2024年第一季度DDoS威脅趨勢報告

歡迎閱讀Cloudflare的第17版DDoS威脅報告。本版涵蓋2024年第一季度期間從Cloudflare網(wǎng)絡觀察到的DDoS威脅形勢以及主要發(fā)現(xiàn)。

什么是DDoS攻擊？

但首先讓我們快速回顧一下。DDoS攻擊是分布式拒絕服務攻擊的簡稱，這是一種網(wǎng)絡攻擊，旨在使網(wǎng)站或移動應用程序等互聯(lián)網(wǎng)服務癱瘓或中斷，導致用戶無法使用。DDoS攻擊一般通過向受害者的服務器發(fā)送超出其處理能力的流量來實施。

如何訪問往期報告

溫馨提示：您可在Cloudflare博客上訪問以往版本的DDoS威脅報告。這些報告也可在我們的交互式中心Cloudflare Radar上找到。Radar提供有關全球互聯(lián)網(wǎng)流量、攻擊的信息，以及技術趨勢和見解，并具有向下鉆取和過濾功能，以便您聚焦到特定的國家/地區(qū)、行業(yè)和網(wǎng)絡。我們還提供一個免費API，以便學者、數(shù)據(jù)研究院和其他Web愛好者調查全球互聯(lián)網(wǎng)趨勢。

2024年第一季度關鍵洞察

2024年第一季度的關鍵洞察包括：

2024年以轟轟烈烈的方式開始：Cloudflare的防御系統(tǒng)在第一季度自動緩解了450萬次DDoS攻擊，同比增長了50%。

基于DNS的DDoS攻擊同比增長了80%，仍然是最主要的攻擊手段。

瑞典加入北約后，針對該國的DDoS攻擊激增了466%，類似于芬蘭2023年加入北約時觀察到的模式。

2024年以轟轟烈烈的方式開始

2024年第一季度才剛剛結束，我們的自動化防御系統(tǒng)就已經(jīng)緩解了450萬次DDoS攻擊，相當于我們2023年緩解DDoS攻擊總數(shù)的32%。

按攻擊類型細分，HTTP DDoS攻擊同比增長93%，環(huán)比增長51%。網(wǎng)絡層DDoS攻擊，即L3/4 DDoS攻擊同比增長28%，環(huán)比增長5%。

2024年第一季度：Cloudflare緩解了450萬次DDoS攻擊

通過比較HTTP DDoS攻擊和L3/4 DDoS攻擊的合計數(shù)量，2024年第一季度攻擊總數(shù)同比增長了50%，環(huán)比增長了18%。

DDoS攻擊統(tǒng)計數(shù)據(jù)（分年度和季度）

第一季度期間，我們的系統(tǒng)總共緩解了10.5萬億個HTTP DDoS攻擊請求。我們的系統(tǒng)還緩解了超過59 PB的DDoS攻擊流量——僅在網(wǎng)絡層。

在這些網(wǎng)絡層DDoS攻擊中，許多攻擊的速率超過了1 Tbps，幾乎每周都有。2024年迄今為止我們緩解的最大規(guī)模攻擊是由Mirai變種僵尸網(wǎng)絡發(fā)起的。這一攻擊達到2 Tbps，目標是一家受Cloudflare Magic Transit保護的亞洲托管服務提供商。Cloudflare的系統(tǒng)自動檢測并緩解了攻擊。

Mirai僵尸網(wǎng)絡因其大規(guī)模DDoS攻擊而臭名昭著，它主要由受感染的物聯(lián)網(wǎng)（IoT）設備組成。在2016年，一個Mirai僵尸網(wǎng)絡通過對DNS服務提供商發(fā)動攻擊導致美國各地的互聯(lián)網(wǎng)訪問中斷。將近八年過去了，Mirai僵尸網(wǎng)絡攻擊仍然非常普遍。每100次DDoS HTTP攻擊中有四次，每100次L3/4攻擊有兩次是由Mirai變體僵尸網(wǎng)絡發(fā)起的。我們之所以說“變體”，是因為Mirai源代碼已被公開，多年來出現(xiàn)了基于原始代碼的許多變體。

Mirai僵尸網(wǎng)絡針對亞洲托管服務提供商發(fā)動2 Tbps DDoS攻擊

DNS攻擊激增80%

我們于近期推出了最新的DDoS防御系統(tǒng)之一——Advanced DNS Protection系統(tǒng)。這是對我們現(xiàn)有系統(tǒng)的補充，旨在防御最復雜的基于DNS的DDoS攻擊。

我們決定投資開發(fā)這個新系統(tǒng)并非心血來潮。基于DNS的DDoS攻擊已成為最主要的攻擊手段，在所有網(wǎng)絡層攻擊中所占比例繼續(xù)增長。2024年第一季度，基于DNS的DDoS攻擊同比增長80%，占比達到約54%。

基于DNS的DDoS攻擊（分年度和季度）

盡管DNS攻擊激增，但值得注意的是，由于所有類型的DDoS攻擊總體都進一步增加了，每種攻擊類型的占比仍然與我們的2023年第四季度報告中所見相同。HTTP DDoS攻擊在DDoS攻擊總數(shù)中的比例保持在37%，DNS DDoS攻擊占33%，余下30%為所有其他類型的L3/4攻擊，例如SYN Flood和UDP Flood。

攻擊類型分布

而且事實上，SYN Flood是第二種最常見的L3/4攻擊。排名第三的是RST Flood，這是另一種基于TCP的DDoS攻擊。UDP Flood排名第四，占6%。

主要攻擊手段

在分析最常見的攻擊手段時，我們還會查看那些增長最快、但不一定進入前十名的攻擊手段。在增長最快的攻擊手段（新興威脅）中，Jenkins Flood季度環(huán)比增長超過826%。

Jenkins Flood是一種DDoS攻擊，利用Jenkins自動化服務器中的漏洞，特別是通過UDP多播/廣播和DNS多播服務。攻擊者可以向Jenkins服務器的公共UDP端口發(fā)送精心制作的小型請求，導致服務器以不合比例的大量數(shù)據(jù)進行響應。此舉可顯著放大流量，使目標網(wǎng)絡不堪重負并導致服務中斷。Jenkins在2020年通過在后續(xù)版本中默認禁用這些服務來解決了這個漏洞（CVE-2020-2100）。然而，如我們所見，即使4年后，這個漏洞仍在被濫用以發(fā)動DDoS攻擊。

季度環(huán)比增長最快的攻擊手段

HTTP/2 Continuation Flood

另一種值得討論的攻擊手段是HTTP/2 Continuation Flood。研究人員Bartek Nowotarski在2024年4月3日發(fā)現(xiàn)并公開的一個漏洞使這種攻擊手段成為可能。

HTTP/2 Continuation Flood漏洞的目標是未正確處理HEADERS和多個CONTINUATION幀的HTTP/2協(xié)議實現(xiàn)。威脅行為者發(fā)送一系列不帶END_HEADERS標志的CONTINUATION幀，導致潛在的服務器問題，例如內存不足崩潰或CPU耗盡。HTTP/2 Continuation Flood可以做到通過僅允許單臺機器就能夠破壞使用HTTP/2的網(wǎng)站和API，但由于HTTP訪問日志中沒有可見的請求，這種攻擊難以被發(fā)現(xiàn)。

這個漏洞構成的潛在嚴重威脅比之前已知的HTTP/2 Rapid Reset更具破壞性，這種攻擊手段導致了歷史上一些最大規(guī)模的HTTP/2 DDoS攻擊活動。其中一次活動中，數(shù)千次超大規(guī)模DDoS攻擊以Cloudflare為目標。這些攻擊的速率高達數(shù)百萬次請求/秒（rps）。根據(jù)Cloudflare記錄，本輪活動的平均攻擊速率為3000萬rps。其中大約89次攻擊的峰值超過1億rps，我們看到的規(guī)模最大的一次攻擊達到2.01億rps。

2023年第三季度的HTTP/2 Rapid Reset超大規(guī)模DDoS攻擊活動

Cloudflare的網(wǎng)絡、其HTTP/2實現(xiàn)，以及使用我們的WAF/CDN服務的客戶不受此漏洞的影響。此外，我們目前沒有發(fā)現(xiàn)互聯(lián)網(wǎng)上有任何威脅行為者利用此漏洞。

多個CVE已被分配給受此漏洞影響的各種HTTP/2實現(xiàn)?？▋然仿〈髮W的Christopher Cullen發(fā)布的一個CERT警報（Bleeping Computer對此進行了報道）已經(jīng)列出了各種CVE：

受攻擊最多的行業(yè)

在分析攻擊統(tǒng)計數(shù)據(jù)時，我們使用系統(tǒng)中記錄的客戶行業(yè)來確定受攻擊最多的行業(yè)。2024年第一季度，北美地區(qū)受到最多HTTP DDoS攻擊的行業(yè)是營銷和廣告行業(yè)。在非洲和歐洲，信息技術和互聯(lián)網(wǎng)行業(yè)受到最多攻擊。在中東，受攻擊最多的行業(yè)是計算機軟件。亞洲受攻擊最多的行業(yè)是游戲和泛娛樂。在南美，受攻擊最多的是銀行、金融服務和保險（BFSI）。最后（但并非最不重要），大洋洲受到最多攻擊的行業(yè)是電信。

受到最多HTTP DDoS攻擊的行業(yè)（分地區(qū)）

在全球范圍內，游戲和泛娛樂是HTTP DDoS攻擊第一大目標。Cloudflare緩解的每100個DDoS請求中，超過7個是針對游戲和泛娛樂行業(yè)。第二位是信息技術和互聯(lián)網(wǎng)行業(yè)，第三位是營銷和廣告行業(yè)。

受HTTP DDoS攻擊最多的行業(yè)

信息技術和互聯(lián)網(wǎng)行業(yè)是網(wǎng)絡層DDoS攻擊的第一大目標，占網(wǎng)絡層DDoS攻擊字節(jié)總數(shù)的75%。這一巨大比例的一個可能解釋是信息技術和互聯(lián)網(wǎng)公司可成為攻擊的“超級聚合者”，它們受到的DDoS攻擊實際上是針對其最終客戶的。其次是電信、銀行、金融服務和保險（BFSI）、游戲和泛娛樂以及計算機軟件，合計占3%。

受L3/4 DDoS攻擊最多的行業(yè)

通過將攻擊流量除以給定行業(yè)的總流量來對數(shù)據(jù)進行標準化，我們會得到完全不同的狀況。在HTTP方面，律師事務所和法律服務是受到最多攻擊的行業(yè)，其流量中超過40%是HTTP DDoS攻擊流量。生物技術行業(yè)位居第二，HTTP DDoS攻擊流量占比達到20%。第三位是非營利組織，HTTP DDoS攻擊占比13%。航空和航天排名第四，前十的其他行業(yè)依次為交通運輸、批發(fā)、政府關系、電影、公共政策和成人娛樂。

受HTTP DDoS攻擊最多的行業(yè)（標準化后）

回到網(wǎng)絡層，標準化后信息技術和互聯(lián)網(wǎng)仍然是受到L3/4 DDoS攻擊最多的行業(yè)，其流量中近三分之一為攻擊流量。第二位是紡織行業(yè)，攻擊流量占比為4%。土木工程排名第三，前十的其他行業(yè)依次是銀行、金融服務和保險（BFSI）、軍事、建筑、醫(yī)療器械、國防和航天、游戲和泛娛樂，最后是零售。

受L3/4 DDoS攻擊最多的行業(yè)（標準化后）

DDoS攻擊的最大來源

在分析HTTP DDoS攻擊的來源時，我們通過查看源IP地址以確定這些攻擊的來源位置。某個國家/地區(qū)成為大量攻擊的來源地，表明在虛擬專用網(wǎng)絡（VPN）或代理端點后面很可能存在大量僵尸網(wǎng)絡節(jié)點，可被攻擊者利用來混淆其來源。

在2024年第一季度，美國是HTTP DDoS攻擊流量的最大來源，所有DDoS攻擊請求的五分之一來自美國IP地址。中國位居第二，其后是德國、印度尼西亞、巴西、俄羅斯、伊朗、新加坡、印度和阿根廷。

HTTP DDoS攻擊的主要來源

在網(wǎng)絡層，源IP地址可被偽造。因此我們不依賴于IP地址來了解來源，而是使用我們接收到攻擊流量的數(shù)據(jù)中心位置。由于Cloudflare的網(wǎng)絡覆蓋全球310多個城市，我們可以獲得準確的地理位置。

通過使用我們的數(shù)據(jù)中心位置，我們可以看到，2024年第一季度期間超過40%的L3/4 DDoS攻擊流量被我們的美國數(shù)據(jù)中心接收，使美國成為L3/4攻擊的最大來源。遠遠落后的第二位是德國，占6%，其后是巴西、新加坡、俄羅斯、韓國、中國香港、英國、荷蘭和日本。

L3/4 DDoS攻擊的主要來源

通過將攻擊流量除以給定國家或地區(qū)的總流量來標準化數(shù)據(jù)，我們得到一個完全不同的排名。來自直布羅陀的HTTP流量中有近三分之一是DDoS攻擊流量，使其成為最大的來源。第二名是圣赫勒拿，其后是英屬維爾京群島、利比亞、巴拉圭、馬約特、赤道幾內亞、阿根廷和安哥拉。

HTTP DDoS攻擊的主要來源（標準化后）

回到網(wǎng)絡層，標準化處理后的情況也大不相同。在我們位于津巴布韋的數(shù)據(jù)中心，所接收流量中近89%是L3/4 DDoS攻擊。在巴拉圭，攻擊流量占比超過56%，其后是蒙古，占比接近35%。排在前列的其他地點包括摩爾多瓦、剛果民主共和國、厄瓜多爾、吉布提、阿塞拜疆、海地和多米尼加共和國。

L3/4 DDoS攻擊的主要來源（標準化后）

受攻擊最多的地點

在分析針對我們客戶的DDoS攻擊時，我們使用客戶的賬單國家/地區(qū)來確定“受攻擊的國家/地區(qū)”。2024年第一季度，美國是受HTTP DDoS攻擊最多的國家。Cloudflare緩解的DDoS請求中，大約十分之一針對美國。中國大陸位居第二，其后是加拿大、越南、印度尼西亞、新加坡、中國香港、臺灣地區(qū)、塞浦路斯和德國。

受到最多HTTP DDoS攻擊的國家和地區(qū)

通過將攻擊流量除以給定國家或地區(qū)的總流量來標準化數(shù)據(jù)時，排名也變得截然不同。流向尼加拉瓜的HTTP流量中超過63%是DDoS攻擊流量，使其成為受攻擊最多的國家/地區(qū)。第二位是阿爾巴尼亞，其后是約旦、幾內亞、圣馬力諾、格魯吉亞、印度尼西亞、柬埔寨、孟加拉國和阿富汗。

受到最多HTTP DDoS攻擊的國家/地區(qū)（標準化后）

在網(wǎng)絡層，中國大陸是受攻擊最多的地區(qū)。2024年第一季度Cloudflare緩解的所有DDoS攻擊中，有39%是針對Cloudflare的中國客戶。中國香港位居第二，其后是臺灣地區(qū)、美國和巴西。

受L3/4 DDoS攻擊最多的國家和地區(qū)

回到網(wǎng)絡層，標準化后中國香港成為受攻擊最多的地區(qū)。在發(fā)送到香港的所有流量中，超過78%為L3/4 DDoS攻擊流量。位居第二的是中國大陸，DDoS占比75%。其后是哈薩克斯坦、泰國、圣文森特和格林納丁斯、挪威、臺灣地區(qū)、土耳其、新加坡和巴西。

受L3/4 DDoS攻擊最多的國家和地區(qū)（標準化后）

無論攻擊類型、規(guī)?；虺掷m(xù)時間如何，Cloudflare均可提供幫助

Cloudflare的使命是幫助構建更好的互聯(lián)網(wǎng)，使其安全、高效運行且人人可用。鑒于HTTP DDoS攻擊，大約十分之四持續(xù)10分鐘以上，大約十分之三持續(xù)一小時以上，形勢非常嚴峻。然而，無論攻擊達到10萬個請求/秒（占攻擊總數(shù)的十分之一），甚至超過100萬個請求/秒（罕見情況，僅占4/1000），Cloudflare的防御系統(tǒng)始終滴水不漏。

自2017年率先推出不計量DDoS防護以來，Cloudflare一直堅定不移地兌現(xiàn)向所有組織免費提供企業(yè)級DDoS防護的承諾，確保我們先進的技術和強大的網(wǎng)絡架構不僅抵御攻擊，還能維持性能不受影響。

Cloudflare保護整個企業(yè)網(wǎng)絡，幫助客戶高效構建互聯(lián)網(wǎng)規(guī)模的應用程序，加速任何網(wǎng)站或互聯(lián)網(wǎng)應用程序，抵御DDoS攻擊，防止黑客入侵，并能協(xié)助您實現(xiàn)Zero Trust的部署與實施。