分布式拒絕服務(wù)(DDoS)攻擊是一種網(wǎng)絡(luò)攻擊,旨在壓垮和破壞在線服務(wù),使用戶無法訪問這些服務(wù)。通過利用分布式設(shè)備網(wǎng)絡(luò),DDoS攻擊會(huì)向目標(biāo)系統(tǒng)發(fā)送過多請(qǐng)求,消耗其帶寬或耗盡計(jì)算資源,直至發(fā)生故障。這些攻擊對(duì)未受保護(hù)的站點(diǎn)非常有效,而且攻擊者發(fā)動(dòng)攻擊的成本相對(duì)較低。盡管DDoS攻擊是最古老的攻擊類型之一,但它仍然是一個(gè)持續(xù)的威脅,通常針對(duì)知名或高流量的網(wǎng)站、服務(wù)或關(guān)鍵基礎(chǔ)設(shè)施。自2024年初以來,Cloudflare已經(jīng)緩解了超過1450萬次DDoS攻擊、平均每小時(shí)2200次DDoS攻擊。(我們于近期發(fā)布的《2024年第三季度DDoS威脅報(bào)告》中包含了更多相關(guān)統(tǒng)計(jì)數(shù)據(jù))。
如果我們查看與過去10年緩解的大型攻擊相關(guān)的指標(biāo),得出的數(shù)據(jù)圖表中是會(huì)顯示一條穩(wěn)步增長(zhǎng)的指數(shù)曲線并在過去幾年里越來越陡峭?還是更接近于線性增長(zhǎng)?-事實(shí)是增長(zhǎng)不是直線式的,而是指數(shù)曲線,斜率取決于我們正在查看的指標(biāo)。
為什么要討論這個(gè)問題?答案很簡(jiǎn)單-為了解攻擊者不斷演變的思路及策略、其工具的復(fù)雜程度,以及這些信息可以為防御機(jī)制的準(zhǔn)備程度提供寶貴的見解。
例如,每秒請(qǐng)求數(shù)(rps)呈上升曲線表明攻擊者正在更改其端側(cè)的某些內(nèi)容,從而能夠生成大量請(qǐng)求。這一發(fā)現(xiàn)提示我們進(jìn)行更多調(diào)查并查看其他數(shù)據(jù),以了解是否有任何新情況發(fā)生。
例如,在其中一個(gè)時(shí)刻,我們查看了流量來源,發(fā)現(xiàn)從訂閱者/企業(yè)IP地址空間(表明是IoT)轉(zhuǎn)移到了云提供商IP地址空間(表明是VM),并意識(shí)到攻擊者使用的設(shè)備類型和功能發(fā)生了變化。
再舉一個(gè)例子:當(dāng)HTTP/2 Rapid Reset攻擊發(fā)生時(shí),當(dāng)時(shí)每秒創(chuàng)紀(jì)錄的請(qǐng)求數(shù)表明攻擊者正在采用一種新技術(shù),促使我們迅速調(diào)查正在執(zhí)行的操作并調(diào)整我們的防御措施。
定義單次攻擊
對(duì)單個(gè)攻擊的時(shí)間劃分出奇的模糊。首先,攻擊分析可能會(huì)在OSI模型的不同層提供不一致的觀察結(jié)果。對(duì)于同一攻擊,在所有這些不同層看到的足跡可能展現(xiàn)的是不同的情況。然而,我們可以將一些變量組合在一起來創(chuàng)建一個(gè)指紋,并對(duì)一系列事件進(jìn)行分組,從而確定它們是否屬于同一次攻擊。示例包括:
-我們是否發(fā)現(xiàn)這組事件使用了相同的攻擊手段?
-所有攻擊事件是否都針對(duì)相同的目標(biāo)?
-事件的有效負(fù)載是否共用相同的簽名?(特定數(shù)據(jù)有效負(fù)載或請(qǐng)求類型是特定攻擊或僵尸網(wǎng)絡(luò)所獨(dú)有的,例如Mirai,它可能使用獨(dú)特的HTTP請(qǐng)求標(biāo)頭或數(shù)據(jù)包結(jié)構(gòu)。)
DDoS攻擊規(guī)模
在深入分析過去10年DDoS攻擊的增長(zhǎng)情況之前,讓我們先回顧一下通常用于衡量DDoS攻擊的指標(biāo):每秒請(qǐng)求數(shù)(rps)、每秒數(shù)據(jù)包數(shù)(pps)和每秒比特?cái)?shù)(bps)。每個(gè)指標(biāo)都反映了攻擊規(guī)模和影響的不同方面。
-每秒請(qǐng)求數(shù)(rps):衡量每秒發(fā)出的HTTP或類似協(xié)議請(qǐng)求數(shù)。此指標(biāo)與應(yīng)用程序?qū)庸簦ǖ?層)特別相關(guān),此類攻擊的目的是使用超過其處理能力的請(qǐng)求數(shù)來壓垮特定應(yīng)用程序或服務(wù)。該指標(biāo)對(duì)于衡量針對(duì)Web服務(wù)器、API或應(yīng)用程序的攻擊非常有用,因?yàn)樗从车氖钦?qǐng)求量,而不僅僅是原始數(shù)據(jù)傳輸量。
-每秒數(shù)據(jù)包數(shù)(pps):表示每秒發(fā)送到目標(biāo)的單個(gè)數(shù)據(jù)包的數(shù)量,無論其大小如何。此指標(biāo)對(duì)于網(wǎng)絡(luò)層攻擊(第3層和第4層)至關(guān)重要,此類攻擊的目標(biāo)是使用超出其數(shù)據(jù)包處理能力的數(shù)據(jù)包量來壓垮網(wǎng)絡(luò)基礎(chǔ)設(shè)施。pps測(cè)量值對(duì)于容量耗盡攻擊非常有用,可以識(shí)別可能影響路由器、交換機(jī)或防火墻的數(shù)據(jù)包數(shù)量。
-每秒比特?cái)?shù)(bps):該指標(biāo)衡量的是每秒傳輸?shù)目倲?shù)據(jù)量,尤其適用于評(píng)估旨在使目標(biāo)或其上游提供商的帶寬飽和的網(wǎng)絡(luò)層攻擊。bps廣泛用于衡量第3層和第4層攻擊,例如UDP洪水攻擊,此類攻擊旨在阻塞網(wǎng)絡(luò)帶寬。該指標(biāo)在DDoS攻擊中通常尤為重要,因?yàn)楦遙ps值(通常以GB或TB為單位)表示帶寬飽和,這是大規(guī)模DDoS活動(dòng)的共同目標(biāo)。
過去十年DDoS攻擊規(guī)模的演變
那么,過去十年間DDoS攻擊規(guī)模有何變化?
-過去十年中,DDoS攻擊規(guī)模越來越大,攻擊強(qiáng)度也越來越迅猛,每年都有可能造成更嚴(yán)重的破壞。
縱觀過去十年間與大型攻擊相關(guān)的指標(biāo),是呈指數(shù)曲線穩(wěn)定增長(zhǎng)并不斷變得陡峭(特別是在過去幾年里),還是更接近于線性增長(zhǎng)?
-我們發(fā)現(xiàn)它是呈指數(shù)曲線增長(zhǎng)的,在下文中我們會(huì)進(jìn)一步闡述得出這一結(jié)論的原因:
在本次分析中,我們使用了Google在2010年到2022年間觀察到的攻擊作為基線(圖1),再加上Cloudflare在2023年和2024年觀察到的攻擊事件(圖2)。
回顧過去,在21世紀(jì)10年代初期,最大規(guī)模的攻擊以每秒千兆位(Gbps)為單位,但如今,攻擊以每秒太比特(Tbps)為單位。正如我們觀測(cè)到的,如今每秒請(qǐng)求數(shù)(rps)和每秒比特?cái)?shù)(bps)也在顯著增加。
下方圖1中顯示的Google歷史數(shù)據(jù)表明,在2010年至2022年期間觀察到的DDoS攻擊中,每秒請(qǐng)求數(shù)呈上升趨勢(shì),在2020年達(dá)到每秒600萬個(gè)請(qǐng)求(Mrps)的峰值。這一增長(zhǎng)凸顯了這十年間攻擊量的顯著增加。
圖1:2010-2022年已知最大的DDoS攻擊。(來源:Google)
圖2(下圖)展示了不同指標(biāo)的趨勢(shì)。Google統(tǒng)計(jì)數(shù)據(jù)中的上升趨勢(shì)也體現(xiàn)在Cloudflare 2023年和2024年觀察到且已緩解的大規(guī)模DDoS攻擊數(shù)據(jù)中,在2024年9月達(dá)到201 Mrps(綠線)。每秒數(shù)據(jù)包數(shù)(pps)的速率(藍(lán)線)隨著時(shí)間的推移呈現(xiàn)輕微的指數(shù)增長(zhǎng),從2015年的230 Mpps上升到2024年的2,100 Mpps,這表明攻擊者正在實(shí)現(xiàn)更高的吞吐量。每秒比特?cái)?shù)(bps)的趨勢(shì)線也是指數(shù)曲線,并且更為陡峭(紅線),從2013年的309 Gbps級(jí)攻擊發(fā)展到2024年的5.6 Tbps(5,600 Gbps)級(jí)攻擊。
在過去十年間,推動(dòng)這些指標(biāo)的攻擊顯著增長(zhǎng):
-2013年至2024年期間,每秒比特?cái)?shù)增長(zhǎng)了20倍
-2015年至2024年期間,每秒數(shù)據(jù)包數(shù)增長(zhǎng)了10倍
-2014年到2024年期間,每秒請(qǐng)求數(shù)增長(zhǎng)了70倍
圖2:圖1中的數(shù)據(jù)加上Cloudflare在2023年和2024年觀察到的大規(guī)模攻擊。
表1中列出的博客文章重點(diǎn)介紹了我們?cè)?021年至2024年期間觀察到的一些攻擊。
表1:Cloudflare在2021-2024年期間觀察到的值得注意的DDoS攻擊。
Cloudflare學(xué)習(xí)中心中提供了過去十年發(fā)生的其他重大高流量DDoS攻擊的概述,包括2018年的Memcached濫用和2023年的HTTP/2“Rapid Reset”攻擊。
攻擊持續(xù)時(shí)間指標(biāo)
攻擊持續(xù)時(shí)間并不是衡量攻擊強(qiáng)度的有效指標(biāo),因?yàn)榇_定單次攻擊或攻擊活動(dòng)的持續(xù)時(shí)間具有挑戰(zhàn)性,這是因?yàn)樗鼈兛赡芫哂虚g歇性,可能同時(shí)使用多種攻擊手段,或者隨著時(shí)間的推移而觸發(fā)不同的防御層。
攻擊模式可能差異很大,有些只有一個(gè)大的峰值,而另一些則包含多個(gè)緊密聚集的峰值,或者在一段時(shí)間內(nèi)保持連續(xù)負(fù)載,以及其他不斷變化的特征。
用于發(fā)起攻擊的設(shè)備類型趨勢(shì)
DDoS攻擊正逐漸從基于IoT的僵尸網(wǎng)絡(luò)轉(zhuǎn)向更強(qiáng)大的基于VM的僵尸網(wǎng)絡(luò)。這種變化主要是因?yàn)樵仆泄芴摂M機(jī)具有更高的計(jì)算能力和吞吐量,這讓攻擊者能夠使用更少的設(shè)備發(fā)動(dòng)更大規(guī)模攻擊。
這種轉(zhuǎn)變是由多種因素促成的:VM僵尸網(wǎng)絡(luò)比IoT僵尸網(wǎng)絡(luò)更容易建立,因?yàn)樗鼈儾灰欢ㄐ枰蠓秶膼阂廛浖腥?,因?yàn)楣粽呖梢允褂脧臄?shù)據(jù)泄露或Magecart攻擊中竊取的支付信息匿名將它們部署在云提供商基礎(chǔ)設(shè)施上。
這一趨勢(shì)表明DDoS攻擊策略正在演變,因?yàn)楣粽呃锰摂M機(jī)的處理能力和對(duì)云資源的匿名訪問,使得更小、更高效的僵尸網(wǎng)絡(luò)能夠發(fā)動(dòng)更大規(guī)模攻擊,省去了感染和管理大量IoT設(shè)備所帶來的復(fù)雜性。
Cloudflare如何幫助防御DDoS攻擊?
Cloudflare的全球連通云建立在我們廣泛的Anycast全球網(wǎng)絡(luò)上,通過利用自動(dòng)檢測(cè)、流量分配和快速響應(yīng)功能,在防御DDoS攻擊方面發(fā)揮著至關(guān)重要的作用。以下是其增強(qiáng)DDoS防護(hù)的方法:
自動(dòng)攻擊檢測(cè)和緩解:Cloudflare的DDoS防護(hù)在很大程度上依賴于自動(dòng)化,使用機(jī)器學(xué)習(xí)算法實(shí)時(shí)識(shí)別可疑流量模式。通過自動(dòng)化檢測(cè)過程,Cloudflare可以快速識(shí)別和阻止DDoS攻擊,而無需人工干預(yù),這一點(diǎn)在抵御足以壓垮人類響應(yīng)者的大規(guī)模攻擊時(shí)至關(guān)重要。
使用IP Anycast進(jìn)行全球流量分配:Cloudflare的網(wǎng)絡(luò)覆蓋全球330多座城市,DDoS流量會(huì)在我們的多個(gè)數(shù)據(jù)中心之間分散。IP Anycast使我們能夠在整個(gè)全球網(wǎng)絡(luò)中分配流量,這種廣泛的分布有助于吸收和緩解大規(guī)模攻擊,因?yàn)楣袅髁坎粫?huì)流向單個(gè)點(diǎn),從而減輕了單個(gè)服務(wù)器和網(wǎng)絡(luò)的壓力。
分層防御:Cloudflare的全球連通云提供跨多個(gè)層的防御,包括網(wǎng)絡(luò)層(第3層)、傳輸層(第4層)和應(yīng)用程序?qū)樱ǖ?層)。這種分層方法允許根據(jù)攻擊類型部署定制化的防御策略,確保能有效緩解復(fù)雜的多層攻擊。歡迎閱讀我們的DDoS防護(hù)文檔,進(jìn)一步了解第3層、第4層和第7層的DDoS防護(hù)策略。
不計(jì)量的DDoS緩解:Cloudflare自2017年以來率先采用這種方法來確?;ヂ?lián)網(wǎng)安全,提供不計(jì)量的DDoS防護(hù),這意味著客戶可以在攻擊期間受到保護(hù),而無需擔(dān)心帶寬或成本限制。這種方法有助于確保擁有不同規(guī)模或預(yù)算的企業(yè)都能受益于強(qiáng)大的DDoS防護(hù)。
Cloudflare的分布式云基礎(chǔ)設(shè)施和先進(jìn)技術(shù)使我們能夠以可擴(kuò)展且響應(yīng)迅速的方式檢測(cè)、吸收和緩解DDoS攻擊,避免停機(jī)并保持服務(wù)可靠性,與傳統(tǒng)方案選項(xiàng)相比,這提供了強(qiáng)大的解決方案來應(yīng)對(duì)不斷上升的DDoS攻擊強(qiáng)度和頻率。
對(duì)于任何規(guī)模的企業(yè)及組織來說,防范DDoS攻擊都至關(guān)重要。雖然這些攻擊是由人類發(fā)起的,但它們是由機(jī)器人執(zhí)行的,因此有效的防御需要自動(dòng)化工具來對(duì)抗機(jī)器人驅(qū)動(dòng)的威脅。實(shí)時(shí)檢測(cè)和緩解應(yīng)盡可能自動(dòng)化,僅依靠人工干預(yù)會(huì)使防御者處于不利地位,因?yàn)楣粽邥?huì)適應(yīng)新的障礙,且能夠改變攻擊手段、流量行為、惡意有效負(fù)載簽名等,從而產(chǎn)生不可預(yù)測(cè)的情況,致使一些手動(dòng)配置變得毫無用處。Cloudflare的自動(dòng)化系統(tǒng)會(huì)代表我們的客戶持續(xù)識(shí)別和阻止DDoS攻擊,從而提供滿足不同需求的定制化防護(hù)方案。
我們的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng),而在面對(duì)DDoS威脅時(shí)提供彈性是完成這一使命的一部分。