2023年第一季度DDoS威脅報告（上）

歡迎閱讀2023年第一份DDoS威脅報告。DDoS攻擊，即分布式拒絕服務攻擊,是一種網絡攻擊類型，旨在通過發(fā)送超過網站處理能力的流量，使其不堪重負，從而破壞其服務并使合法用戶無法訪問。本報告中將涵蓋在我們的全球網絡上觀察到的DDoS攻擊相關最新洞察和趨勢。

2023年初的一系列重大攻擊

2023年伊始，威脅行為者就發(fā)動了一系列重大攻擊。年初出現了一系列針對西方目標（包括銀行、機場、醫(yī)療和大學）的黑客活動，主要由通過Telegram組織的Killnet以及最近的AnonymousSudan發(fā)動。

盡管Killnet和AnonymousSudan領導的網絡攻擊引起了人們的關注，但我們并沒有看到這些組織發(fā)起新型或異常大規(guī)模的攻擊。

超大容量攻擊

然而，我們確實看到其他威脅行為者發(fā)起的超大容量DDoS攻擊有所增加，其中最大的一次攻擊峰值每秒7100萬個請求（rps）—比之前谷歌4600萬rps的世界紀錄高出55%。

回到Killnet和AnonymousSudan，盡管沒有報道任何值得注意的攻擊，但我們不應低估潛在的風險。缺乏保護的互聯網資產曾經并仍有可能遭到Killnet或AnonymousSudan領導的網絡活動攻擊并癱瘓。組織應采取積極的防御措施以降低風險。

依托于Cloudflare的保護，South American Telco遭受TB級攻擊后仍能正常運營

第一季度期間，我們觀察到另一次達到1.3 Tbps（太比特/秒）的大型DDoS攻擊，目標是一家南美洲的電信服務提供商。攻擊僅持續(xù)了一分鐘。該攻擊使用了多種手段，包括DNS和UDP攻擊流量。該攻擊是一個更廣泛的網絡攻擊活動的一部分，其中包括多次TB級攻擊，源于一個擁有2萬多個Mirai變種節(jié)點的僵尸網絡。大多數攻擊流量來自美國、巴西、日本、香港和印度。Cloudflare系統(tǒng)自動檢測并緩解了這次攻擊，客戶的網絡沒有受到任何影響。

Cloudflare自動緩解了一次1.3 Tbps的Mirai DDoS攻擊

高性能的僵尸網絡

超大容量攻擊利用新一代的僵尸網絡，這些網絡由虛擬專用服務器（VPS）組成，而不是物聯網（IoT）設備。

過去，大型僵尸網絡依賴于易受利用的物聯網設備（如智能安全攝像頭）來組織其攻擊。盡管每個物聯網設備的吞吐量有限，但聯合起來，通常達到數十萬或數百萬臺，則足以產生足夠的流量來破壞其攻擊目標。

新一代僵尸網絡只需要少量的設備，但每個設備的性能都要高得多。云計算服務提供商提供虛擬專用服務器，使初創(chuàng)公司和企業(yè)能夠創(chuàng)建高性能的應用程序。缺點是它也允許攻擊者創(chuàng)建高性能的僵尸網絡，性能高出5000倍之多。攻擊者通過攻擊未打補丁的服務器和使用泄露的API憑據入侵管理控制臺，從而獲取虛擬專用服務器的訪問權限。

Cloudflare一直在與主流云計算服務提供商合作，打擊這種基于VPS的僵尸網絡。通過云計算服務提供商的快速響應和不懈努力，此類僵尸網絡的大部分已被禁用。自那時以來，我們還沒有看到更多超大容量攻擊，證明了以上合作卓有成效。

我們與網絡安全社區(qū)有著良好的合作，一旦我們檢測到此類大規(guī)模攻擊，就會采取行動來摧毀僵尸網絡，但我們希望讓這個過程變得更簡單、更自動化。

我們邀請云計算服務提供商、托管服務提供商和其他服務提供商注冊Cloudflare的免費Botnet Threat Feed以獲得對從其網絡內發(fā)起的攻擊的可見性，并幫助我們摧毀僵尸網絡。

本季度報告的關鍵洞察

1.在第一季度，16%的受訪客戶報告遭受了勒索DDoS攻擊，相比上一季度保持穩(wěn)定，但同比增長了60%。

2.非營利組織和廣播媒體是遭到最多攻擊的兩個行業(yè)。按攻擊流量百分比計算，芬蘭是最大的HTTP DDoS攻擊來源地，也是網絡層DDoS攻擊的主要目標。以色列是全球范圍內遭受最多HTTP DDoS攻擊的國家。

3.大規(guī)模容量耗盡型DDoS攻擊（超過100 Gbps的攻擊）較上季度增長了6%?；贒NS的攻擊成為最流行的攻擊手段。類似地，我們觀察到SPSS攻擊、DNS放大攻擊和基于GRE的DDoS攻擊數量激增。

查看Cloudflare Radar上的交互式報告。

DDoS勒索攻擊

DDoS攻擊通常是為了勒索贖金而發(fā)動的。我們繼續(xù)對Cloudflare客戶進行調查，并跟蹤DDoS事件中目標收到勒索信的比例。自2022年以來，這個數字持續(xù)上升，目前為16%，與2022年第四季度時相同。

每個季度報告勒索DDoS攻擊或威脅的用戶百分比如上圖所示

勒索軟件攻擊通常欺騙受害者下載文件或點擊電子郵件鏈接來加密和鎖定其計算機文件，與此不同，勒索DDoS攻擊執(zhí)行起來要容易得多。勒索DDoS攻擊不需要欺騙受害者打開電子郵件或點擊鏈接，也不需要入侵網絡或進入企業(yè)的資產。

在勒索DDoS攻擊中，攻擊者不需要獲得受害者計算機的訪問權限，只需要向其發(fā)送足夠大量的流量，以使其網站、DNS服務器和任何其他接入互聯網的資產無法使用或性能低下。攻擊者將要求被攻擊者支付贖金，通常以比特幣的形式，以停止和/或避免進一步的攻擊。

根據我們的用戶報告，2023年1月和2023年3月是勒索勒索DDoS活動達到第二高峰值的月份。到目前為止，最高的月份仍然是2022年11月，期間適逢黑色星期五、感恩節(jié)和中國的雙11，對威脅行為者而言這是一個有利可圖的月份。

每月報告勒索DDoS攻擊或威脅的用戶百分比

受到攻擊的目標區(qū)域及所屬行業(yè)

·受攻擊最多的國家/地區(qū)

可能與最近的司法改革和反對抗議活動或西岸當前緊張局勢有關，在第一季度，以色列躍升為遭受最多HTTP DDoS攻擊流量的國家，甚至超過了美國。這是一個驚人的數字：Cloudflare在第一季度處理的所有HTTP流量中，接近1%的流量是針對以色列網站的HTTP DDoS攻擊。緊隨以色列之后的是美國、加拿大和土耳其。

HTTP DDoS攻擊的主要目標國家/地區(qū)

（攻擊流量占全球總流量的百分比）

就攻擊流量占特定國家/地區(qū)所有流量的百分比而言，斯洛文尼亞和格魯吉亞排名最前。到斯洛文尼亞和格魯吉亞網站的所有流量中，大約20%是HTTP DDoS攻擊。接下來是加勒比海小國圣基茨和尼維斯，以及土耳其。雖然以色列在前一張圖中排名第一，但在這里，以色列成為受攻擊最多的第九個國家，排名高于俄羅斯。與以往季度相比依然很高。

HTTP DDoS攻擊的主要目標國家/地區(qū)

（攻擊流量占該國總流量的百分比）

從網絡層DDoS攻擊的總流量來看，中國依然位居第一。接近18%的網絡層DDoS攻擊流量來自中國。緊隨其后的是新加坡，占17%，排名第二。美國排名第三，其次是芬蘭。

網絡層DDoS攻擊的主要目標國家/地區(qū)

（攻擊流量占全球DDoS總流量的百分比）

如果按某個國家/地區(qū)遭受的攻擊流量占該國所有流量的百分比計算，則芬蘭躍升到第一位，可能因為其最近正式成為北約成員國。芬蘭的所有流量中，近83%是網絡層攻擊流量。緊隨其后的是中國，占68%，新加坡再次位居第三，占49%。

網絡層DDoS攻擊的主要目標國家/地區(qū)

（攻擊流量占該國總流量的百分比）