Cloudflare：DDoS攻擊只增不減！丨2021年第三季度DDoS攻擊趨勢報告

2021 年第三季度期間的 DDoS 攻擊者非?；钴S。在世界各地，Cloudflare 觀察并緩解了創(chuàng)紀錄的 HTTP DDoS 攻擊，TB 級網絡層攻擊，歷來最大規(guī)模的僵尸網絡之一（Meris），還有最近針對 VoIP 服務提供商及其網絡基礎設施的勒索 DDoS 攻擊。如下為 2021 年第三季度攻擊趨勢的總結：

應用層（L7）DDoS 攻擊趨勢現(xiàn)狀總結

1.美國境內的公司仍為世界上受到最多攻擊的目標；

2.針對英國和加拿大公司的攻擊大幅增加，分別成為第二大和第三大目標；

3.針對計算機軟件、游戲/博彩、IT 和互聯(lián)網公司的攻擊比前一季度平均增加了 573%；

4.Meris 是歷史上最強大的僵尸網絡之一，它參與了在多個行業(yè)和國家發(fā)起的 DDoS 攻擊活動。

網絡層（L3/4）DDoS 攻擊趨勢現(xiàn)狀總結

1.與上一季度相比，全球 DDoS 攻擊增加了44%；

2.中東和非洲的攻擊平均增幅最大，達到約 80%；

3.摩洛哥第三季度的 DDoS 攻擊活動居全球最高水平；

4.雖然 SYN 和 RST 攻擊依然是攻擊者使用的主要攻擊方法，Cloudflare 觀察到 DTLS 放大攻擊顯著增加，環(huán)比增長 3549%。

5.攻擊者對 VoIP 服務提供商發(fā)起了大規(guī)模 DDoS 攻擊，試圖破壞 SIP 基礎設施。（這種情況持續(xù)到今年第四季度。）

應用層 DDoS 攻擊

應用層 DDoS 攻擊，特別是 HTTP DDoS 攻擊，旨在通過使 HTTP 服務器無法處理合法用戶請求來破壞它。如果服務器收到的請求數(shù)量超過其處理能力，服務器將丟棄合法請求甚至崩潰，導致對合法用戶的服務性能下降或中斷。

2021 年第三季度期間，Meris 活動引人關注，發(fā)動了一些歷來規(guī)模最大的 HTTP DDoS 攻擊。在第三季度，我們觀察到有記錄以來最大的 HTTP 攻擊之一，每秒請求數(shù)高達 1720 萬，目標是金融服務行業(yè)的客戶。在發(fā)動這些攻擊的網絡中就部署了 Meris——有史以來最強大的僵尸網絡之一。

應用層 DDoS 攻擊：行業(yè)分布

科技和游戲行業(yè)是 2021 年第三季度受到最多攻擊的行業(yè)。按行業(yè)分析應用程序層攻擊時，計算機軟件公司高居榜首。游戲/博彩行業(yè)（在線攻擊的典型目標）緊隨其后，位居第二，互聯(lián)網和 IT 行業(yè)居第三位。

應用層 DDoS 攻擊：來源國家/地區(qū)分布

2021 年第三季度期間，大部分攻擊源于中國、美國和印度境內的設備/服務器。雖然中國仍然位居榜首，但來自中國 IP 的攻擊數(shù)量實際上比上一季度減少了 30%。接近每 200 個來自中國的 HTTP 請求中就有一個是 HTTP DDoS 攻擊的一部分。此外，來自巴西和德國的攻擊較前一季度減少了 38%。源于美國和馬來西亞的攻擊分別減少了 40% 和 45%。

應用層 DDoS 攻擊：目標國家/地區(qū)分布

位于美國的組織今年連續(xù)第二次成為 L7 DDoS 攻擊的最大目標，其次為英國和加拿大。

網絡層 DDoS 攻擊

應用層攻擊的目標是最終用戶嘗試訪問的服務所在的應用程序（OSI 模型的第 7 層），而網絡層攻擊以網絡基礎結構（例如聯(lián)網路由器和服務器）和互聯(lián)網鏈路本身為目標。

Mirai 變種僵尸網絡，峰值流量達到 1.2 Tbps。一個 Mirai 變種僵尸網絡發(fā)動了十多次基于 UDP 和 TCP 的DDoS 攻擊，峰值流量多次超過 1.0 Tbps，最大峰值流量達到1.2 Tbps。這些攻擊的目標是 Magic Transit 和 Spectrum 服務的客戶。目標之一是亞太地區(qū)的一家大型互聯(lián)網服務、電信和托管服務提供商。另一個目標是一家游戲公司。這幾次攻擊，全部被我們自動檢測并緩解，無需人工干預。

網絡層 DDoS 攻擊：月份分布

到目前為止，9 月是今年攻擊最活躍的一個月。2021 年第三季度占今年攻擊總數(shù)的 38% 以上。9 月是 2021 年迄今攻擊最多的月份，占全年攻擊總數(shù)的 16% 以上。

網絡層 DDoS 攻擊：攻擊速率分布

雖然（總體而言）大多數(shù)攻擊確實較小，但“較大”攻擊的數(shù)量正在增加。這表明，更多攻擊者控制更多資源來發(fā)動較大型的攻擊。

高比特率的攻擊試圖使互聯(lián)網鏈路飽和，而高數(shù)據包速率的攻擊會使路由器或其他聯(lián)網硬件設備不堪重負。耐人尋味的是，所有超過 400 Gbps 的攻擊都發(fā)生在 8 月份，包括我們見過的一些最大型攻擊：多次攻擊峰值都超過 1 Tbps，最高達到 1.2 Tbps。

網絡層 DDoS 攻擊：持續(xù)時間分布

大多數(shù)攻擊的持續(xù)時間都在 1 小時以內，再次表明有必要采取始終啟用的自動 DDoS 緩解解決方案。

短時間的攻擊很可能不被察覺，特別是爆發(fā)攻擊，此類攻擊會在幾秒鐘內用大量的包、字節(jié)或請求轟擊目標。Cloudflare 建議企業(yè)使用始終啟用的自動 DDoS 保護服務，此類服務能快速分析流量并應用實時指紋識別，因而能及時阻止短時間的攻擊。

Cloudflare 在路徑外分析流量，確保 DDoS 緩解不會給合法流量增加延遲。一旦發(fā)現(xiàn)攻擊，我們的自治邊緣 DDoS 保護系統(tǒng)（ dosd ）就會生成并應用動態(tài)制作、帶有實時特征的規(guī)則。預配置的防火墻規(guī)則（包括針對已知流量模式的允許/拒絕列表）立即生效。

網絡層 DDoS 攻擊：攻擊手段

攻擊手段是指攻擊者試圖導致拒絕服務事件所采用的方法。SYN 洪水依然是攻擊者最喜歡使用的攻擊方法。在我們網絡上觀察到的所有攻擊中，超過一半是 SYN 洪水攻擊，其次為 RST、ACK 和 UDP 洪水攻擊。

SYN 洪水攻擊是一種 DDoS 攻擊，它利用了 TCP 協(xié)議的最基本原理—客戶端與服務器之間的有狀態(tài) TCP 連接。

通過反復發(fā)送 SYN 數(shù)據包，攻擊者試圖使服務器或跟蹤 TCP 連接狀態(tài)的路由器連接表不堪重負。路由器以 SYN-ACK 數(shù)據包答復，為每個給定的連接分配一定數(shù)量的內存，并錯誤地等待客戶端回復最終 ACK。如果有足夠數(shù)量的連接占用路由器的內存，路由器將無法為合法客戶端分配更多內存，從而導致路由器崩潰或無力處理合法客戶端連接，從而造成拒絕服務事件。

網絡層 DDoS 攻擊：新興威脅

雖然 SYN 和 RST 洪水總體而言依然常見，當我們研究新出現(xiàn)的攻擊手段時，我們發(fā)現(xiàn) DTLS 放大攻擊出現(xiàn)激增。DTLS 洪水較前一季度增長了 3549%。

Datagram Transport Layer Security （DTLS）是一種類似 Transport Layer Security（TLS）的協(xié)議，旨在為基于數(shù)據包的無連接應用程序提供類似的安全保障，以防止消息被偽造、竊聽或篡改。DTLS 是一種無連接的協(xié)議，對于建立 VPN 連接特別有用，不存在 TCP 崩潰的問題。應用程序負責重新排序和其他連接屬性。

與大多數(shù)基于 UDP 的協(xié)議一樣，DTLS 是可偽造的 ，攻擊者用它產生反射放大攻擊，讓網絡層網關設備過載。

網絡層 DDoS 攻擊：國家/地區(qū)分布

從觀察到的網絡攻擊速率來看，摩洛哥高居首位，亞洲各國緊隨其后。

在分析網絡層 DDoS 攻擊時，我們統(tǒng)計流量的依據是接收流量的 Cloudflare 邊緣數(shù)據中心位置，而不是源 IP 地址。Cloudflare 能夠通過根據 Cloudflare 觀察到攻擊的數(shù)據中心位置顯示攻擊數(shù)據來克服偽造 IP 的挑戰(zhàn)。我們在全球 250 多個城市擁有數(shù)據中心，因而能夠在報告中體現(xiàn)準確的地理位置。

其他攻擊說明

有關近期針對 VoIP 服務提供商的攻擊，以及勒索 DDoS 攻擊的說明

我們最近報告并更新了針對 VoIP 服務提供商的攻擊激增的情況 — 其中一些服務提供商還收到了勒索威脅。截至 2021 年第四季度初，這些攻擊仍在持續(xù)進行中。Cloudflare 繼續(xù)向 VoIP 服務提供商提供支持，保護其應用程序和網絡免受攻擊。

攻擊者同時發(fā)動針對 API 網關和提供商企業(yè)網站的 HTTP 攻擊，以及針對 VoIP 基礎設施的網絡層和傳輸層攻擊。此外，一些組織繼續(xù)收到比特幣勒索信。勒索軟件和勒索 DDoS 攻擊已經連續(xù)四個季度對世界各地的組織構成嚴重威脅。

Cloudflare 產品杜絕了幾種會導致勒索軟件感染和勒索 DDoS 攻擊的威脅手段：

• Cloudflare DNS 過濾阻止不安全的網站。

• Cloudflare 瀏覽器隔離預防路過式下載（drive-by download，又稱“網頁掛馬”）和其他基于瀏覽器的攻擊。

• Zero Trust 架構有助于防止勒索軟件在網絡內傳播。

• Magic Transit 通過 BGP 路由重分發(fā)保護組織網絡免受 DDoS 攻擊，而不影響延遲時間。

幫助構建更好的互聯(lián)網

Cloudflare 創(chuàng)立的使命是幫助建設更好的互聯(lián)網。這個使命的一部分就是建設一個不再受到 DDoS 攻擊影響的互聯(lián)網。在過去幾年中，各種規(guī)模的組織都采用了 Cloudflare 服務，以保護其網站、應用程序和網絡免受 DDoS 攻擊，并快速可靠地運行。

但網絡攻擊有很多不同的形式，而不限于 DDoS 攻擊。惡意機器人、勒索軟件攻擊、電子郵件釣魚和 VPN /遠程訪問入侵等攻擊仍在繼續(xù)困擾著全球各種規(guī)模的組織。

這些攻擊的目標是網站、API、應用程序和整個網絡——它們構成了任何在線業(yè)務的命脈。正因為如此，Cloudflare 安全系列產品涵蓋連接到互聯(lián)網的一切。

如需進一步了解 Cloudflare DDoS 或我們的網絡服務，歡迎注冊帳戶或聯(lián)系我們。