2023年第二季度DDoS威脅報告

歡迎閱讀2023年的第二份DDoS威脅報告。DDoS攻擊，即分布式拒絕服務(wù)攻擊，是一種網(wǎng)絡(luò)攻擊，旨在通過發(fā)送超過目標網(wǎng)站或其他網(wǎng)絡(luò)資源處理能力的流量，使其無法對合法用戶提供服務(wù)，類似于一位駕車人士在前往雜貨店的路上遇到堵車的情況。

我們看到大量各種類型和大小的DDoS攻擊，而且我們的網(wǎng)絡(luò)是世界上最大的網(wǎng)絡(luò)之一，覆蓋100多個國家/地區(qū)的300多個城市。通過這個網(wǎng)絡(luò)，我們在高峰期每秒處理超過6300萬個HTTP請求，每天處理超過20億次DNS查詢。龐大的數(shù)據(jù)量為我們提供了一個獨特的視角，能夠為大家提供具有洞察力的DDoS趨勢分析。

對于我們的常規(guī)讀者，您可能會注意到本次報告的布局相對以往發(fā)生了一些變化。我們過去遵循一個固定的模式來分享有關(guān)DDoS攻擊的洞察和趨勢。但隨著DDoS攻擊變得日益強大和復(fù)雜，DDoS威脅的形勢也在不斷變化，我們覺得是時候改變我們呈現(xiàn)研究結(jié)果的方式了。因此，我們首先簡要介紹全球概況，然后深入探討我們在DDoS攻擊領(lǐng)域看到的主要變化。

溫馨提示：我們還將通過Cloudflare Radar提供本報告的交互式版本。此外，我們還增加了一個新的交互式組件，以便您更深入了解每個國家或地區(qū)的攻擊活動。

全新交互式Radar圖揭示局部DDoS活動

DDoS攻擊形勢：全球趨勢概述

2023年第二季度的主要攻擊趨勢體現(xiàn)在多個方面發(fā)動的精心策劃、量身定制和持續(xù)不斷的DDoS攻擊浪潮，包括：

黑客組織REvil、Killnet和Anonymous Sudan聯(lián)合起來對西方利益網(wǎng)站進行了多次DDoS攻擊。

精心設(shè)計和極具針對性的DNS攻擊有所增加，同時利用Mitel漏洞（CVE-2022-26143）的DDoS攻擊激增了532%。（Cloudflare曾在去年協(xié)助披露過這一零日漏洞）。

針對加密貨幣公司的攻擊增加了600%，而HTTP DDoS攻擊增加了15%。其中，我們注意到攻擊的復(fù)雜度達到了驚人的升級程度，下文將詳細介紹。

此外，本季度看到最大的攻擊之一是一場ACK洪水DDoS攻擊，源于一個包含大約1.1萬個IP地址的Mirai變種僵尸網(wǎng)絡(luò)。攻擊的目標是一家美國互聯(lián)網(wǎng)服務(wù)提供商，峰值達到1.4太比特/秒（Tbps），被Cloudflare的系統(tǒng)自動檢測和緩解了。

盡管總體數(shù)據(jù)顯示攻擊持續(xù)時間增加，但大多數(shù)攻擊都是短暫的，這場攻擊也是如此——只持續(xù)了兩分鐘。然而，更廣泛而言，我們發(fā)現(xiàn)持續(xù)時間超過3小時的攻擊較前一個季度增加了103%。

在此基礎(chǔ)上，讓我們深入探討下在DDoS攻擊形勢中看到的一些變化。

Mirai僵尸網(wǎng)絡(luò)攻擊一家美國服務(wù)提供商，峰值達到1.4 Tbps

被稱為Darknet Parliament的黑客聯(lián)盟瞄準西方銀行和SWIFT網(wǎng)絡(luò)

6月14日，黑客組織Killnet、以及再次活躍的REvil和Anonymous Sudan宣布聯(lián)合起來對西方金融系統(tǒng)進行“大規(guī)?！钡木W(wǎng)絡(luò)攻擊，目標包括歐美銀行和美國聯(lián)邦儲備系統(tǒng)。這個被稱為Darknet Parliament（暗網(wǎng)議會）的聯(lián)盟宣布，其首個目標是癱瘓SWIFT（環(huán)球銀行金融電信協(xié)會）。由于SWIFT是金融機構(gòu)進行全球金融交易的主要服務(wù)，因此對SWIFT成功發(fā)動DDoS攻擊可能會產(chǎn)生可怕的后果。

除了一些廣為人知的事件，例如媒體報道的Microsoft服務(wù)中斷，我們沒有觀察到任何針對我們客戶的新型DDoS攻擊或中斷。我們的系統(tǒng)一直在自動檢測和緩解與這類活動相關(guān)的攻擊。在過去幾周內(nèi)，“暗網(wǎng)議會”共對受Cloudflare保護的網(wǎng)站發(fā)起了多達1萬次此類DDoS攻擊（見下圖）。

REvil、Killnet和Anonymous Sudan發(fā)動的攻擊

盡管黑客分子發(fā)表了聲明，但從我們監(jiān)測到的所有攻擊活動的趨勢范圍及行業(yè)分布來看，銀行和金融服務(wù)網(wǎng)站在受到攻擊最多的行業(yè)當(dāng)中僅處于第九位。

REvil、Killnet和Anonymous Sudan攻擊活動的主要目標行業(yè)

遭到最多攻擊的行業(yè)為計算機軟件、泛娛樂和游戲。電信和媒體機構(gòu)分別排名第四和第五?？傮w而言，我們在這場攻擊活動中觀察到的峰值達到了每秒170萬個請求（rps），平均為6.5萬rps。

作為對比，今年早些時候我們緩解了有記錄以來最大的攻擊，峰值達到了7100萬rps。因此，與Cloudflare的體量相比，這些攻擊非常小，但對于普通網(wǎng)站來說就不一定了。因此，我們不應(yīng)低估未受保護或配置優(yōu)化欠佳的網(wǎng)站所面臨的潛在威脅。

復(fù)雜的HTTP DDoS攻擊

HTTP DDoS攻擊是通過超文本傳輸協(xié)議（HTTP）發(fā)動的DDoS攻擊。其目標是HTTP互聯(lián)網(wǎng)資產(chǎn)，例如網(wǎng)站和API網(wǎng)關(guān)。在過去的一個季度中，HTTP DDoS攻擊同比下降35%，但環(huán)比增長15%。

HTTP DDoS攻擊示意圖

此外，我們在過去幾個月中觀察到，高度隨機和復(fù)雜的HTTP DDoS攻擊出現(xiàn)令人警覺的增長?？雌饋恚@些攻擊背后的威脅行為者精心設(shè)計了攻擊，以嘗試通過非常準確地模仿瀏覽器行為來突破緩解系統(tǒng)，在某些情況下，通過對不同的屬性引入高度隨機性，例如用戶代理和JA3指紋。下面是這種攻擊的一個示例，其中用不同的顏色表示不同的隨機化特征。

高度隨機化HTTP DDoS攻擊示例

此外，在許多此類攻擊中，威脅行為者似乎試圖保持較低的每秒攻擊速率，旨在避免檢測并隱藏在合法流量中。

這種復(fù)雜程度過去與國家級和國家支持的威脅行為者相關(guān)聯(lián)，如今這些能力似乎已經(jīng)落入了網(wǎng)絡(luò)犯罪分子的手中。他們已經(jīng)對一些知名企業(yè)發(fā)動了攻擊，例如大型VoIP提供商、領(lǐng)先半導(dǎo)體公司和一家主流支付和信用卡服務(wù)提供商等。

要保護網(wǎng)站免受復(fù)雜的HTTP DDoS攻擊，需要一種自動、快速的智能防護，其利用威脅情報、流量分析和機器學(xué)習(xí)/統(tǒng)計分析來區(qū)分攻擊流量和用戶流量。此外，即使在適用的情況下增加緩存也有助于降低攻擊流量影響源站的風(fēng)險。如需進一步了解DDoS保護最佳實踐，請點擊此處。

針對DNS的DDoS攻擊

域名系統(tǒng)（DNS）是互聯(lián)網(wǎng)的電話簿。DNS幫助將對用戶友好的網(wǎng)站地址（例如www.cloudflare.com）轉(zhuǎn)換為機器友好的IP地址（例如104.16.124.96）。通過破壞DNS服務(wù)器，攻擊者可影響機器與網(wǎng)站連接的能力，從而導(dǎo)致網(wǎng)站對用戶不可用。

在過去的一個季度中，最常見的攻擊手段是基于DNS的DDoS攻擊—32%的DDoS攻擊利用了DNS協(xié)議。其中，我們看到一種更令人擔(dān)憂的攻擊類型——DNS Laundering攻擊有所增加，這種攻擊可能對運行自有權(quán)威DNS服務(wù)器的組織構(gòu)成嚴重挑戰(zhàn)。

2023年第二季度的主要DDoS攻擊手段

DNS Laundering攻擊名稱中的“Laundering”類比使非法收益顯得合法的曲折過程。類似地，在DDoS領(lǐng)域，DNS Laundering攻擊是通過信譽良好的遞歸DNS解析器將不良的惡意流量偽裝成良好的合法流量的過程。

在DNS Laundering攻擊中，威脅參與者將查詢由受害者DNS服務(wù)器管理的域的子域。定義子域的前綴是隨機的，在這種攻擊中使用的次數(shù)絕不會超過一次或兩次。由于這種隨機性，遞歸DNS服務(wù)器將永遠不會有緩存的響應(yīng)，需要將查詢轉(zhuǎn)發(fā)到受害者的權(quán)威DNS服務(wù)器。然后，權(quán)威DNS服務(wù)器受到大量查詢的轟炸，直到無法提供合法查詢，甚至完全崩潰。

DNS Laundering DDoS攻擊示意圖

從保護的角度來看，DNS管理員無法阻止攻擊來源，因為其中包括聲譽良好的遞歸DNS服務(wù)器，例如Google的8.8.8.8和Cloudflare的1.1.1.1。管理員也不能阻止對受攻擊域名的所有查詢，因為這是一個合法的域名，他們希望保留對合法查詢的訪問。

以上因素使得區(qū)分合法查詢和惡意查詢變得非常具有挑戰(zhàn)性。最近遭受這種攻擊的受害者中包括一家亞洲大型金融機構(gòu)和一家北美DNS提供商。如下為此類攻擊的一個示例。

DNS Laundering DDoS攻擊示例

類似于針對HTTP應(yīng)用程序的保護策略，DNS服務(wù)器也需要精確、快速和自動化的方法。利用托管DNS服務(wù)或DNS反向代理（例如Cloudflare提供的服務(wù)）可以幫助吸收和減輕攻擊流量。對于那些更為復(fù)雜的DNS攻擊，需要一種更智能的解決方案，以利用對歷史數(shù)據(jù)的統(tǒng)計分析來區(qū)分合法查詢和攻擊查詢。

虛擬機僵尸網(wǎng)絡(luò)的崛起

如此前披露，我們正在見證僵尸網(wǎng)絡(luò)DNA的進化?；谔摂M機的DDoS僵尸網(wǎng)絡(luò)時代已經(jīng)到來，隨之而來的是超大容量的DDoS攻擊。這些僵尸網(wǎng)絡(luò)由虛擬機（VM）或虛擬專用服務(wù)器（VPS）組成，而不是物聯(lián)網(wǎng)（IoT）設(shè)備，使其攻擊能力強大得多，高達5000倍。

IoT僵尸網(wǎng)絡(luò)與VM僵尸網(wǎng)絡(luò)對比示意圖

由于這些基于虛擬機的僵尸網(wǎng)絡(luò)擁有的計算和帶寬資源，它們能夠以比基于物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)更小的規(guī)模生成超大流量攻擊。

這些僵尸網(wǎng)絡(luò)已經(jīng)執(zhí)行了一些最大規(guī)模的DDoS攻擊，包括上述7100 rps的DDoS attack。包括一家業(yè)界領(lǐng)先游戲平臺提供商在內(nèi)的多個組織已經(jīng)成為這種新一代僵尸網(wǎng)絡(luò)的攻擊目標。

Cloudflare已經(jīng)與知名的云計算提供商積極合作，共同打擊這些新型僵尸網(wǎng)絡(luò)。通過這些提供商的快速且專注的行動，這些僵尸網(wǎng)絡(luò)的重要組成部分已經(jīng)被消滅。自從這一干預(yù)以來，我們還沒有觀察到任何進一步超大容量攻擊，證明了我們合作的成效。

雖然我們已經(jīng)與網(wǎng)絡(luò)安全社區(qū)建立了富有成效的聯(lián)盟，以應(yīng)對我們發(fā)現(xiàn)的大規(guī)模攻擊，但我們的目標是進一步簡化和自動化這個過程。我們邀請云計算提供商、托管提供商和其他常規(guī)服務(wù)提供商加入Cloudflare的免費Botnet Threat Feed。這將提供對源自其網(wǎng)絡(luò)的攻擊的可見性，為我們摧毀僵尸網(wǎng)絡(luò)的共同努力做出貢獻。

“Startblast”：利用Mitel漏洞進行DDoS攻擊

2022年3月，我們披露了一種名為“TP240PhoneHome”的零日漏洞（CVE-2022-26143）。這個漏洞是在Mitel MiCollab商業(yè)電話系統(tǒng)中發(fā)現(xiàn)的，它使系統(tǒng)暴露于UDP放大DDoS攻擊。

這種攻擊利用易受攻擊的服務(wù)器反射流量，在這個過程中放大流量，放大倍數(shù)高達2200億倍。這種漏洞源于一個暴露到公共互聯(lián)網(wǎng)、未經(jīng)身份驗證的UDP端口，其允許惡意行為者發(fā)出“startblast”調(diào)試命令，模擬一系列測試系統(tǒng)的調(diào)用。

因此，對于每個測試調(diào)用，會發(fā)送兩個UDP數(shù)據(jù)包到發(fā)起者，這使得攻擊者能夠?qū)⒋肆髁慷ㄏ虻饺魏蜪P和端口號，從而放大DDoS攻擊。盡管存在此漏洞，但這些設(shè)備中只有數(shù)千臺是暴露的，限制了攻擊的潛在規(guī)模，而且攻擊必須連續(xù)運行，這意味著每個設(shè)備一次只能發(fā)起一次攻擊。

Startblast DDoS攻擊的主要目標行業(yè)

總體而言，在過去的一個季度中，我們看到了更多新興威脅，比如濫用TeamSpeak3協(xié)議的DDoS攻擊。這種攻擊手段在本季度增長了403%。

TeamSpeak，是一種在UDP上運行的專有互聯(lián)網(wǎng)語音協(xié)議（VoIP），以幫助玩家與其他玩家進行實時語音交流。相比只是文字聊天，語音交流可以顯著提高游戲團隊的效率，并幫助他們獲勝。競爭對手可能發(fā)起針對TeamSpeak服務(wù)器的DDoS攻擊，試圖在實時多人游戲期間破壞他們的通信路徑，從而影響其團隊表現(xiàn)。

DDoS熱點：攻擊來源

總體而言，HTTP DDoS攻擊同比下降了35%，但環(huán)比增長了15%。此外，本季度網(wǎng)絡(luò)層DDoS攻擊減少了大約14%。

HTTP DDoS攻擊請求（分季度統(tǒng)計）

就攻擊總流量而言，美國是HTTP DDoS攻擊的最大來源地。我們觀察到的每1000個請求中，就有3個是源自美國的HTTP DDoS攻擊的一部分。中國位居第二，德國位居第三。

HTTP DDoS攻擊的主要來源國家（占全球攻擊總流量的百分比）

一些國家由于市場規(guī)模等各種因素而自然地接收更多流量，因此遭受了更多攻擊。因此，雖然了解源自特定國家/地區(qū)的攻擊總流量有意義，但通過計算攻擊流量占特定國家總流量的百分比來消除偏差也是有幫助的。

通過這樣做，我們看到了一種不同的模式。美國甚至沒有進入前十名。相反，按照相對其所有流量的百分比來計算，莫桑比克、埃及和芬蘭成為HTTP DDoS攻擊流量最多的來源國家/地區(qū)。來自莫桑比克IP地址的所有HTTP流量中，近五分之一是DDoS攻擊的一部分。

HTTP DDoS攻擊的主要來源國家/地區(qū)（攻擊流量占該國總流量的百分比）

如果使用相同的計算方法，但換成字節(jié)數(shù)，則越南連續(xù)第二個季度成為網(wǎng)絡(luò)層DDoS攻擊（也稱為L3/4 DDoS攻擊）的最大來源—數(shù)量甚至環(huán)比增長了58%。Cloudflare越南數(shù)據(jù)中心吸收的所有字節(jié)中，超過41%是L3/4 DDoS攻擊的一部分。

L3/4 DDoS攻擊的主要來源國家/地區(qū)（攻擊流量占該國總流量的百分比）

受到攻擊的行業(yè)：研究DDoS攻擊的目標

從第二季度的HTTP DDoS攻擊活動來看，加密貨幣網(wǎng)站成為HTTP DDoS攻擊的最大目標。對于在Cloudflare背后的加密網(wǎng)站，每1萬個HTTP請求中就有6個是這些攻擊的一部分。這比上一季度增長了600%。

游戲和泛娛樂網(wǎng)站位居第二，攻擊流量占比較上一個季度增長了19%。市場營銷和廣告網(wǎng)站緊隨其后，排名第三，攻擊流量占比變化甚微。

HTTP DDoS攻擊的主要目標行業(yè)（攻擊流量占所有行業(yè)總流量的百分比）

然而，從針對特定行業(yè)的攻擊流量占總流量的百分比來看，情況有所不同。上個季度中，非營利組織受到最多攻擊——到非營利組織的流量中，12%為HTTP DDoS攻擊。作為Project Galileo（今年已進入第九個年頭）的一部分，Cloudflare保護著來自111個國家/地區(qū)的2271個非盈利組織。在過去的幾個月中，平均每天有6770萬次網(wǎng)絡(luò)攻擊是針對非營利組織的。

總體而言，針對非營利組織的DDoS攻擊數(shù)量增加了46%，使攻擊流量的百分比達到17.6%。盡管如此，管理咨詢行業(yè)仍然躍升到第一位，其流量中的18.4%為DDoS攻擊。

HTTP DDoS攻擊的主要目標行業(yè)（攻擊流量占該行業(yè)總流量的百分比）

在OSI模型的更低層，受到最多攻擊的互聯(lián)網(wǎng)網(wǎng)絡(luò)屬于信息技術(shù)和服務(wù)行業(yè)。發(fā)送到該行業(yè)的流量中，幾乎每三個字節(jié)就有一個是L3/4 DDoS攻擊的一部分。

令人驚訝的是，音樂行業(yè)的公司成為了受到第二多攻擊的行業(yè)，其后是廣播媒體和航空航天業(yè)。

L3/4 DDoS攻擊的主要目標行業(yè)（攻擊流量占該行業(yè)總流量的百分比）

受到最多攻擊的行業(yè)：分區(qū)域統(tǒng)計

加密貨幣網(wǎng)站在全球范圍內(nèi)遭受了最多的攻擊次數(shù)，而就總流量而言，管理咨詢和非營利行業(yè)受到最多攻擊。然而，從每個區(qū)域來看，情況略有不同。

各區(qū)域受到最多HTTP DDoS攻擊的行業(yè)

非洲

電信行業(yè)連續(xù)第二個季度成為非洲遭受攻擊最多的行業(yè)。其次是銀行、金融服務(wù)和保險（BFSI）行業(yè)。攻擊流量主要來自亞洲（35%）和歐洲（25%）。

亞洲

在過去的兩個季度中，游戲和泛娛樂是亞洲受攻擊最多的行業(yè)。然而，在第二季度，游戲和泛娛樂降至第二位，而加密貨幣行業(yè)成為遭受攻擊最多的行業(yè)（約占50%）。攻擊流量的相當(dāng)大部分來自亞洲本身（30%）和北美（30%）。

歐洲

游戲和泛娛樂連續(xù)第三個季度成為歐洲受攻擊最多的行業(yè)。酒店業(yè)和廣播媒體行業(yè)緊隨其后，分別是歐洲第二大和第三大受攻擊最多的行業(yè)。大部分攻擊流量來自歐洲本身（40%）和亞洲（20%）。

拉丁美洲

令人驚訝的是，針對拉丁美洲的所有攻擊流量中，有一半瞄準了體育用品行業(yè)。在前一個季度，BFSI是遭受攻擊最多的行業(yè)。大約35%的攻擊流量來自亞洲，另外25%來自歐洲。

中東

在中東，媒體和報紙行業(yè)是受攻擊最多的行業(yè)。絕大多數(shù)攻擊流量來自歐洲（74%）。

北美

連續(xù)第二個季度，市場營銷和廣告公司成為北美受攻擊最多的行業(yè)（約35%）。制造業(yè)和計算機軟件公司分別位居第二和第三。攻擊流量的主要來源是歐洲（42%）和美國本身（35%）。

大洋洲

本季度，生物技術(shù)行業(yè)受到最多攻擊。而在前一個季度，受攻擊最多的行業(yè)是醫(yī)療和健康。攻擊流量主要來自亞洲（38%）和歐洲（25%）。

受到攻擊的國家和地區(qū)：研究DDoS攻擊的目標

從攻擊總流量來看，以色列在上個季度躍升為遭受攻擊最多的國家。本季度，針對以色列網(wǎng)站的攻擊減少了33%，使其排名下降到第四位。美國成為受攻擊最多的國家，其次是加拿大和新加坡。

HTTP DDoS攻擊的主要目標國家和地區(qū)（攻擊流量占所有國家和地區(qū)總流量的百分比）

如果我們標準化每個國家和地區(qū)的數(shù)據(jù)，將攻擊流量除以總流量，我們得到一個不同的結(jié)果。巴勒斯坦躍升為受攻擊最多的國家。到達巴勒斯坦網(wǎng)站的流量中接近12%是HTTP DDoS攻擊。

HTTP DDOS攻擊的主要目標國家/地區(qū)（每個國家和地區(qū)攻擊流量占總流量的百分比）

上個季度，我們觀察到網(wǎng)絡(luò)層出現(xiàn)了驚人的偏差，Cloudflare保護的芬蘭網(wǎng)絡(luò)成為主要目標。這種激增可能與加速芬蘭正式加入北約的外交談判有關(guān)。進入芬蘭的流量中有大約83%屬于網(wǎng)絡(luò)攻擊，中國緊隨其后，攻擊流量占比達到68％。

然而，本季度情況截然不同。芬蘭已經(jīng)從前十中消失了，而受Cloudflare保護的中國互聯(lián)網(wǎng)網(wǎng)絡(luò)則上升到第一位。在前往受Cloudflare保護的中國網(wǎng)絡(luò)的字節(jié)流中，幾乎有三分之二是惡意的。在中國之后，瑞士的傳入流量中有一半屬于攻擊流量，而土耳其位居第三，四分之一的傳入流量被確認為惡意流量。

L3/4 DDOS攻擊的主要目標國家/地區(qū)（每個國家和地區(qū)攻擊流量占總流量的百分比）

DDoS勒索攻擊

有時，發(fā)動DDoS攻擊的目的是勒索贖金。我們對Cloudflare客戶的調(diào)查現(xiàn)已進入第三個年頭，以跟蹤勒索DDoS攻擊事件的發(fā)生。

以上是有關(guān)勒索軟件和勒索DDoS攻擊的高層次比較

在勒索軟件攻擊中，通常是受害者被騙下載惡意文件或單擊有問題的電子郵件鏈接，導(dǎo)致其文件被鎖定、刪除或泄露，直到支付贖金為止。對惡意行為者來說，執(zhí)行勒索DDoS攻擊要簡單得多。勒索DDoS攻擊不需要欺騙手段，比如引誘受害者打開可疑的電子郵件或點擊欺詐鏈接，也不需要侵入網(wǎng)絡(luò)或訪問公司資源。

過去一個季度中，勒索DDoS攻擊報告有所減少。有十分之一的受訪者報稱受到威脅或遭受到勒索DDoS攻擊。

總結(jié)：不斷變化的DDoS威脅形勢

最近幾個月來，DDoS攻擊的復(fù)雜程度發(fā)生了令人警覺的提升。即使是我們看到的最大、最復(fù)雜的攻擊也可能只持續(xù)了幾分鐘甚至數(shù)秒鐘——這不足以給大家足夠的時間做出反應(yīng)。甚至PagerDuty警報發(fā)出之前，攻擊就已經(jīng)結(jié)束了，損害已經(jīng)造成。從DDoS攻擊中恢復(fù)需要的時間可能遠遠長于攻擊本身——就像拳擊手可能需要一段時間才能從面部遭受的不到一秒的一擊中恢復(fù)過來一樣。

安全防御不是一個單一的產(chǎn)品或單擊一個按鈕，而是涉及多層防御的過程，旨在降低受到影響的風(fēng)險。Cloudflare的自動化DDoS防御系統(tǒng)持續(xù)保護我們的客戶免受DDoS攻擊的影響，使他們能夠集中精力專注于核心業(yè)務(wù)運營。這些系統(tǒng)還得到Cloudflare廣泛的能力進行補充，例如防火墻、機器人檢測、API保護甚至緩存，所有這些都有助于減少因遭受攻擊而受到影響的風(fēng)險。

DDoS攻擊威脅形勢正在不斷演變，日益復(fù)雜，需要的不僅僅是快速修復(fù)。值得慶幸的是，借助Cloudflare的多層防御和自動DDoS保護，我們的客戶能夠自信應(yīng)對這些挑戰(zhàn)。我們的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)，因此我們繼續(xù)保持警惕，確保為所有人提供更安全、更可靠的數(shù)字世界。

關(guān)于DDoS威脅趨勢統(tǒng)計方法

我們?nèi)绾谓y(tǒng)計及梳理勒索DDoS攻擊洞察

Cloudflare的系統(tǒng)不斷分析流量，并在檢測到DDoS攻擊時自動應(yīng)用緩解措施。每個遭到攻擊的客戶都會收到自動調(diào)查的提示，以幫助我們更好地了解攻擊的性質(zhì)和緩解是否成功。兩年多來，Cloudflare一直對受到攻擊的客戶進行調(diào)查。調(diào)查的問題之一是客戶是否收到威脅或勒索信。過去兩年來，我們平均每個季度收集到167份答卷。本調(diào)查的答卷用于計算勒索DDoS攻擊的比例。

我們?nèi)绾谓y(tǒng)計地域和行業(yè)洞察

·來源國家/地區(qū)

在應(yīng)用層，我們使用攻擊IP地址來了解攻擊的來源國家/地區(qū)。這是因為，應(yīng)用層的IP地址不能偽造（更改）。然而，網(wǎng)絡(luò)層的來源IP地址可以被偽造。因此，我們不依賴IP地址來了解來源，而是使用接收到攻擊數(shù)據(jù)包的數(shù)據(jù)中心位置。由于在全球超過285個地點的廣泛覆蓋，我們能夠獲得準確的地理位置。

·目標國家/地區(qū)

對于應(yīng)用層和網(wǎng)絡(luò)層DDoS攻擊，我們均使用客戶賬單國家/地區(qū)來分類攻擊和流量。這讓我們了解哪些國家/地區(qū)受到更多攻擊。

·目標行業(yè)

對于應(yīng)用層和網(wǎng)絡(luò)層DDoS攻擊，我們均使用客戶關(guān)系管理系統(tǒng)中的客戶行業(yè)來分類攻擊和流量。這讓我們了解哪些行業(yè)受到更多攻擊。

·總流量vs.百分比

對于來源和目標分析，我們通常將攻擊流量和總流量的比較作為一個數(shù)據(jù)參考點。另外，我們還考慮流向或從特定國家/地區(qū)到特定國家/地區(qū)或特定行業(yè)的攻擊流量占總流量的比例。這可以提供某個國家/地區(qū)或行業(yè)的“攻擊活動率”，根據(jù)其總流量水平進行標準化。這種方法有助于消除某個國家/地區(qū)或行業(yè)因為其本身流量很大、攻擊流量也很大而產(chǎn)生的偏差。

·我們?nèi)绾谓y(tǒng)計攻擊特征

為了統(tǒng)計攻擊大小、持續(xù)時間、攻擊手段和新興威脅，我們通常會將攻擊分組，然后在每個維度提供每個分組所占總量的比例。在新的Radar組件中，這些趨勢是通過字節(jié)數(shù)來計算的。由于不同攻擊之間的字節(jié)數(shù)可能相差很大，這可能導(dǎo)致報告和Radar組件之間的趨勢存在差異。

相關(guān)聲明

當(dāng)我們描述作為攻擊來源或目標的主要國家/地區(qū)時，這并不一定意味著該國家/地區(qū)作為一個整體被攻擊，而是指使用該國家作為賬單國家的組織受到了攻擊。同樣地，攻擊源于某個國家/地區(qū)并不意味著該國家/地區(qū)發(fā)動了攻擊，而是指攻擊是從被映射到該國家/地區(qū)的IP地址發(fā)起的。威脅行為者使用節(jié)點遍布全球的僵尸網(wǎng)絡(luò)，很多情況下也使用虛擬專用網(wǎng)絡(luò)（VPN）和代理來混淆自己的真實位置。因此，來源國家/地區(qū)可能表明該國家/地區(qū)存在出口節(jié)點或僵尸網(wǎng)絡(luò)節(jié)點。