2021年第四季度DDoS攻擊趨勢

來源: cloudflare
作者:Omer Yoachimik & Vivek Ganti
時間:2022-02-10
13206
2021年上半年出現(xiàn)了大規(guī)模的勒索軟件和勒索DDoS攻擊活動,導(dǎo)致世界各地的關(guān)鍵基礎(chǔ)設(shè)施頻繁中斷(包括美國最大的管道系統(tǒng)運營商之一),在一個針對學(xué)校、公共領(lǐng)域、旅游組織和信用聯(lián)盟等的IT管理軟件曝光了一個漏洞。

image3-1-4.png

2021年上半年出現(xiàn)了大規(guī)模的勒索軟件和勒索DDoS攻擊活動,導(dǎo)致世界各地的關(guān)鍵基礎(chǔ)設(shè)施頻繁中斷(包括美國最大的管道系統(tǒng)運營商之一),在一個針對學(xué)校、公共領(lǐng)域、旅游組織和信用聯(lián)盟等的IT管理軟件曝光了一個漏洞。

到了下半年,有史以來最強大的僵尸網(wǎng)絡(luò)之一(Meris)變本加厲,Cloudflare網(wǎng)絡(luò)上觀察到的HTTP DDoS攻擊和網(wǎng)絡(luò)層攻擊均刷新了記錄。此外,12月曝光的Log4j2漏洞(CVE-2021-44228)允許攻擊者在遠程服務(wù)器上執(zhí)行代碼——可謂自Heartbleed和Shellshock曝光以來互聯(lián)網(wǎng)上最嚴重的漏洞之一。

以上列舉的主要網(wǎng)絡(luò)攻擊只是少數(shù)幾個例子,表明網(wǎng)絡(luò)安全方面存在一種不斷加劇的趨勢,從科技公司、政府機構(gòu)到酒廠和肉類加工廠,所有組織都受到了影響。

如下為2021年、尤其是2021年第四季度的一些DDoS攻擊趨勢:

DDoS勒索攻擊

·在第四季度,勒索DDoS攻擊同比增長了29%,環(huán)比增長了175%。

·僅12月而言,三分之一的受訪者稱自己遭受到一次勒索DDoS攻擊或收到攻擊者的威脅。

應(yīng)用層DDoS攻擊

·制造業(yè)是2021年第四季度期間受到最多攻擊的行業(yè),攻擊數(shù)量較上一個季度大幅增長了641%。針對商業(yè)服務(wù)業(yè)和游戲/博彩業(yè)的攻擊數(shù)量分別居第二和第三位。

·今年以來,源于中國網(wǎng)絡(luò)的攻擊流量來源占比連續(xù)第四次高居榜首。

·一個名為Meris僵尸網(wǎng)絡(luò)的新僵尸網(wǎng)絡(luò)于2021年中出現(xiàn),并繼續(xù)肆意攻擊世界各地的組織,發(fā)動了一些歷來最大規(guī)模的HTTP攻擊,包括一次1720萬rps的攻擊(被Cloudflare自動緩解)。

網(wǎng)絡(luò)層DDoS攻擊

·2021年第四季度是2021年攻擊最活躍的一個季度。僅2021年12月觀察到的攻擊數(shù)量就超過2021年第一季度、第二季度各自的攻擊總數(shù)。

·雖然大多數(shù)攻擊規(guī)模較小,但TB級攻擊在2021年下半年成為新常態(tài)。Cloudflare自動緩解了數(shù)十次峰值超過1 Tbps的攻擊,其中最大規(guī)模的一次接近2 Tbps,為我們見過的最大攻擊。

·在2021年第四季度,尤其是11月,世界各地持續(xù)出現(xiàn)針對VoIP提供商的勒索DDoS攻擊活動。

·2021年第四季度期間,源于摩爾多瓦的攻擊較前一個季度翻了兩番,使其成為網(wǎng)絡(luò)層DDoS攻擊活動占比最高的國家。

·SYN洪水和UDP洪水為最常見的攻擊手段,而SNMP攻擊等新興威脅環(huán)比增長接近5800%。

本報告是基于Cloudflare DDoS防護系統(tǒng)自動檢測并緩解的DDoS攻擊。如需進一步了解其工作原理,請查看這篇深入剖析的博客文章。

簡要說明一下我們?nèi)绾螠y量在我們網(wǎng)絡(luò)上觀察到的DDoS攻擊。

為分析攻擊趨勢,我們計算“DDoS活動”率,即攻擊流量占我們?nèi)蚓W(wǎng)絡(luò)觀察到的總流量(攻擊+干凈)的百分比。通過測量攻擊流量占觀察到的總流量的百分比,我們能夠?qū)?shù)據(jù)點進行標(biāo)準化,并避免絕對數(shù)字所反映出來的偏差,例如,如果某個Cloudflare數(shù)據(jù)中心接收到更多流量,則其也可能受到更多攻擊。

本報告的交互式版本可在Cloudflare Radar查看。

勒索攻擊

我們的系統(tǒng)持續(xù)分析流量,并在檢測到DDoS攻擊時自動應(yīng)用緩解措施。每個遭受DDoS攻擊的客戶都會收到自動調(diào)查的提示,以幫助我們更好地了解攻擊的性質(zhì)和緩解是否成功。

兩年多來,Cloudflare一直對受到攻擊的客戶進行調(diào)查,其中一個問題是客戶是否收到勒索信,要求其支付贖金來換取停止DDoS攻擊。2021年第四季度期間錄得的勒索威脅調(diào)查回應(yīng)為歷來最高水平,顯示勒索攻擊同比增長了29%,環(huán)比增長了175%。具體而言,22%的受訪者表示收到攻擊者要求支付贖金的勒索信。

image9.png

受訪者中報稱遭受勒索DDoS攻擊或在攻擊前收到威脅的百分比。

按月分析數(shù)據(jù),我們可以看到,2021年12月高居榜首,期間有接近三分之一(32%)的受訪者報稱收到勒索信。

unnamed.png

應(yīng)用層DDoS攻擊

應(yīng)用層DDoS攻擊,特別是HTTP DDoS攻擊,旨在通過使HTTP服務(wù)器無法處理合法用戶請求來破壞它。如果服務(wù)器收到的請求數(shù)量超過其處理能力,服務(wù)器將丟棄合法請求甚至崩潰,導(dǎo)致對合法用戶的服務(wù)性能下降或中斷。

image13.png

應(yīng)用層DDoS攻擊:行業(yè)分布

在第四季度,針對制造業(yè)公司的DDoS攻擊環(huán)比增長了641%,針對商業(yè)服務(wù)業(yè)的攻擊環(huán)比增長了97%。

按行業(yè)分析應(yīng)用層攻擊,2021年第四季度期間受到最多攻擊的是制造業(yè)、商業(yè)服務(wù)業(yè)和游戲/博彩業(yè)。

image12.png

應(yīng)用層DDoS攻擊:來源國家/地區(qū)分布

為了解HTTP攻擊的來源,我們查看產(chǎn)生攻擊HTTP請求的客戶端的源IP地址。與網(wǎng)絡(luò)層攻擊不同,HTTP攻擊中的源IP無法假冒。特定國家/地區(qū)的高DDoS活動率通常表明有僵尸網(wǎng)絡(luò)在其境內(nèi)運行。

源于中國境內(nèi)的DDoS攻擊占比連續(xù)第四個季度居首位。每1000個來自中國的HTTP請求中,超過3個是HTTP DDoS攻擊的一部分。美國依然居第二位,其次為巴西和印度。

image18.png

應(yīng)用層DDoS攻擊:目標(biāo)國家/地區(qū)分布

為確定哪些國家/地區(qū)遭受到最多攻擊,我們按客戶的賬單國家/地區(qū)統(tǒng)計DDoS攻擊,并計算占DDoS攻擊總數(shù)的百分比。

位于美國的組織今年連續(xù)第三次成為HTTP DDoS攻擊的最大目標(biāo),其次為加拿大和德國。

image8.png

網(wǎng)絡(luò)層DDoS攻擊

應(yīng)用層攻擊的目標(biāo)是最終用戶嘗試訪問的服務(wù)所在的應(yīng)用程序(OSI模型的第7層),而網(wǎng)絡(luò)層攻擊以網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)(例如聯(lián)網(wǎng)路由器和服務(wù)器)和互聯(lián)網(wǎng)鏈路本身為目標(biāo)。

Cloudflare攔截了一次接近2 Tbps的攻擊

在11月,我們的系統(tǒng)自動檢測并緩解了一次接近2 Tbps的DDoS攻擊。該攻擊使用了多種手段,包括DNS放大攻擊和UDP洪水。攻擊僅持續(xù)了一分鐘。這次攻擊是從大約1.5萬個僵尸(機器人)程序上發(fā)動的,這些機器人在物聯(lián)網(wǎng)設(shè)備和11未打補丁的GitLab實例上運行原始Mirai代碼的一個變種。

image14.jpg

網(wǎng)絡(luò)層DDoS攻擊:月份分布

12月是2021年攻擊最活躍的月份。

第四季度是2021年攻擊最活躍的季度。超過43%的網(wǎng)絡(luò)層DDoS攻擊發(fā)生在2021年第四季度。雖然10月相對平靜,但在11月,期間有中國的光棍節(jié)、美國的感恩節(jié)、黑色星期五和網(wǎng)絡(luò)星期一,網(wǎng)絡(luò)層DDoS攻擊的數(shù)量幾乎翻了一番。12月期間,2021年即將結(jié)束的最后幾天內(nèi),觀察到的攻擊數(shù)量也有所增加。事實上,僅12月的攻擊總數(shù)就超過了2021年第二季度,并幾乎追平2021年第一季度。

image5.png

網(wǎng)絡(luò)層DDoS攻擊:攻擊速率分布

雖然大多數(shù)攻擊的規(guī)模依然相對“較小”,但TB級攻擊正在成為常態(tài)。

衡量L3/4 DDoS攻擊的規(guī)模有不同的方法。一種方法是測量它產(chǎn)生的流量大小,以比特率為單位(例如,Tbps或Gbps)。另一種是測量它產(chǎn)生的數(shù)據(jù)包數(shù),以數(shù)據(jù)包速率為單位(例如,Mpps:百萬數(shù)據(jù)包/每秒)。

高比特率的攻擊試圖使互聯(lián)網(wǎng)鏈路飽和來導(dǎo)致拒絕服務(wù),而高數(shù)據(jù)包速率的攻擊嘗試使服務(wù)器、路由器或其他聯(lián)網(wǎng)硬件設(shè)備不堪重負。這些設(shè)備分配一定的內(nèi)存和計算能力來處理每個數(shù)據(jù)包。因此,通過向設(shè)備發(fā)送大量數(shù)據(jù)包,該設(shè)備的處理資源就可能被耗盡。在這種情況下,數(shù)據(jù)包就會“被丟棄”,即設(shè)備無法再處理數(shù)據(jù)包。對用戶而言,這會導(dǎo)致服務(wù)中斷和拒絕服務(wù)。

下圖為攻擊的規(guī)模(比特率)和月份分布情況。如上圖所示,大多數(shù)攻擊發(fā)生在12月。然而,下圖顯示,較大型的攻擊(超過300 Gbps)發(fā)生在11月。大多介于5-20 Gbps的攻擊發(fā)生在12月。

image5.png

數(shù)據(jù)包速率分布

Cloudflare觀察到一個值得注意的關(guān)聯(lián):在攻擊數(shù)量增加時,攻擊的規(guī)模和持續(xù)時間會下降。在2021年的前三分之二時間內(nèi),攻擊數(shù)量相對較小,其速率則有所增加,例如,在2021年第三季度,速率介于100-1000萬pps的攻擊增長了196%。在2021年第四季度,攻擊數(shù)量有所增加,同時Cloudflare觀察到的攻擊規(guī)模出現(xiàn)下降。91%的攻擊峰值在5萬pps以下,這個速率已經(jīng)足以弄垮未受保護的互聯(lián)網(wǎng)資產(chǎn)。

image4.png

速率超過100萬pps的較大型攻擊環(huán)比減少48%至28%,而峰值速率低于5萬pps的攻擊環(huán)比減少了2.36%。

image19.png

比特率分布

與數(shù)據(jù)包密集型攻擊的趨勢相似,比特率密集型攻擊的數(shù)量也有所減少。雖然超過1 Tbps的攻擊正在成為常態(tài)——我們觀察到有史以來最大的一個攻擊接近2 Tbps,但大多數(shù)攻擊的規(guī)模依然較小,峰值不到500 Mbps(97.2%)。

image17.png

在2021年第四季度,500 Mbps以上所有范圍的較大規(guī)模攻擊均顯著減少,幅度介于35%至57%,其中100 Gbps以上的攻擊減少了57%。

image1.png

網(wǎng)絡(luò)層DDoS攻擊:持續(xù)時間分布

大多數(shù)攻擊的持續(xù)時間都在1小時以內(nèi),再次表明有必要采取始終啟用的自動DDoS緩解解決方案。

我們測量攻擊持續(xù)時間的方式是:記錄系統(tǒng)首次檢測到攻擊與具備該攻擊特征的最后一個數(shù)據(jù)包之間的時間差。在2021年第四季度,98%的網(wǎng)絡(luò)層攻擊持續(xù)時間不到1小時。這種情況非常常見,因為大多數(shù)攻擊持續(xù)時間都很短。我們還觀察到一個趨勢:在攻擊數(shù)量增加時(如這個季度),其速率和持續(xù)時間會有所下降。

image2.png

短時間的攻擊很可能不被察覺,特別是爆發(fā)攻擊,此類攻擊會在幾秒鐘內(nèi)用大量的包、字節(jié)或請求轟擊目標(biāo)。在這種情況下,依賴于安全分析來手動緩解的DDoS保護服務(wù)沒有機會及時緩解攻擊。此類服務(wù)只能從攻擊后分析中吸取教訓(xùn),然后部署過濾該攻擊指紋的新規(guī)則,期望下次能捕捉到它。同樣,使用“按需”服務(wù)(即安全團隊在遭到攻擊時將流量重定向至DDoS保護提供商)也無濟于事,因為在流量到達按需DDoS保護提供商前,攻擊就已經(jīng)結(jié)束了。

建議企業(yè)使用始終啟用的自動化DDoS防護服務(wù),此類服務(wù)能分析流量并應(yīng)用實時指紋識別,從而及時攔截短暫的攻擊。

攻擊手段

SYN洪水依然是最常見的攻擊方式,而基于SNMP的攻擊環(huán)比激增了接近5800%。

攻擊手段是指攻擊者用于發(fā)動DDoS攻擊的方法,即IP協(xié)議、數(shù)據(jù)包屬性(如TCP標(biāo)志)、洪水方法和其他條件。

SYN洪水攻擊所占的百分比在2021年內(nèi)首次大幅減少。2021年,SYN洪水平均占網(wǎng)絡(luò)層攻擊總數(shù)的54%。雖然仍是最常見的手段,但所占比例已經(jīng)較前一個季度減少了38%,至34%。

然而,SYN攻擊和UDP攻擊已經(jīng)不相上下。UDP洪水是一種拒絕服務(wù)攻擊,攻擊者將大量用戶報文協(xié)議(UDP)數(shù)據(jù)包發(fā)送到目標(biāo)服務(wù)器,旨在癱瘓該設(shè)備的處理和響應(yīng)能力。保護目標(biāo)服務(wù)器的防火墻往往也可能因UDP洪水攻擊而不堪重負,導(dǎo)致對合法流量的拒絕服務(wù)。基于UDP的攻擊已從2021年第三季度的第四位上升至2021年第四季度的第二位,占網(wǎng)絡(luò)層攻擊的32%,季度環(huán)比增長了1198%。

居第三位的是SNMP攻擊。自2021年首次躋身主要攻擊手段行列以來,SNMP攻擊的占比已大幅提高。

image7.png

新興威脅

對新興攻擊手段的分析可見,SNMP、MSSQL和基于UDP的通用攻擊均出現(xiàn)大幅增長。

SNMP和MSSQL攻擊都是通過在觸發(fā)攻擊的報文中將目標(biāo)IP地址假冒為源IP來反射和放大目標(biāo)的流量。

簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是一種基于UDP的協(xié)議,通常用于發(fā)現(xiàn)和管理家庭或企業(yè)網(wǎng)絡(luò)中位于UDP 161端口上的網(wǎng)絡(luò)設(shè)備,例如打印機、交換機、路由器和防火墻。在SNMP反射攻擊中,攻擊者發(fā)出大量SNMP查詢,將數(shù)據(jù)包中的源IP地址偽裝成目標(biāo)的IP地址,使收到查詢的網(wǎng)絡(luò)設(shè)備將把響應(yīng)發(fā)送到目標(biāo)IP地址。這些網(wǎng)絡(luò)設(shè)備發(fā)送的大量響應(yīng)導(dǎo)致目標(biāo)網(wǎng)絡(luò)拒絕服務(wù)。

類似于SNMP放大攻擊,Microsoft SQL(MSSQL)攻擊基于一種濫用Microsoft SQL服務(wù)器解析協(xié)議來發(fā)動反射式DDoS攻擊的技術(shù)。攻擊發(fā)生于Microsoft SQL服務(wù)器對客戶端查詢或請求做出響應(yīng)時,嘗試利用偵聽UDP 1434端口的Microsoft SQL服務(wù)器解析協(xié)議(MC-SQLR)。

image7.png

網(wǎng)絡(luò)層DDoS攻擊:國家/地區(qū)分布

源于摩爾多瓦的攻擊較前一個季度翻了兩番,使其成為網(wǎng)絡(luò)層DDoS攻擊活動占比最高的國家。

在分析網(wǎng)絡(luò)層DDoS攻擊時,我們統(tǒng)計流量的依據(jù)是接收流量的Cloudflare邊緣數(shù)據(jù)中心位置,而不是源IP地址。這樣做的原因在于,攻擊者在發(fā)起網(wǎng)絡(luò)層攻擊時,可以通過偽造源IP地址來混淆攻擊來源并在攻擊屬性中引入隨機性,這可能會使簡單的DDoS防護系統(tǒng)更難攔截攻擊。因此,如果我們根據(jù)偽造的源IP推導(dǎo)出源國家/地區(qū),我們將得到一個偽造的國家/地區(qū)。

Cloudflare能夠通過根據(jù)Cloudflare觀察到攻擊的數(shù)據(jù)中心位置顯示攻擊數(shù)據(jù)來克服偽造IP的挑戰(zhàn)。我們在全球250多個城市擁有數(shù)據(jù)中心,因而能夠在報告中體現(xiàn)準確的地理位置。

image6.png

image16.png

摘要

Cloudflare的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng),使互聯(lián)網(wǎng)對所有人都更安全、更快速、更可靠——即使面對DDoS攻擊也如此。作為這個使命的一部分,我們自2017年以來一直向我們所有客戶提供免費的不計量、無限D(zhuǎn)DoS防護。多年來,攻擊者發(fā)動DDoS攻擊的難度變得越來越低。為了對抗攻擊者的優(yōu)勢,我們想確保所有規(guī)模的組織也能輕松、免費地防護各種類型的DDoS攻擊。

立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于cloudflare,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
優(yōu)質(zhì)服務(wù)商推薦
更多