Cloudflare：2020年第四季度網絡層DDoS攻擊趨勢

2020 年第四季度的 DDoS 攻擊趨勢在許多方面一反常態(tài)。Cloudflare 觀察到大型 DDoS 攻擊數量增加，為 2020 年期間首次。具體而言，超過 500Mbps 和 50K pps 的攻擊數量大幅上升。

此外，攻擊手段也在不斷變化，基于協(xié)議的攻擊相當于上一季度的 3-10 倍。攻擊時間也比以往更長，在 10 月至 12 月期間觀察到的所有攻擊中，近 9% 的攻擊持續(xù)時間超過 24 小時。

以下是 2020 年第四季度其他值得注意的觀察結果，下文將進行更詳細的探討。

攻擊數量：第四季度觀察到的攻擊總數與上一季度相比有所下降，這是 2020 年的第一次。

攻擊持續(xù)時間：在觀察到的所有攻擊中，73% 的攻擊持續(xù)時間不到 1 小時，這與第三季度的 88％ 相比有所下降。

攻擊手段：盡管 SYN、ACK 和 RST 洪水仍然是主要的攻擊手段，但基于 NetBIOS 的攻擊增長了驚人的 5400％，其次是基于 ISAKMP 和 SPSS 的攻擊。

全球 DDoS 活動：我們位于毛里求斯、羅馬尼亞和文萊的數據中心記錄的 DDoS 活動（相對于非攻擊流量）的百分比最高。

其他攻擊策略：DDoS 勒索（RDDoS）攻擊繼續(xù)瞄準世界各地的組織，犯罪團伙嘗試通過 DDoS 攻擊威脅來獲得比特幣形式的贖金。

DDoS攻擊數量

我們觀察到網絡層 DDoS 攻擊總數與上一季度相比有所下降，這是 2020 年的第一次。2020 年第四季度的攻擊數量占全年的 15%，相比之下，第三季度占 48%。實際上，僅與 9 月相比，第四季度的攻擊總數就銳減了 60％。按月來看，12 月是第四季度中攻擊者最活躍的月份。

DDoS攻擊速率

衡量 L3/4 DDoS 攻擊規(guī)模有不同的方法。一種方法是攻擊產生的流量大小，即比特率（以每秒千兆比特 Gbps 為單位）。另一種是攻擊產生的數據包數，即數據包速率（以每秒數據包數 pps 為單位）。高比特率的攻擊試圖使目標的最后一英里網絡鏈接飽和，而高數據包速率的攻擊則試圖使路由器或其他內聯硬件設備不堪重負。

在第四季度，與前幾個季度一樣，大多數攻擊的規(guī)模都很小。具體而言，大多低于 1 Gbps 和 1 Mpps。這種趨勢并不奇怪，因為大多數攻擊都是由業(yè)余攻擊者發(fā)起的，他們使用的工具都很簡單，最多只需要幾美元。另外，小規(guī)模攻擊也可能作為煙幕，用于分散安全團隊對其他類型網絡攻擊的注意，或者用于測試網絡的現有防御機制。

然而，小規(guī)模攻擊總體上常見并未反映第四季度的全部情況。與前幾個季度相比，超過 500 Mbps 和 50 K pps 的攻擊占總攻擊數的比例更高。實際上，與第三季度相比，超過 100 Gbps 的攻擊數量增加了 9倍，超過 10 Mpps 的攻擊數量增加了 2.6 倍。

Cloudflare 觀察到一次獨特的大型攻擊是 ACK 洪水 DoS 攻擊，我們的系統(tǒng)自動檢測并緩解了這次攻擊。這次攻擊的獨特之處不在于數據包速率最大，而是其攻擊方式似乎借鑒于聲學領域。

從上圖中可以看出，攻擊的數據包速率在超過 19 個小時的時間內呈波浪形。攻擊者似乎受到了拍頻（beat）這一聲學概念的啟發(fā)。因此，我們將此類攻擊命名為“拍頻”攻擊。在聲學領域，拍頻是用于描述兩個不同波頻之間干擾的術語。您可以在我們的以下博客文章中了解有關“拍頻”攻擊的更多信息：拍頻 - 為 DDoS 攻擊提供靈感的聲學概念。

無論是數據包密集型攻擊還是比特密集型攻擊，大型 DDoS 攻擊數量的增加都是令人不安的趨勢。這表明攻擊者變得愈加肆無忌憚，并在使用讓他們可以發(fā)起更大型攻擊的工具。更糟糕的是，較大型攻擊往往不僅影響到目標網絡，還會影響為目標網絡下游提供服務的中間服務提供商。

攻擊持續(xù)時間

在 2020 年第四季度，73％ 的攻擊持續(xù)時間不到 1 小時。另一方面，近 9％ 的攻擊持續(xù)時間超過 24 小時，相比之下，2020 年第三季度僅為 1.5%。這種增長使得更有必要采用實時和始終開啟的防御系統(tǒng)，以防止各種規(guī)模和持續(xù)時間的攻擊。

攻擊手段

攻擊手段是用于描述攻擊方式的術語。最常見的方式是 SYN 洪水攻擊，占第三季度觀察到的所有攻擊的近 42％，其次是 ACK、RST 和基于 UDP 的 DDoS 攻擊。這與前幾個季度觀察到的情況相對一致。但是，ACK 攻擊數量從第三季度時的第 9 位躍升至第 2 位，比上一季度增加了 12 倍，取代了 RST 攻擊的第 2 位。

主要新型威脅

盡管 SYN 和 RST 洪水等基于 TCP 的攻擊仍然流行，但針對特定 UDP 協(xié)議的攻擊（如基于 NetBIOS 和 ISAKMP 的 DDoS 攻擊）與上一季度相比呈爆發(fā)式增長。

NetBIOS 是一種協(xié)議，允許不同計算機上的應用程序通過局域網進行通信和訪問共享資源；ISAKMP 也是一種協(xié)議，用于在設置 IPsec VPN 連接時建立安全關聯（SA）和加密密鑰（IPsec 使用互聯網密鑰交換（IKE）協(xié)議確保安全連接，并對通過互聯網協(xié)議（IP）網絡發(fā)送的數據包進行身份驗證和加密）。

Cloudflare 繼續(xù)觀察到攻擊者采用基于協(xié)議的攻擊，甚至是多手段攻擊來嘗試使網絡癱瘓。隨著攻擊復雜性不斷提高，我們需要采取足夠的 DDoS 保護措施，以確保組織始終保持安全和在線狀態(tài)。

全球DDoS攻擊活動地理分布

為了了解這些攻擊的來源，我們查看接收這些流量的 Cloudflare 邊緣網絡數據中心，而不是源 IP 的地址。原因何在？在發(fā)動 L3/4 攻擊時，攻擊者可以偽造源 IP 地址，以掩蓋攻擊來源。

在本報告中，我們還將某個 Cloudflare 數據中心觀察到的攻擊流量與同一數據中心觀察到的非攻擊流量進行對比，以了解地域分布情況。這使我們能夠更準確地確定那些觀察到更多威脅的地理位置。由于在全球 100 多個國家/地區(qū)的 200 多個城市設有數據中心，我們能夠在報告中提供準確的地理位置信息。

在第四季度的指標中，有一些耐人尋味之處：在我們位于毛里求斯、羅馬尼亞和文萊的數據中心，所記錄的攻擊流量相對于非攻擊流量的百分比最高。具體而言，在這些國家/地區(qū)的所有流量中，有 4.4％ 至 4.9％ 來自 DDoS 攻擊。換句話說，每 100 字節(jié)中有近 5 字節(jié)屬于攻擊流量。這些觀察結果表明，以上國家/地區(qū)的僵尸網絡活動有所增加。

01

非洲DDoS活動

02

亞太地區(qū)和大洋洲DDoS活動

03

歐洲地區(qū)和大洋洲DDoS活動

04

中東地區(qū)DDoS活動

05

北美地區(qū)DDoS活動

06

南美地區(qū)DDoS活動

07

美國地區(qū)DDoS活動

Cloudflare DDoS防護

Cloudflare 提供全面的 L3-L7 DDoS 保護。2017 年，我們率先取消了針對 DDoS 攻擊的行業(yè)標準激增定價，為客戶提供不計量和無限的 DDoS 保護。自那時以來，我們吸引了數以千計各種規(guī)模的客戶，其中包括 Wikimedia、Panasonic 和 Discord，這些組織都依賴 Cloudflare 保護并加速其互聯網資產。他們選擇 Cloudflare 的三大原因：

不設清洗中心

Cloudflare 的網絡架構使每個數據中心的每臺機器都可以執(zhí)行 DDoS 緩解。在邊緣進行緩解是在不影響性能的前提下實現大規(guī)模防護的唯一方法?；?Anycast 的架構使我們的容量等同于我們的 DDoS 清洗能力，達到 51 Tbps，在市場中居第一位。

速度至關重要

Cloudflare 地理分布式網絡確保全球范圍內檢測和緩解攻擊的平均時間不超過 3 秒，在業(yè)界處于領先地位。

不止于DDoS攻擊

DDoS 攻擊只是各種組織目前所面臨的諸多網絡威脅之一。隨著企業(yè)轉向零信任方式，網絡和安全性買家將面臨更大規(guī)模的網絡訪問相關威脅，機器人攻擊的頻率和復雜性也會持續(xù)激增。Cloudflare One 解決方案采用零信任安全模型，為公司提供保護設備、數據和應用程序的更佳手段，并與我們現有的安全性平臺和 DDoS 解決方案深度集成。