家/地區(qū)”。2024年第一季度,美國(guó)是受HTTP DDoS攻擊最多的國(guó)家。Cloudflare緩解的DDoS請(qǐng)求中,大約十分之一針對(duì)美國(guó)。中國(guó)大陸位居第二,其后是加拿大、越南、印度尼西亞、新加坡、中國(guó)香港、臺(tái)灣地區(qū)、塞浦路斯和德國(guó)。
受到最多HTTP DDoS攻擊的國(guó)家和地區(qū)
通過(guò)將攻擊流量除以給定國(guó)家或地區(qū)的總流量來(lái)標(biāo)準(zhǔn)化數(shù)據(jù)時(shí),排名也變得截然不同。流向尼加拉瓜的HTTP流量中超過(guò)63%是DDoS攻擊流量,使其成為受攻擊最多的國(guó)家/地區(qū)。第二位是阿爾巴尼亞,其后是約旦、幾內(nèi)亞、圣馬力諾、格魯吉亞、印度尼西亞、柬埔寨、孟加拉國(guó)和阿富汗。
受到最多HTTP DDoS攻擊的國(guó)家/地區(qū)(標(biāo)準(zhǔn)化后)
在網(wǎng)絡(luò)層,中國(guó)大陸是受攻擊最多的地區(qū)。2024年第一季度Cloudflare緩解的所有DDoS攻擊中,有39%是針對(duì)Cloudflare的中國(guó)客戶。中國(guó)香港位居第二,其后是臺(tái)灣地區(qū)、美國(guó)和巴西。
受L3/4 DDoS攻擊最多的國(guó)家和地區(qū)
回到網(wǎng)絡(luò)層,標(biāo)準(zhǔn)化后中國(guó)香港成為受攻擊最多的地區(qū)。在發(fā)送到香港的所有流量中,超過(guò)78%為L(zhǎng)3/4 DDoS攻擊流量。位居第二的是中國(guó)大陸,DDoS占比75%。其后是哈薩克斯坦、泰國(guó)、圣文森特和格林納丁斯、挪威、臺(tái)灣地區(qū)、土耳其、新加坡和巴西。
受L3/4 DDoS攻擊最多的國(guó)家和地區(qū)(標(biāo)準(zhǔn)化后)
無(wú)論攻擊類型、規(guī)?;虺掷m(xù)時(shí)間如何,Cloudflare均可提供幫助
Cloudflare的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng),使其安全、高效運(yùn)行且人人可用。鑒于HTTP DDoS攻擊,大約十分之四持續(xù)10分鐘以上,大約十分之三持續(xù)一小時(shí)以上,形勢(shì)非常嚴(yán)峻。然而,無(wú)論攻擊達(dá)到10萬(wàn)個(gè)請(qǐng)求/秒(占攻擊總數(shù)的十分之一),甚至超過(guò)100萬(wàn)個(gè)請(qǐng)求/秒(罕見(jiàn)情況,僅占4/1000),Cloudflare的防御系統(tǒng)始終滴水不漏。
自2017年率先推出不計(jì)量DDoS防護(hù)以來(lái),Cloudflare一直堅(jiān)定不移地兌現(xiàn)向所有組織免費(fèi)提供企業(yè)級(jí)DDoS防護(hù)的承諾,確保我們先進(jìn)的技術(shù)和強(qiáng)大的網(wǎng)絡(luò)架構(gòu)不僅抵御攻擊,還能維持性能不受影響。
Cloudflare保護(hù)整個(gè)企業(yè)網(wǎng)絡(luò),幫助客戶高效構(gòu)建互聯(lián)網(wǎng)規(guī)模的應(yīng)用程序,加速任何網(wǎng)站或互聯(lián)網(wǎng)應(yīng)用程序,抵御DDoS攻擊,防止黑客入侵,并能協(xié)助您實(shí)現(xiàn)Zero Trust的部署與實(shí)施。