Cloudflare：DDoS攻擊只增不減！丨2021年第三季度DDoS攻擊趨勢(shì)報(bào)告

2021 年第三季度期間的 DDoS 攻擊者非?；钴S。在世界各地，Cloudflare 觀察并緩解了創(chuàng)紀(jì)錄的 HTTP DDoS 攻擊，TB 級(jí)網(wǎng)絡(luò)層攻擊，歷來(lái)最大規(guī)模的僵尸網(wǎng)絡(luò)之一（Meris），還有最近針對(duì) VoIP 服務(wù)提供商及其網(wǎng)絡(luò)基礎(chǔ)設(shè)施的勒索 DDoS 攻擊。如下為 2021 年第三季度攻擊趨勢(shì)的總結(jié)：

應(yīng)用層（L7）DDoS 攻擊趨勢(shì)現(xiàn)狀總結(jié)

1.美國(guó)境內(nèi)的公司仍為世界上受到最多攻擊的目標(biāo)；

2.針對(duì)英國(guó)和加拿大公司的攻擊大幅增加，分別成為第二大和第三大目標(biāo)；

3.針對(duì)計(jì)算機(jī)軟件、游戲/博彩、IT 和互聯(lián)網(wǎng)公司的攻擊比前一季度平均增加了 573%；

4.Meris 是歷史上最強(qiáng)大的僵尸網(wǎng)絡(luò)之一，它參與了在多個(gè)行業(yè)和國(guó)家發(fā)起的 DDoS 攻擊活動(dòng)。

網(wǎng)絡(luò)層（L3/4）DDoS 攻擊趨勢(shì)現(xiàn)狀總結(jié)

1.與上一季度相比，全球 DDoS 攻擊增加了44%；

2.中東和非洲的攻擊平均增幅最大，達(dá)到約 80%；

3.摩洛哥第三季度的 DDoS 攻擊活動(dòng)居全球最高水平；

4.雖然 SYN 和 RST 攻擊依然是攻擊者使用的主要攻擊方法，Cloudflare 觀察到 DTLS 放大攻擊顯著增加，環(huán)比增長(zhǎng) 3549%。

5.攻擊者對(duì) VoIP 服務(wù)提供商發(fā)起了大規(guī)模 DDoS 攻擊，試圖破壞 SIP 基礎(chǔ)設(shè)施。（這種情況持續(xù)到今年第四季度。）

應(yīng)用層 DDoS 攻擊

應(yīng)用層 DDoS 攻擊，特別是 HTTP DDoS 攻擊，旨在通過(guò)使 HTTP 服務(wù)器無(wú)法處理合法用戶請(qǐng)求來(lái)破壞它。如果服務(wù)器收到的請(qǐng)求數(shù)量超過(guò)其處理能力，服務(wù)器將丟棄合法請(qǐng)求甚至崩潰，導(dǎo)致對(duì)合法用戶的服務(wù)性能下降或中斷。

2021 年第三季度期間，Meris 活動(dòng)引人關(guān)注，發(fā)動(dòng)了一些歷來(lái)規(guī)模最大的 HTTP DDoS 攻擊。在第三季度，我們觀察到有記錄以來(lái)最大的 HTTP 攻擊之一，每秒請(qǐng)求數(shù)高達(dá) 1720 萬(wàn)，目標(biāo)是金融服務(wù)行業(yè)的客戶。在發(fā)動(dòng)這些攻擊的網(wǎng)絡(luò)中就部署了 Meris——有史以來(lái)最強(qiáng)大的僵尸網(wǎng)絡(luò)之一。

應(yīng)用層 DDoS 攻擊：行業(yè)分布

科技和游戲行業(yè)是 2021 年第三季度受到最多攻擊的行業(yè)。按行業(yè)分析應(yīng)用程序?qū)庸魰r(shí)，計(jì)算機(jī)軟件公司高居榜首。游戲/博彩行業(yè)（在線攻擊的典型目標(biāo)）緊隨其后，位居第二，互聯(lián)網(wǎng)和 IT 行業(yè)居第三位。

應(yīng)用層 DDoS 攻擊：來(lái)源國(guó)家/地區(qū)分布

2021 年第三季度期間，大部分攻擊源于中國(guó)、美國(guó)和印度境內(nèi)的設(shè)備/服務(wù)器。雖然中國(guó)仍然位居榜首，但來(lái)自中國(guó) IP 的攻擊數(shù)量實(shí)際上比上一季度減少了 30%。接近每 200 個(gè)來(lái)自中國(guó)的 HTTP 請(qǐng)求中就有一個(gè)是 HTTP DDoS 攻擊的一部分。此外，來(lái)自巴西和德國(guó)的攻擊較前一季度減少了 38%。源于美國(guó)和馬來(lái)西亞的攻擊分別減少了 40% 和 45%。

應(yīng)用層 DDoS 攻擊：目標(biāo)國(guó)家/地區(qū)分布

位于美國(guó)的組織今年連續(xù)第二次成為 L7 DDoS 攻擊的最大目標(biāo)，其次為英國(guó)和加拿大。

網(wǎng)絡(luò)層 DDoS 攻擊

應(yīng)用層攻擊的目標(biāo)是最終用戶嘗試訪問(wèn)的服務(wù)所在的應(yīng)用程序（OSI 模型的第 7 層），而網(wǎng)絡(luò)層攻擊以網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)（例如聯(lián)網(wǎng)路由器和服務(wù)器）和互聯(lián)網(wǎng)鏈路本身為目標(biāo)。

Mirai 變種僵尸網(wǎng)絡(luò)，峰值流量達(dá)到 1.2 Tbps。一個(gè) Mirai 變種僵尸網(wǎng)絡(luò)發(fā)動(dòng)了十多次基于 UDP 和 TCP 的DDoS 攻擊，峰值流量多次超過(guò) 1.0 Tbps，最大峰值流量達(dá)到1.2 Tbps。這些攻擊的目標(biāo)是 Magic Transit 和 Spectrum 服務(wù)的客戶。目標(biāo)之一是亞太地區(qū)的一家大型互聯(lián)網(wǎng)服務(wù)、電信和托管服務(wù)提供商。另一個(gè)目標(biāo)是一家游戲公司。這幾次攻擊，全部被我們自動(dòng)檢測(cè)并緩解，無(wú)需人工干預(yù)。

網(wǎng)絡(luò)層 DDoS 攻擊：月份分布

到目前為止，9 月是今年攻擊最活躍的一個(gè)月。2021 年第三季度占今年攻擊總數(shù)的 38% 以上。9 月是 2021 年迄今攻擊最多的月份，占全年攻擊總數(shù)的 16% 以上。

網(wǎng)絡(luò)層 DDoS 攻擊：攻擊速率分布

雖然（總體而言）大多數(shù)攻擊確實(shí)較小，但“較大”攻擊的數(shù)量正在增加。這表明，更多攻擊者控制更多資源來(lái)發(fā)動(dòng)較大型的攻擊。

高比特率的攻擊試圖使互聯(lián)網(wǎng)鏈路飽和，而高數(shù)據(jù)包速率的攻擊會(huì)使路由器或其他聯(lián)網(wǎng)硬件設(shè)備不堪重負(fù)。耐人尋味的是，所有超過(guò) 400 Gbps 的攻擊都發(fā)生在 8 月份，包括我們見過(guò)的一些最大型攻擊：多次攻擊峰值都超過(guò) 1 Tbps，最高達(dá)到 1.2 Tbps。

網(wǎng)絡(luò)層 DDoS 攻擊：持續(xù)時(shí)間分布

大多數(shù)攻擊的持續(xù)時(shí)間都在 1 小時(shí)以內(nèi)，再次表明有必要采取始終啟用的自動(dòng) DDoS 緩解解決方案。

短時(shí)間的攻擊很可能不被察覺，特別是爆發(fā)攻擊，此類攻擊會(huì)在幾秒鐘內(nèi)用大量的包、字節(jié)或請(qǐng)求轟擊目標(biāo)。Cloudflare 建議企業(yè)使用始終啟用的自動(dòng) DDoS 保護(hù)服務(wù)，此類服務(wù)能快速分析流量并應(yīng)用實(shí)時(shí)指紋識(shí)別，因而能及時(shí)阻止短時(shí)間的攻擊。

Cloudflare 在路徑外分析流量，確保 DDoS 緩解不會(huì)給合法流量增加延遲。一旦發(fā)現(xiàn)攻擊，我們的自治邊緣 DDoS 保護(hù)系統(tǒng)（ dosd ）就會(huì)生成并應(yīng)用動(dòng)態(tài)制作、帶有實(shí)時(shí)特征的規(guī)則。預(yù)配置的防火墻規(guī)則（包括針對(duì)已知流量模式的允許/拒絕列表）立即生效。

網(wǎng)絡(luò)層 DDoS 攻擊：攻擊手段

攻擊手段是指攻擊者試圖導(dǎo)致拒絕服務(wù)事件所采用的方法。SYN 洪水依然是攻擊者最喜歡使用的攻擊方法。在我們網(wǎng)絡(luò)上觀察到的所有攻擊中，超過(guò)一半是 SYN 洪水攻擊，其次為 RST、ACK 和 UDP 洪水攻擊。

SYN 洪水攻擊是一種 DDoS 攻擊，它利用了 TCP 協(xié)議的最基本原理—客戶端與服務(wù)器之間的有狀態(tài) TCP 連接。

通過(guò)反復(fù)發(fā)送 SYN 數(shù)據(jù)包，攻擊者試圖使服務(wù)器或跟蹤 TCP 連接狀態(tài)的路由器連接表不堪重負(fù)。路由器以 SYN-ACK 數(shù)據(jù)包答復(fù)，為每個(gè)給定的連接分配一定數(shù)量的內(nèi)存，并錯(cuò)誤地等待客戶端回復(fù)最終 ACK。如果有足夠數(shù)量的連接占用路由器的內(nèi)存，路由器將無(wú)法為合法客戶端分配更多內(nèi)存，從而導(dǎo)致路由器崩潰或無(wú)力處理合法客戶端連接，從而造成拒絕服務(wù)事件。

網(wǎng)絡(luò)層 DDoS 攻擊：新興威脅

雖然 SYN 和 RST 洪水總體而言依然常見，當(dāng)我們研究新出現(xiàn)的攻擊手段時(shí)，我們發(fā)現(xiàn) DTLS 放大攻擊出現(xiàn)激增。DTLS 洪水較前一季度增長(zhǎng)了 3549%。

Datagram Transport Layer Security （DTLS）是一種類似 Transport Layer Security（TLS）的協(xié)議，旨在為基于數(shù)據(jù)包的無(wú)連接應(yīng)用程序提供類似的安全保障，以防止消息被偽造、竊聽或篡改。DTLS 是一種無(wú)連接的協(xié)議，對(duì)于建立 VPN 連接特別有用，不存在 TCP 崩潰的問(wèn)題。應(yīng)用程序負(fù)責(zé)重新排序和其他連接屬性。

與大多數(shù)基于 UDP 的協(xié)議一樣，DTLS 是可偽造的 ，攻擊者用它產(chǎn)生反射放大攻擊，讓網(wǎng)絡(luò)層網(wǎng)關(guān)設(shè)備過(guò)載。

網(wǎng)絡(luò)層 DDoS 攻擊：國(guó)家/地區(qū)分布

從觀察到的網(wǎng)絡(luò)攻擊速率來(lái)看，摩洛哥高居首位，亞洲各國(guó)緊隨其后。

在分析網(wǎng)絡(luò)層 DDoS 攻擊時(shí)，我們統(tǒng)計(jì)流量的依據(jù)是接收流量的 Cloudflare 邊緣數(shù)據(jù)中心位置，而不是源 IP 地址。Cloudflare 能夠通過(guò)根據(jù) Cloudflare 觀察到攻擊的數(shù)據(jù)中心位置顯示攻擊數(shù)據(jù)來(lái)克服偽造 IP 的挑戰(zhàn)。我們?cè)谌?250 多個(gè)城市擁有數(shù)據(jù)中心，因而能夠在報(bào)告中體現(xiàn)準(zhǔn)確的地理位置。

其他攻擊說(shuō)明

有關(guān)近期針對(duì) VoIP 服務(wù)提供商的攻擊，以及勒索 DDoS 攻擊的說(shuō)明

我們最近報(bào)告并更新了針對(duì) VoIP 服務(wù)提供商的攻擊激增的情況 — 其中一些服務(wù)提供商還收到了勒索威脅。截至 2021 年第四季度初，這些攻擊仍在持續(xù)進(jìn)行中。Cloudflare 繼續(xù)向 VoIP 服務(wù)提供商提供支持，保護(hù)其應(yīng)用程序和網(wǎng)絡(luò)免受攻擊。

攻擊者同時(shí)發(fā)動(dòng)針對(duì) API 網(wǎng)關(guān)和提供商企業(yè)網(wǎng)站的 HTTP 攻擊，以及針對(duì) VoIP 基礎(chǔ)設(shè)施的網(wǎng)絡(luò)層和傳輸層攻擊。此外，一些組織繼續(xù)收到比特幣勒索信。勒索軟件和勒索 DDoS 攻擊已經(jīng)連續(xù)四個(gè)季度對(duì)世界各地的組織構(gòu)成嚴(yán)重威脅。

Cloudflare 產(chǎn)品杜絕了幾種會(huì)導(dǎo)致勒索軟件感染和勒索 DDoS 攻擊的威脅手段：

• Cloudflare DNS 過(guò)濾阻止不安全的網(wǎng)站。

• Cloudflare 瀏覽器隔離預(yù)防路過(guò)式下載（drive-by download，又稱“網(wǎng)頁(yè)掛馬”）和其他基于瀏覽器的攻擊。

• Zero Trust 架構(gòu)有助于防止勒索軟件在網(wǎng)絡(luò)內(nèi)傳播。

• Magic Transit 通過(guò) BGP 路由重分發(fā)保護(hù)組織網(wǎng)絡(luò)免受 DDoS 攻擊，而不影響延遲時(shí)間。

幫助構(gòu)建更好的互聯(lián)網(wǎng)

Cloudflare 創(chuàng)立的使命是幫助建設(shè)更好的互聯(lián)網(wǎng)。這個(gè)使命的一部分就是建設(shè)一個(gè)不再受到 DDoS 攻擊影響的互聯(lián)網(wǎng)。在過(guò)去幾年中，各種規(guī)模的組織都采用了 Cloudflare 服務(wù)，以保護(hù)其網(wǎng)站、應(yīng)用程序和網(wǎng)絡(luò)免受 DDoS 攻擊，并快速可靠地運(yùn)行。

但網(wǎng)絡(luò)攻擊有很多不同的形式，而不限于 DDoS 攻擊。惡意機(jī)器人、勒索軟件攻擊、電子郵件釣魚和 VPN /遠(yuǎn)程訪問(wèn)入侵等攻擊仍在繼續(xù)困擾著全球各種規(guī)模的組織。

這些攻擊的目標(biāo)是網(wǎng)站、API、應(yīng)用程序和整個(gè)網(wǎng)絡(luò)——它們構(gòu)成了任何在線業(yè)務(wù)的命脈。正因?yàn)槿绱?，Cloudflare 安全系列產(chǎn)品涵蓋連接到互聯(lián)網(wǎng)的一切。

如需進(jìn)一步了解 Cloudflare DDoS 或我們的網(wǎng)絡(luò)服務(wù)，歡迎注冊(cè)帳戶或聯(lián)系我們。