2024年第二季度DDoS威脅趨勢報告

歡迎閱讀第18版Cloudflare DDoS威脅趨勢報告。本報告每季度發(fā)布一次，對Cloudflare網(wǎng)絡(luò)上觀察到的最新DDoS威脅態(tài)勢進(jìn)行深入分析。此版報告將重點介紹2024年第二季度的相關(guān)情況。

Cloudflare憑借覆蓋全球320多個城市、容量達(dá)280 TB/秒的龐大網(wǎng)絡(luò)（為19%的網(wǎng)站提供服務(wù)）占據(jù)有利條件，使其能夠向更廣泛的互聯(lián)網(wǎng)社群提供寶貴的洞察見解和趨勢分析。

2024年第二季度的關(guān)鍵洞察及見解

-Cloudflare記錄的DDoS攻擊數(shù)量同比增長20%。

-每25名受訪者中有1人表示，其遭受的DDoS攻擊由代表國家或政府支持的威脅行為者發(fā)起。

-威脅行為者的能力達(dá)到空前的高水平，Cloudflare的自動化防御系統(tǒng)生成了10倍以上的攻擊特征，以抵御和緩解超級復(fù)雜的DDoS攻擊。

（與此同時，您也可以在Cloudflare Radar上查看本報告的互動版本）

簡要回顧-什么是DDoS攻擊？

在深入探討之前，我們回顧一下什么是DDoS攻擊。分布式拒絕服務(wù)（DDoS）攻擊是一種網(wǎng)絡(luò)攻擊，目的是切斷或破壞互聯(lián)網(wǎng)服務(wù)（例如網(wǎng)站或移動應(yīng)用程序），使用戶無法使用這些服務(wù)。通常采用的攻擊方式是使受害者的服務(wù)器不堪重負(fù)，無法處理過多流量，這些流量通常來自互聯(lián)網(wǎng)上的多個源，進(jìn)而導(dǎo)致服務(wù)器無法處理合法用戶流量。

DDoS攻擊示意圖

如需進(jìn)一步了解DDoS攻擊和其他類型的網(wǎng)絡(luò)威脅，請訪問我們的學(xué)習(xí)中心，查看Cloudflare博客之前已發(fā)布的DDoS威脅報告，或者訪問我們的互動中心Cloudflare Radar。還有一個免費(fèi)的API，可供有興趣研究這些報告和其他互聯(lián)網(wǎng)趨勢的相關(guān)從業(yè)人員使用。

威脅行為者憑借其復(fù)雜老練的“技術(shù)手段”，推動了DDoS攻擊數(shù)量的持續(xù)增長

2024年上半年，Cloudflare緩解了850萬次DDoS攻擊：第一季度450萬次，第二季度400萬次?？傮w而言，第二季度DDoS攻擊數(shù)量環(huán)比下降了11%，但同比增長了20%。

DDoS攻擊分布（按類型和手段）

需要指出的是，2023年全年，Cloudflare緩解了1400萬次DDoS攻擊；相比之下，我們到2024年年中緩解的DDoS攻擊數(shù)量已達(dá)到了去年總量的60%。

Cloudflare已成功緩解了10.2萬億次HTTP DDoS請求和57 PB的網(wǎng)絡(luò)層DDoS攻擊流量，阻止其到達(dá)我們客戶的源服務(wù)器。

2024年第二季度DDoS攻擊數(shù)量統(tǒng)計數(shù)據(jù)

如果進(jìn)一步細(xì)分，則可以看到第二季度400萬次DDoS攻擊包括220萬次網(wǎng)絡(luò)層DDoS攻擊，以及180萬次HTTP DDoS攻擊。這個180萬次HTTP DDoS攻擊的數(shù)字經(jīng)過了標(biāo)準(zhǔn)化處理，以彌補(bǔ)復(fù)雜和隨機(jī)HTTP DDoS攻擊數(shù)量激增的問題。Cloudflare的自動化防御系統(tǒng)生成了針對DDoS攻擊的實時特征，并且由于這些復(fù)雜攻擊的隨機(jī)性，我們觀察到單次攻擊生成了許多特征-實際生成的特征數(shù)量接近1900萬，比180萬這個標(biāo)準(zhǔn)化處理后的數(shù)字高出十倍以上。為應(yīng)對因隨機(jī)攻擊所生成的數(shù)百萬個特征，均源于一些單一的規(guī)則。這些規(guī)則發(fā)揮了攔截攻擊的作用，但它們也導(dǎo)致特征數(shù)量虛高，因此，我們在計算時將其排除在外。

HTTP DDoS攻擊數(shù)量（按季節(jié)），含已排除的攻擊特征

這種十倍數(shù)量的差異表明，威脅態(tài)勢已發(fā)生巨大變化。過去，使威脅行為者能夠發(fā)起此類隨機(jī)、復(fù)雜攻擊的工具和能力，與代表國家或政府支持的行為者的能力息息相關(guān)。但是，隨著生成式AI和自動駕駛系統(tǒng)的興起，使得威脅行為者可以借勢更快速地編寫更優(yōu)質(zhì)的代碼，甚至一些“普通網(wǎng)絡(luò)犯罪分子”也掌握了這些能力。

DDoS勒索攻擊

2024年5月，報告遭受DDoS攻擊威脅行為者的威脅或DDoS勒索攻擊的Cloudflare客戶比例達(dá)到16%，為過去12個月以來的最高水平。第二季度初期的比例相對較低，7%的客戶報告遭受了威脅或勒索攻擊。5月，這一比例迅速躍升至16%；6月則略微下降至14%。

報告遭受DDoS威脅或勒索敲詐的客戶百分比（按月份）

總體而言，勒索DDoS攻擊在過去一年里呈季度環(huán)比增加。2024年第二季度報告遭受威脅或勒索的客戶比例為12.3%，略高于上一季度（10.2%），但與去年同期基本持平，也是12.0%。

報告遭受DDoS威脅或勒索敲詐的客戶百分比（按季度）

威脅行為者

75%的受訪者表示，他們不知道攻擊者是誰，或?qū)Ψ桨l(fā)起攻擊的原因。這些受訪者都是遭受HTTP DDoS攻擊的Cloudflare客戶。

在聲稱了解攻擊者的受訪者中，59%的人表示攻擊者是競爭對手。另有21%的受訪者表示，DDoS攻擊由心懷不滿的客戶或用戶發(fā)起；另有17%的受訪者表示，DDoS攻擊由代表國家或政府支持的威脅行為者發(fā)起。剩余3%的受訪者則表示他們遭受了“因其自身原因”造成的DDoS攻擊。

Cloudflare客戶報告的威脅行為者類型百分比，不包括未知攻擊者和異常值

遭受攻擊最多的國家和地區(qū)

中國位居2024年第二季度全球遭受攻擊最多的國家和地區(qū)榜首。這個排名納入考慮的攻擊類型包括：HTTP DDoS攻擊、網(wǎng)絡(luò)層DDoS攻擊、DDoS攻擊流量占總流量的總量和百分比，并且圖表顯示了每個國家或地區(qū)的總體DDoS攻擊活動。圖表中的條形圖越長，表示攻擊活動數(shù)量越多。

緊隨中國之后是位居第二的土耳其，接著依次是新加坡、中國香港、俄羅斯、巴西和泰國。下表列出了遭受攻擊最多的前15個國家/地區(qū)中的其余國家和地區(qū)。

2024年第二季度遭受攻擊最多的15個國家和地區(qū)

受攻擊最多的行業(yè)

信息技術(shù)和服務(wù)位居2024年第二季度遭受攻擊最多的目標(biāo)行業(yè)榜首。我們在此處使用的排名方法遵循前面所述的相同原則，即：將HTTP DDoS攻擊和網(wǎng)絡(luò)層DDoS攻擊的總量與相對攻擊流量提煉為一個DDoS攻擊活動排名。

電信、服務(wù)提供商和運(yùn)營商行業(yè)排第二，消費(fèi)品行業(yè)則排在第三。

2024年第二季度遭受攻擊最多的15個目標(biāo)行業(yè)

如果僅分析HTTP DDoS攻擊，我們會看到截然不同的情況。就HTTP DDoS攻擊請求量而言，游戲和泛娛樂是遭受攻擊最多的行業(yè)。各個地區(qū)的細(xì)分?jǐn)?shù)據(jù)如下所示。

遭受HTTP DDoS攻擊最多的行業(yè)（按地區(qū)劃分）

DDoS攻擊最大來源

阿根廷位居2024年第二季度DDoS攻擊最大來源榜首。我們在此處使用的排名方法遵循前面所述的相同原則，即：將HTTP DDoS攻擊和網(wǎng)絡(luò)層DDoS攻擊的總量與相對攻擊流量提煉為一個DDoS攻擊活動排名。

印度尼西亞緊隨其后，排名第二；荷蘭排名第三。

2024年第二季度排名前15的DDoS攻擊最大來源

DDoS攻擊特征

-網(wǎng)絡(luò)層DDoS攻擊手段

雖然基于DNS的DDoS攻擊數(shù)量季度環(huán)比減少了49%，但它仍然是最常見的攻擊手段，其中DNS洪水和DNS放大攻擊合計占37%。SYN洪水次之，占23%；隨后是RST洪水，占10%多一點。SYN洪水與RST洪水都是基于TCP的DDoS攻擊。所有基于TCP的DDoS攻擊數(shù)量總共占網(wǎng)絡(luò)層DDoS攻擊總數(shù)的38%。

主要攻擊手段（網(wǎng)絡(luò)層）

-HTTP DDoS攻擊手段

運(yùn)營大型網(wǎng)絡(luò)的優(yōu)勢之一是我們可以發(fā)現(xiàn)許多流量和攻擊。這有助于我們優(yōu)化檢測和緩解系統(tǒng)來更好、更有效地保護(hù)客戶。Cloudflare在第一季度使用針對自身已知僵尸網(wǎng)絡(luò)的專有啟發(fā)式方法緩解了一半數(shù)量的HTTP DDoS攻擊。這些啟發(fā)式方法會指導(dǎo)我們的系統(tǒng)如何生成實時特征來匹配不同類型的攻擊。

另有29%的HTTP DDoS攻擊使用了虛假用戶代理、冒充瀏覽器，或來自無頭瀏覽器。另有13%的攻擊具備可疑的HTTP屬性，觸發(fā)了我們的自動化防御系統(tǒng)；以及7%的攻擊被標(biāo)記為一般洪水。需要注意的一點是，這些攻擊手段或攻擊組織不一定具有排他性。例如，已知的僵尸網(wǎng)絡(luò)也會冒充瀏覽器以及具備可疑的HTTP屬性，但這是我們對HTTP DDoS攻擊進(jìn)行分類的初步嘗試。

主要攻擊手段（HTTP）

-DDoS攻擊中使用的HTTP版本

在第二季度，大約一半的Web流量使用HTTP/2，29%使用HTTP/1.1，五分之一使用HTTP/3，接近0.62%使用HTTP/1.0，0.01%使用HTTP/1.2。

Web流量分布（按HTTP版本）

HTTP DDoS攻擊在版本采用方面遵循類似的模式，盡管也是更傾向于使用HTTP/2。76%的HTTP DDoS攻擊流量使用HTTP/2版本，接近22%的流量使用HTTP/1.1。另一方面，HTTP/3的使用量相對要少得多。只有0.86%的HTTP DDoS攻擊流量使用HTTP/3，與此形成鮮明對比的是，20%的Web流量采用HTTP/3。

HTTP DDoS攻擊流量分布（按HTTP版本）

-DDoS攻擊持續(xù)時間

絕大多數(shù)DDoS攻擊的持續(xù)時間比較短。超過57%的HTTP DDoS攻擊以及88%的網(wǎng)絡(luò)層DDoS攻擊在10分鐘內(nèi)結(jié)束。這凸顯了對自動化內(nèi)聯(lián)檢測和緩解系統(tǒng)的需求。因為如果靠人為來響應(yīng)警報、分析流量，以及應(yīng)用手動緩解措施，十分鐘遠(yuǎn)遠(yuǎn)不夠。

在圖表的另一端，我們可以看到，大約四分之一的HTTP DDoS攻擊持續(xù)時間超過一小時，近五分之一的攻擊持續(xù)時間超過一天。而持續(xù)時間較長的網(wǎng)絡(luò)層DDoS攻擊數(shù)量明顯減少，只有1%的網(wǎng)絡(luò)層DDoS攻擊持續(xù)時間超過3小時。

HTTP DDoS攻擊分布（按持續(xù)時間）

網(wǎng)絡(luò)層DDoS攻擊：持續(xù)時間分布

-DDoS攻擊規(guī)模

大多數(shù)DDoS攻擊規(guī)模相對較小。超過95%的網(wǎng)絡(luò)層DDoS攻擊低于500兆比特/秒，86%的網(wǎng)絡(luò)層DDoS攻擊低于50,000個數(shù)據(jù)包/秒。

網(wǎng)絡(luò)層DDoS攻擊分布（按比特率）

網(wǎng)絡(luò)層DDoS攻擊分布（按包速率）

同樣地，81%的HTTP DDoS攻擊低于每秒5萬個請求。雖然這些速率在Cloudflare的網(wǎng)絡(luò)規(guī)模上顯得很小，但是對于不習(xí)慣這種流量水平的未受保護(hù)網(wǎng)站而言，此類攻擊仍然可能會造成破壞性影響。

HTTP DDoS攻擊分布（按請求速率）

盡管大多數(shù)攻擊規(guī)模較小，但較大型的容量耗盡攻擊的數(shù)量有所增加。每100次網(wǎng)絡(luò)層DDoS攻擊中，有一次超過100萬個數(shù)據(jù)包/秒（pps）；每100次網(wǎng)絡(luò)層DDoS攻擊中，有兩次超過500兆比特/秒。在第7層（應(yīng)用程序?qū)樱?，?000次HTTP DDoS攻擊中，有4次超過每秒100萬個請求。

關(guān)鍵要點

大多數(shù)DDoS攻擊規(guī)模小且速度快。然而，即便是此類攻擊，也可能會擾亂不遵循DDoS防御最佳實踐的在線服務(wù)。

此外，威脅行為者的復(fù)雜、老練能力正在日漸增強(qiáng)，這可能是因為借助了生成式AI和開發(fā)人員輔助工具，讓他們可以編寫更優(yōu)質(zhì)的攻擊代碼，導(dǎo)致防御DDoS攻擊的難度增加。然而現(xiàn)實情況是，在攻擊復(fù)雜程度有所提高之前，許多企業(yè)及組織就已經(jīng)難以自行防御此類威脅了-但他們不需要這樣做也不必過于擔(dān)心，Cloudflare隨時可以提供幫助。Cloudflare投入了大量資源（所以客戶無需投入），確保我們的自動化防御系統(tǒng)以及整個Cloudflare產(chǎn)品組合的安全性，從而幫助客戶隨時都可有效防范現(xiàn)有和新興威脅。