DDoS攻擊正在激增！Cloudflare 2020第三季度DDoS趨勢(shì)報(bào)告

在今年的第二季度，我們發(fā)現(xiàn)全球互聯(lián)網(wǎng)的DDoS攻擊數(shù)量相比第一季度翻了一倍，小型攻擊持續(xù)占據(jù)主導(dǎo)。到了今年第三季度，網(wǎng)絡(luò)層DDoS趨勢(shì)又發(fā)生了哪些變化呢？讓我們一起來(lái)看一下吧。

DDoS攻擊正在激增

DDoS攻擊的頻率及復(fù)雜性都在激增！

繼今年第二季度DDoS攻擊數(shù)量翻倍后，Cloudflare觀察到，第三季度的網(wǎng)絡(luò)層攻擊總數(shù)再次翻了一番。除此以外，我們還觀察到了比以往更多的攻擊媒介。SYN、RST和UDP泛洪仍然占據(jù)主導(dǎo)，mDNS、Memcached和Jenkins DoS等特定協(xié)議的攻擊水平陡然上升。

主要趨勢(shì)：

大多數(shù)攻擊的速率都低于500Mbps和1Mpps，但這些攻擊足以造成服務(wù)中斷；

大多數(shù)攻擊的持續(xù)時(shí)間不超過(guò)1個(gè)小時(shí)；

贖金驅(qū)動(dòng)的DDoS攻擊呈上升趨勢(shì)。

攻擊規(guī)模

L3/4 DDoS攻擊的規(guī)模可以用比特率和包速率來(lái)衡量。高比特率攻擊旨在飽和互聯(lián)網(wǎng)鏈路，而高數(shù)據(jù)包速率攻擊則會(huì)使路由器或其他嵌入式硬件設(shè)備不堪重負(fù)。

在第三季度，1Gbps以下的攻擊數(shù)量超過(guò)了總數(shù)的87%，而在第二季度這一數(shù)字僅為52%。需要注意的是，許多ISP提供的uplink要遠(yuǎn)小于1Gbps，若組織未采用DDoS云保護(hù)服務(wù)，這些小型攻擊仍可以輕松破壞互聯(lián)網(wǎng)資產(chǎn)。

從數(shù)據(jù)包速率的角度來(lái)看，如上圖所示，第三季度約有47%的攻擊低于50Kpps，而第二季度僅有19%的攻擊的規(guī)模低于50Kpps。

趨勢(shì)見(jiàn)解：

小型攻擊數(shù)量激增可能意味著業(yè)余攻擊者的活動(dòng)更頻繁，一些易于獲取的工具和暴露的IP/網(wǎng)絡(luò)降低了其發(fā)起攻擊的門檻。

小型攻擊也可能是復(fù)雜攻擊活動(dòng)的“煙霧彈”，使安全團(tuán)隊(duì)無(wú)暇應(yīng)對(duì)其他類型的網(wǎng)絡(luò)攻擊。

攻擊持續(xù)時(shí)間

今年第三季度，短時(shí)DDoS攻擊約占總數(shù)的88%，L3/4 DDoS攻擊的持續(xù)時(shí)間正變得越來(lái)越短。

DDoS檢測(cè)系統(tǒng)往往難以檢測(cè)到持續(xù)時(shí)間較短的攻擊，依賴于手動(dòng)分析和緩解的DDoS防御服務(wù)對(duì)此也無(wú)計(jì)可施。對(duì)于任何在線業(yè)務(wù)而言，擁有自動(dòng)實(shí)時(shí)的DDoS防御系統(tǒng)至關(guān)重要。

趨勢(shì)見(jiàn)解：

攻擊者可以利用短時(shí)攻擊來(lái)探測(cè)目標(biāo)的防御系統(tǒng)，在發(fā)動(dòng)高速率、長(zhǎng)時(shí)間攻擊前了解目標(biāo)的安全狀況。

一些攻擊者會(huì)利用小型DDoS攻擊向目標(biāo)發(fā)出警告，證明其具備造成實(shí)際破壞的能力。

企業(yè)組織不能對(duì)此類攻擊掉以輕心，短暫的停機(jī)也會(huì)對(duì)在線業(yè)務(wù)造成重創(chuàng)。

攻擊向量

第三季度中較為流行的攻擊向量有SYN泛洪，占總數(shù)的65%，其次是RST和UDP泛洪。這與前兩個(gè)季度的趨勢(shì)一致。

與UDP協(xié)議有關(guān)的攻擊（如mDNS，Memcached和Jenkins）相比上一季度大幅增加。例如在第三季度，mDNS攻擊數(shù)量上漲了2680%。

攻擊的地理分布

從國(guó)家/地區(qū)分布來(lái)看，我們?cè)诿绹?guó)觀察到的L3/4 DDoS攻擊次數(shù)最多，其次是德國(guó)和澳大利亞。

Cloudflare DDoS防護(hù)

本地硬件/云清理中心越來(lái)越難以應(yīng)對(duì)現(xiàn)代DDoS攻擊的挑戰(zhàn)。Cloudflare自2017年起為包括免費(fèi)計(jì)劃在內(nèi)的所有客戶推出了無(wú)限制的DDoS緩解。Cloudflare全球網(wǎng)絡(luò)上的每臺(tái)服務(wù)器都可以檢測(cè)和阻止威脅，同時(shí)不產(chǎn)生延遲。

51Tbps的DDoS緩解能力，TTM小于3秒——Cloudflare擁有51Tbps的龐大全球網(wǎng)絡(luò)，平均可在3秒內(nèi)緩解攻擊。

兼顧性能和安全性，緩解的同時(shí)不帶來(lái)延遲——Cloudflare的分布式架構(gòu)能夠在源頭附近緩解攻擊，通過(guò)分析流量路徑確保不會(huì)給合法流量帶來(lái)額外延遲。

借助全球威脅情報(bào)，自動(dòng)阻止攻擊——借助Cloudflare網(wǎng)絡(luò)上2500萬(wàn)＋互聯(lián)網(wǎng)屬性的流量情報(bào)，我們可以即時(shí)自動(dòng)阻止攻擊，無(wú)需人為干預(yù)。