歡迎閱讀第18版Cloudflare DDoS威脅趨勢(shì)報(bào)告�����。本報(bào)告每季度發(fā)布一次�,對(duì)Cloudflare網(wǎng)絡(luò)上觀察到的最新DDoS威脅態(tài)勢(shì)進(jìn)行深入分析。此版報(bào)告將重點(diǎn)介紹2024年第二季度的相關(guān)情況���。
歡迎閱讀第18版Cloudflare DDoS威脅趨勢(shì)報(bào)告��。本報(bào)告每季度發(fā)布一次�,對(duì)Cloudflare網(wǎng)絡(luò)上觀察到的最新DDoS威脅態(tài)勢(shì)進(jìn)行深入分析�����。此版報(bào)告將重點(diǎn)介紹2024年第二季度的相關(guān)情況���。
Cloudflare憑借覆蓋全球320多個(gè)城市�����、容量達(dá)280 TB/秒的龐大網(wǎng)絡(luò)(為19%的網(wǎng)站提供服務(wù))占據(jù)有利條件�����,使其能夠向更廣泛的互聯(lián)網(wǎng)社群提供寶貴的洞察見(jiàn)解和趨勢(shì)分析�����。
2024年第二季度的關(guān)鍵洞察及見(jiàn)解
-Cloudflare記錄的DDoS攻擊數(shù)量同比增長(zhǎng)20%�。
-每25名受訪者中有1人表示�,其遭受的DDoS攻擊由代表國(guó)家或政府支持的威脅行為者發(fā)起。
-威脅行為者的能力達(dá)到空前的高水平�����,Cloudflare的自動(dòng)化防御系統(tǒng)生成了10倍以上的攻擊特征���,以抵御和緩解超級(jí)復(fù)雜的DDoS攻擊���。
(與此同時(shí),您也可以在Cloudflare Radar上查看本報(bào)告的互動(dòng)版本)
簡(jiǎn)要回顧-什么是DDoS攻擊�����?
在深入探討之前��,我們回顧一下什么是DDoS攻擊��。分布式拒絕服務(wù)(DDoS)攻擊是一種網(wǎng)絡(luò)攻擊,目的是切斷或破壞互聯(lián)網(wǎng)服務(wù)(例如網(wǎng)站或移動(dòng)應(yīng)用程序)��,使用戶無(wú)法使用這些服務(wù)�。通常采用的攻擊方式是使受害者的服務(wù)器不堪重負(fù),無(wú)法處理過(guò)多流量�,這些流量通常來(lái)自互聯(lián)網(wǎng)上的多個(gè)源,進(jìn)而導(dǎo)致服務(wù)器無(wú)法處理合法用戶流量�。
DDoS攻擊示意圖
如需進(jìn)一步了解DDoS攻擊和其他類型的網(wǎng)絡(luò)威脅,請(qǐng)?jiān)L問(wèn)我們的學(xué)習(xí)中心���,查看Cloudflare博客之前已發(fā)布的DDoS威脅報(bào)告���,或者訪問(wèn)我們的互動(dòng)中心Cloudflare Radar。還有一個(gè)免費(fèi)的API��,可供有興趣研究這些報(bào)告和其他互聯(lián)網(wǎng)趨勢(shì)的相關(guān)從業(yè)人員使用��。
威脅行為者憑借其復(fù)雜老練的“技術(shù)手段”���,推動(dòng)了DDoS攻擊數(shù)量的持續(xù)增長(zhǎng)
2024年上半年��,Cloudflare緩解了850萬(wàn)次DDoS攻擊:第一季度450萬(wàn)次���,第二季度400萬(wàn)次���。總體而言��,第二季度DDoS攻擊數(shù)量環(huán)比下降了11%���,但同比增長(zhǎng)了20%���。
DDoS攻擊分布(按類型和手段)
需要指出的是���,2023年全年���,Cloudflare緩解了1400萬(wàn)次DDoS攻擊;相比之下�,我們到2024年年中緩解的DDoS攻擊數(shù)量已達(dá)到了去年總量的60%。
Cloudflare已成功緩解了10.2萬(wàn)億次HTTP DDoS請(qǐng)求和57 PB的網(wǎng)絡(luò)層DDoS攻擊流量�,阻止其到達(dá)我們客戶的源服務(wù)器。
2024年第二季度DDoS攻擊數(shù)量統(tǒng)計(jì)數(shù)據(jù)
如果進(jìn)一步細(xì)分�,則可以看到第二季度400萬(wàn)次DDoS攻擊包括220萬(wàn)次網(wǎng)絡(luò)層DDoS攻擊,以及180萬(wàn)次HTTP DDoS攻擊���。這個(gè)180萬(wàn)次HTTP DDoS攻擊的數(shù)字經(jīng)過(guò)了標(biāo)準(zhǔn)化處理��,以彌補(bǔ)復(fù)雜和隨機(jī)HTTP DDoS攻擊數(shù)量激增的問(wèn)題�。Cloudflare的自動(dòng)化防御系統(tǒng)生成了針對(duì)DDoS攻擊的實(shí)時(shí)特征,并且由于這些復(fù)雜攻擊的隨機(jī)性���,我們觀察到單次攻擊生成了許多特征-實(shí)際生成的特征數(shù)量接近1900萬(wàn)�����,比180萬(wàn)這個(gè)標(biāo)準(zhǔn)化處理后的數(shù)字高出十倍以上���。為應(yīng)對(duì)因隨機(jī)攻擊所生成的數(shù)百萬(wàn)個(gè)特征,均源于一些單一的規(guī)則�。這些規(guī)則發(fā)揮了攔截攻擊的作用,但它們也導(dǎo)致特征數(shù)量虛高�,因此,我們?cè)谟?jì)算時(shí)將其排除在外�����。
HTTP DDoS攻擊數(shù)量(按季節(jié))�,含已排除的攻擊特征
這種十倍數(shù)量的差異表明,威脅態(tài)勢(shì)已發(fā)生巨大變化�。過(guò)去�����,使威脅行為者能夠發(fā)起此類隨機(jī)�、復(fù)雜攻擊的工具和能力��,與代表國(guó)家或政府支持的行為者的能力息息相關(guān)��。但是���,隨著生成式AI和自動(dòng)駕駛系統(tǒng)的興起�,使得威脅行為者可以借勢(shì)更快速地編寫更優(yōu)質(zhì)的代碼��,甚至一些“普通網(wǎng)絡(luò)犯罪分子”也掌握了這些能力���。
DDoS勒索攻擊
2024年5月,報(bào)告遭受DDoS攻擊威脅行為者的威脅或DDoS勒索攻擊的Cloudflare客戶比例達(dá)到16%�����,為過(guò)去12個(gè)月以來(lái)的最高水平��。第二季度初期的比例相對(duì)較低�����,7%的客戶報(bào)告遭受了威脅或勒索攻擊。5月�����,這一比例迅速躍升至16%��;6月則略微下降至14%�。
報(bào)告遭受DDoS威脅或勒索敲詐的客戶百分比(按月份)
總體而言,勒索DDoS攻擊在過(guò)去一年里呈季度環(huán)比增加�����。2024年第二季度報(bào)告遭受威脅或勒索的客戶比例為12.3%���,略高于上一季度(10.2%)���,但與去年同期基本持平,也是12.0%���。
報(bào)告遭受DDoS威脅或勒索敲詐的客戶百分比(按季度)
威脅行為者
75%的受訪者表示���,他們不知道攻擊者是誰(shuí)���,或?qū)Ψ桨l(fā)起攻擊的原因。這些受訪者都是遭受HTTP DDoS攻擊的Cloudflare客戶��。
在聲稱了解攻擊者的受訪者中���,59%的人表示攻擊者是競(jìng)爭(zhēng)對(duì)手�。另有21%的受訪者表示���,DDoS攻擊由心懷不滿的客戶或用戶發(fā)起�����;另有17%的受訪者表示��,DDoS攻擊由代表國(guó)家或政府支持的威脅行為者發(fā)起�����。剩余3%的受訪者則表示他們?cè)馐芰恕耙蚱渥陨碓颉痹斐傻腄DoS攻擊。
Cloudflare客戶報(bào)告的威脅行為者類型百分比���,不包括未知攻擊者和異常值
遭受攻擊最多的國(guó)家和地區(qū)
中國(guó)位居2024年第二季度全球遭受攻擊最多的國(guó)家和地區(qū)榜首�。這個(gè)排名納入考慮的攻擊類型包括:HTTP DDoS攻擊、網(wǎng)絡(luò)層DDoS攻擊�����、DDoS攻擊流量占總流量的總量和百分比��,并且圖表顯示了每個(gè)國(guó)家或地區(qū)的總體DDoS攻擊活動(dòng)��。圖表中的條形圖越長(zhǎng)��,表示攻擊活動(dòng)數(shù)量越多�����。
緊隨中國(guó)之后是位居第二的土耳其�����,接著依次是新加坡�、中國(guó)香港、俄羅斯��、巴西和泰國(guó)�。下表列出了遭受攻擊最多的前15個(gè)國(guó)家/地區(qū)中的其余國(guó)家和地區(qū)。
2024年第二季度遭受攻擊最多的15個(gè)國(guó)家和地區(qū)
受攻擊最多的行業(yè)
信息技術(shù)和服務(wù)位居2024年第二季度遭受攻擊最多的目標(biāo)行業(yè)榜首�����。我們?cè)诖颂幨褂玫呐琶椒ㄗ裱懊嫠龅南嗤瓌t,即:將HTTP DDoS攻擊和網(wǎng)絡(luò)層DDoS攻擊的總量與相對(duì)攻擊流量提煉為一個(gè)DDoS攻擊活動(dòng)排名�����。
電信�����、服務(wù)提供商和運(yùn)營(yíng)商行業(yè)排第二��,消費(fèi)品行業(yè)則排在第三�。
2024年第二季度遭受攻擊最多的15個(gè)目標(biāo)行業(yè)
如果僅分析HTTP DDoS攻擊,我們會(huì)看到截然不同的情況�����。就HTTP DDoS攻擊請(qǐng)求量而言�,游戲和泛娛樂(lè)是遭受攻擊最多的行業(yè)。各個(gè)地區(qū)的細(xì)分?jǐn)?shù)據(jù)如下所示��。
遭受HTTP DDoS攻擊最多的行業(yè)(按地區(qū)劃分)
DDoS攻擊最大來(lái)源
阿根廷位居2024年第二季度DDoS攻擊最大來(lái)源榜首��。我們?cè)诖颂幨褂玫呐琶椒ㄗ裱懊嫠龅南嗤瓌t�,即:將HTTP DDoS攻擊和網(wǎng)絡(luò)層DDoS攻擊的總量與相對(duì)攻擊流量提煉為一個(gè)DDoS攻擊活動(dòng)排名。
印度尼西亞緊隨其后�,排名第二;荷蘭排名第三�����。
2024年第二季度排名前15的DDoS攻擊最大來(lái)源
DDoS攻擊特征
-網(wǎng)絡(luò)層DDoS攻擊手段
雖然基于DNS的DDoS攻擊數(shù)量季度環(huán)比減少了49%��,但它仍然是最常見(jiàn)的攻擊手段�����,其中DNS洪水和DNS放大攻擊合計(jì)占37%���。SYN洪水次之�,占23%�;隨后是RST洪水,占10%多一點(diǎn)�。SYN洪水與RST洪水都是基于TCP的DDoS攻擊。所有基于TCP的DDoS攻擊數(shù)量總共占網(wǎng)絡(luò)層DDoS攻擊總數(shù)的38%�����。
主要攻擊手段(網(wǎng)絡(luò)層)
-HTTP DDoS攻擊手段
運(yùn)營(yíng)大型網(wǎng)絡(luò)的優(yōu)勢(shì)之一是我們可以發(fā)現(xiàn)許多流量和攻擊��。這有助于我們優(yōu)化檢測(cè)和緩解系統(tǒng)來(lái)更好、更有效地保護(hù)客戶�。Cloudflare在第一季度使用針對(duì)自身已知僵尸網(wǎng)絡(luò)的專有啟發(fā)式方法緩解了一半數(shù)量的HTTP DDoS攻擊。這些啟發(fā)式方法會(huì)指導(dǎo)我們的系統(tǒng)如何生成實(shí)時(shí)特征來(lái)匹配不同類型的攻擊�����。
另有29%的HTTP DDoS攻擊使用了虛假用戶代理���、冒充瀏覽器�,或來(lái)自無(wú)頭瀏覽器�。另有13%的攻擊具備可疑的HTTP屬性,觸發(fā)了我們的自動(dòng)化防御系統(tǒng)�;以及7%的攻擊被標(biāo)記為一般洪水。需要注意的一點(diǎn)是��,這些攻擊手段或攻擊組織不一定具有排他性��。例如�����,已知的僵尸網(wǎng)絡(luò)也會(huì)冒充瀏覽器以及具備可疑的HTTP屬性�����,但這是我們對(duì)HTTP DDoS攻擊進(jìn)行分類的初步嘗試。
主要攻擊手段(HTTP)
-DDoS攻擊中使用的HTTP版本
在第二季度�����,大約一半的Web流量使用HTTP/2���,29%使用HTTP/1.1,五分之一使用HTTP/3��,接近0.62%使用HTTP/1.0�����,0.01%使用HTTP/1.2�。
Web流量分布(按HTTP版本)
HTTP DDoS攻擊在版本采用方面遵循類似的模式,盡管也是更傾向于使用HTTP/2���。76%的HTTP DDoS攻擊流量使用HTTP/2版本��,接近22%的流量使用HTTP/1.1�����。另一方面��,HTTP/3的使用量相對(duì)要少得多�。只有0.86%的HTTP DDoS攻擊流量使用HTTP/3,與此形成鮮明對(duì)比的是�,20%的Web流量采用HTTP/3。
HTTP DDoS攻擊流量分布(按HTTP版本)
-DDoS攻擊持續(xù)時(shí)間
絕大多數(shù)DDoS攻擊的持續(xù)時(shí)間比較短��。超過(guò)57%的HTTP DDoS攻擊以及88%的網(wǎng)絡(luò)層DDoS攻擊在10分鐘內(nèi)結(jié)束���。這凸顯了對(duì)自動(dòng)化內(nèi)聯(lián)檢測(cè)和緩解系統(tǒng)的需求�����。因?yàn)槿绻咳藶閬?lái)響應(yīng)警報(bào)�、分析流量���,以及應(yīng)用手動(dòng)緩解措施���,十分鐘遠(yuǎn)遠(yuǎn)不夠。
在圖表的另一端���,我們可以看到��,大約四分之一的HTTP DDoS攻擊持續(xù)時(shí)間超過(guò)一小時(shí)���,近五分之一的攻擊持續(xù)時(shí)間超過(guò)一天��。而持續(xù)時(shí)間較長(zhǎng)的網(wǎng)絡(luò)層DDoS攻擊數(shù)量明顯減少��,只有1%的網(wǎng)絡(luò)層DDoS攻擊持續(xù)時(shí)間超過(guò)3小時(shí)。
HTTP DDoS攻擊分布(按持續(xù)時(shí)間)
網(wǎng)絡(luò)層DDoS攻擊:持續(xù)時(shí)間分布
-DDoS攻擊規(guī)模
大多數(shù)DDoS攻擊規(guī)模相對(duì)較小�����。超過(guò)95%的網(wǎng)絡(luò)層DDoS攻擊低于500兆比特/秒��,86%的網(wǎng)絡(luò)層DDoS攻擊低于50,000個(gè)數(shù)據(jù)包/秒���。
網(wǎng)絡(luò)層DDoS攻擊分布(按比特率)
網(wǎng)絡(luò)層DDoS攻擊分布(按包速率)
同樣地��,81%的HTTP DDoS攻擊低于每秒5萬(wàn)個(gè)請(qǐng)求��。雖然這些速率在Cloudflare的網(wǎng)絡(luò)規(guī)模上顯得很小�,但是對(duì)于不習(xí)慣這種流量水平的未受保護(hù)網(wǎng)站而言��,此類攻擊仍然可能會(huì)造成破壞性影響��。
HTTP DDoS攻擊分布(按請(qǐng)求速率)
盡管大多數(shù)攻擊規(guī)模較小,但較大型的容量耗盡攻擊的數(shù)量有所增加�����。每100次網(wǎng)絡(luò)層DDoS攻擊中�����,有一次超過(guò)100萬(wàn)個(gè)數(shù)據(jù)包/秒(pps)�;每100次網(wǎng)絡(luò)層DDoS攻擊中,有兩次超過(guò)500兆比特/秒�。在第7層(應(yīng)用程序?qū)樱?000次HTTP DDoS攻擊中�,有4次超過(guò)每秒100萬(wàn)個(gè)請(qǐng)求。
關(guān)鍵要點(diǎn)
大多數(shù)DDoS攻擊規(guī)模小且速度快���。然而�,即便是此類攻擊���,也可能會(huì)擾亂不遵循DDoS防御最佳實(shí)踐的在線服務(wù)�。
此外�,威脅行為者的復(fù)雜、老練能力正在日漸增強(qiáng)�,這可能是因?yàn)榻柚松墒紸I和開(kāi)發(fā)人員輔助工具��,讓他們可以編寫更優(yōu)質(zhì)的攻擊代碼�����,導(dǎo)致防御DDoS攻擊的難度增加�。然而現(xiàn)實(shí)情況是���,在攻擊復(fù)雜程度有所提高之前���,許多企業(yè)及組織就已經(jīng)難以自行防御此類威脅了-但他們不需要這樣做也不必過(guò)于擔(dān)心�����,Cloudflare隨時(shí)可以提供幫助��。Cloudflare投入了大量資源(所以客戶無(wú)需投入)���,確保我們的自動(dòng)化防御系統(tǒng)以及整個(gè)Cloudflare產(chǎn)品組合的安全性�,從而幫助客戶隨時(shí)都可有效防范現(xiàn)有和新興威脅���。
立即登錄�,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
