2024年第三季度DDoS威脅趨勢(shì)報(bào)告

歡迎閱讀Cloudflare DDoS威脅趨勢(shì)報(bào)告第十九版。本報(bào)告會(huì)每季度發(fā)布，對(duì)Cloudflare網(wǎng)絡(luò)上觀察到的DDoS威脅形勢(shì)進(jìn)行深入分析。本次發(fā)布版本聚焦于2024年第三季度。

Cloudflare網(wǎng)絡(luò)覆蓋全球超過(guò)330個(gè)城市，容量達(dá)到296 TB/秒（Tbps），被接近20%的網(wǎng)站用作反向代理。Cloudflare擁有獨(dú)特的優(yōu)勢(shì)，可為更廣泛的互聯(lián)網(wǎng)社區(qū)提供有價(jià)值的洞察和趨勢(shì)分析。

關(guān)鍵洞察

-2024年第三季度DDoS攻擊數(shù)量出現(xiàn)激增。期間，Cloudflare緩解了近600萬(wàn)次DDoS攻擊，環(huán)比增長(zhǎng)49%，同比增長(zhǎng)55%。

-在這600萬(wàn)次攻擊中，Cloudflare的自主DDoS防御系統(tǒng)檢測(cè)并緩解了200多次速率超過(guò)3 TB/秒（Tbps）和20億數(shù)據(jù)包/秒（Bpps）的超大規(guī)模DDoS攻擊。最大的攻擊峰值速率達(dá)到4.2 Tbps，僅持續(xù)了一分鐘。

-銀行和金融服務(wù)行業(yè)受到最多DDoS攻擊。中國(guó)是DDoS攻擊的最大目標(biāo)國(guó)家，而印度尼西亞是最大的DDoS攻擊來(lái)源。

如要進(jìn)一步了解DDoS攻擊和其他類型的網(wǎng)絡(luò)威脅，請(qǐng)?jiān)L問(wèn)我們的學(xué)習(xí)中心、查看Cloudflare博客上的往期DDoS威脅報(bào)告，或訪問(wèn)我們的互動(dòng)中心Cloudflare Radar。對(duì)于那些有興趣調(diào)查以上和其他互聯(lián)網(wǎng)趨勢(shì)的朋友們，還可以使用這個(gè)免費(fèi)的API。您還可以進(jìn)一步了解在準(zhǔn)備這些報(bào)告時(shí)所使用的方法。

超大規(guī)模攻擊活動(dòng)

在2024年上半年，Cloudflare的自主DDoS防御系統(tǒng)自動(dòng)檢測(cè)并緩解了850萬(wàn)次DDoS攻擊，其中第一季度為450萬(wàn)次，第二季度為400萬(wàn)次。在第三季度，我們的系統(tǒng)緩解了近600萬(wàn)次DDoS攻擊，使年初至今緩解的DDoS攻擊總數(shù)達(dá)到1450萬(wàn)次。這相當(dāng)于平均每小時(shí)約2200次DDoS攻擊。

以上攻擊中，Cloudflare緩解了200多次超過(guò)1 Tbps或1 Bpps的超大規(guī)模網(wǎng)絡(luò)層DDoS攻擊。最大的攻擊峰值分別為3.8 Tbps和2.2 Bpps。進(jìn)一步閱讀以了解這些攻擊以及我們的DDoS防御系統(tǒng)如何緩解這些攻擊。

超大規(guī)模DDoS攻擊隨時(shí)間分布

在我們撰寫(xiě)這篇博客文章時(shí)，我們的系統(tǒng)繼續(xù)檢測(cè)和緩解這些大規(guī)模攻擊，一個(gè)新的記錄剛剛再次被打破，距離我們上次披露才過(guò)去三周。2024年10月21日，Cloudflare的系統(tǒng)自主檢測(cè)并緩解了一次持續(xù)約一分鐘、4.2 Tbps的DDoS攻擊。

Cloudflare系統(tǒng)自主緩解的4.2 Tbps DDoS攻擊

DDoS攻擊類型和特征

在上述600萬(wàn)次DDoS攻擊中，一半是HTTP（應(yīng)用層）DDoS攻擊，另一半是網(wǎng)絡(luò)層DDoS攻擊。網(wǎng)絡(luò)層DDoS攻擊環(huán)比增長(zhǎng)51%，同比增長(zhǎng)45%，HTTP DDoS攻擊環(huán)比增長(zhǎng)61%，同比增長(zhǎng)68%。

-攻擊持續(xù)時(shí)間

90%的DDoS攻擊，包括最大規(guī)模的攻擊，持續(xù)時(shí)間非常短。然而，我們確實(shí)看到持續(xù)時(shí)間超過(guò)1小時(shí)的攻擊略有增加（7％）。這些持續(xù)時(shí)間較長(zhǎng)的攻擊占所有攻擊的3%。

-攻擊手段

在第三季度，網(wǎng)絡(luò)層DDoS攻擊與HTTP DDoS攻擊的數(shù)量相對(duì)均勻分布。在網(wǎng)絡(luò)層DDoS攻擊中，SYN洪水是最主要的攻擊手段，其次是DNS洪水攻擊、UDP洪水、SSDP反射攻擊和ICMP反射攻擊。

在應(yīng)用層，72%的HTTP DDoS攻擊是由已知僵尸網(wǎng)絡(luò)發(fā)起的，并被我們的專有啟發(fā)式方法自動(dòng)緩解。我們自主開(kāi)發(fā)的啟發(fā)式方法緩解了72%的DDoS攻擊這一事實(shí)顯示了運(yùn)營(yíng)大型網(wǎng)絡(luò)的優(yōu)勢(shì)。鑒于我們觀察到的流量和攻擊規(guī)模，我們能夠針對(duì)僵尸網(wǎng)絡(luò)設(shè)計(jì)、測(cè)試和部署強(qiáng)大的防御措施。

另有13%的HTTP DDoS攻擊因可疑或異常的HTTP屬性而被緩解，另外9%的HTTP DDoS攻擊是由虛假瀏覽器或?yàn)g覽器冒充者發(fā)起的。余下的6%為“其他攻擊“，包括針對(duì)登錄端點(diǎn)的攻擊和緩存破壞攻擊。

需要注意的一點(diǎn)是，這些攻擊手段或攻擊組別不一定是互相排斥的。例如，已知的僵尸網(wǎng)絡(luò)也會(huì)偽裝成瀏覽器，并具有可疑的HTTP屬性，但這個(gè)細(xì)分是我們?cè)噲D以有意義的方式對(duì)HTTP DDoS攻擊進(jìn)行歸類。

2024年第三季度DDoS攻擊分布

在第三季度，我們觀察到SSDP放大攻擊與上一季度相比增長(zhǎng)了4000%。SSDP（簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議）攻擊是一種反射放大DDoS攻擊，利用UPnP（通用即插即用）協(xié)議。攻擊者將SSDP請(qǐng)求發(fā)送到脆弱UPnP設(shè)備（例如路由器、打印機(jī)和IP攝像頭），并將源IP地址偽造為受害者的IP地址。這些設(shè)備以大量流量作為響應(yīng)發(fā)送到受害者的IP地址，使受害者的基礎(chǔ)設(shè)施不堪重負(fù)。這種放大效應(yīng)允許攻擊者通過(guò)很小的請(qǐng)求產(chǎn)生巨大的流量，導(dǎo)致受害者的服務(wù)下線。在不必要的設(shè)備上禁用UPnP并使用DDoS緩解策略有助于防御這種攻擊。

SSDP放大攻擊示意圖

-HTTP DDoS攻擊中使用的用戶代理

在發(fā)動(dòng)HTTP DDoS攻擊時(shí)，威脅行為者希望隱藏起來(lái)以避免檢測(cè)。實(shí)現(xiàn)這一點(diǎn)的一種策略是偽造用戶代理。一旦實(shí)現(xiàn)，這可以讓他們顯示為合法的瀏覽器或客戶端。

在第三季度，80%的HTTP DDoS攻擊流量冒充Google Chrome瀏覽器，這是在攻擊中觀察到的最常見(jiàn)用戶代理。具體而言，Chrome 118、119、120和121是最常見(jiàn)的版本。

第二位是沒(méi)有用戶代理的情況，占HTTP DDoS攻擊流量的9%。

第三和第四位是使用Go-http-client和fasthttp用戶代理的攻擊。前者是Go標(biāo)準(zhǔn)庫(kù)中的默認(rèn)HTTP客戶端，后者是一種高性能替代方案。fasthttp用于構(gòu)建快速的Web應(yīng)用程序，但也經(jīng)常用于DDoS攻擊和網(wǎng)頁(yè)抓取。

DDoS攻擊使用的主要用戶代理

用戶代理hackney排在第五位。這是一個(gè)適用于Erlang的HTTP客戶端庫(kù)。它用于發(fā)出HTTP請(qǐng)求，在Erlang/Elixir生態(tài)系統(tǒng)中很流行。

一個(gè)有趣的用戶代理出現(xiàn)在第六位：HITV_ST_PLATFORM。這個(gè)用戶代理似乎與智能電視或機(jī)頂盒有關(guān)。威脅行為者通常會(huì)避免使用不常見(jiàn)的用戶代理，在網(wǎng)絡(luò)攻擊中經(jīng)常使用Chrome用戶代理就是證明。因此，HITV_ST_PLATFORM的存在很可能表明受攻擊設(shè)備確實(shí)是遭到入侵的智能電視或機(jī)頂盒。

排名第七的是uTorrent用戶代理。該用戶代理與用于下載文件的流行BitTorrent客戶端相關(guān)。

最后，盡管okhttp是Java和Android應(yīng)用的常用HTTP客戶端，但其卻是DDoS攻擊中使用最少的用戶代理。

-HTTP攻擊屬性

雖然89%的HTTP DDoS攻擊流量使用了GET方法，它也是最常用的HTTP方法。因此，當(dāng)我們通過(guò)將攻擊請(qǐng)求數(shù)除以每種HTTP方法的總請(qǐng)求數(shù)來(lái)對(duì)攻擊流量進(jìn)行標(biāo)準(zhǔn)化時(shí)，我們看到不同的情況。

使用DELETE方法的所有請(qǐng)求中，近12%是HTTP DDoS攻擊的一部分。除了DELETE之外，我們看到HEAD、PATCH和GET是DDoS攻擊請(qǐng)求中最常用的方法。

雖然80%的DDoS攻擊請(qǐng)求通過(guò)HTTP/2發(fā)出，19%通過(guò)HTTP/1.1發(fā)出，但按版本根據(jù)總流量標(biāo)準(zhǔn)化后，它們所占比例要小得多。如果我們將按版本統(tǒng)計(jì)的攻擊請(qǐng)求占所有請(qǐng)求的比例標(biāo)準(zhǔn)化，我們會(huì)看到截然不同的情況。流向非標(biāo)準(zhǔn)或錯(cuò)誤標(biāo)記的“HTTP/1.2”版本的流量中，超過(guò)一半是惡意的，是DDoS攻擊的一部分。需要注意的是，“HTTP/1.2”并不是該協(xié)議的正式版本。

絕大多數(shù)（接近94%）HTTP DDoS攻擊實(shí)際上是使用HTTPS進(jìn)行加密的。

DDoS攻擊的目標(biāo)

-受攻擊最多的國(guó)家/地區(qū)

中國(guó)是2024年第三季度受攻擊最多的地區(qū)。阿拉伯聯(lián)合酋長(zhǎng)國(guó)排名第二，中國(guó)香港排名第三，緊隨其后的是新加坡、德國(guó)和巴西。

加拿大排名第七，其后是韓國(guó)、美國(guó)，以及排名第10的臺(tái)灣地區(qū)。

-受攻擊最多的行業(yè)

在2024年第三季度，銀行和金融服務(wù)業(yè)是受到最多DDoS攻擊的行業(yè)。位居第二的是信息技術(shù)和服務(wù)，其后是電信、服務(wù)提供商和運(yùn)營(yíng)商。

緊隨其后分別是加密貨幣、互聯(lián)網(wǎng)、泛娛樂(lè)和游戲。十大目標(biāo)行業(yè)的最后幾個(gè)分別是消費(fèi)電子、建筑與土木工程以及零售。

DDoS攻擊的來(lái)源

-威脅行為者

幾年來(lái)，我們一直在對(duì)遭受DDoS攻擊的客戶進(jìn)行調(diào)查。攻擊調(diào)查涵蓋各種因素，例如攻擊的性質(zhì)和和威脅行為者。對(duì)于威脅行為者，80%的受訪者表示不知道是誰(shuí)攻擊了他們，但20%的受訪者表示知道。其中，32%的受訪者表示威脅行為者是勒索者。另有25%的受訪者表示，他們受到了競(jìng)爭(zhēng)對(duì)手的攻擊，21%的受訪者表示心懷不滿的客戶或用戶是幕后黑手。14%的受訪者表示，這些攻擊是由國(guó)家或政府支持的組織發(fā)動(dòng)的。最后，7%的受訪者表示，他們錯(cuò)誤地攻擊了自己-自我DDoS攻擊的一個(gè)例子是，IoT設(shè)備固件更新后，所有設(shè)備在同一時(shí)間回傳數(shù)據(jù)，導(dǎo)致流量泛濫。

主要威脅行為者的分布

勒索者是最常見(jiàn)的威脅行為者，而總體上，勒索DDoS攻擊報(bào)告數(shù)量環(huán)比減少了42%，但同比增長(zhǎng)了17%。7%的受訪者報(bào)稱遭到勒索DDoS攻擊或被攻擊者威脅。然而，在8月，這一數(shù)字上升到10%——也就是說(shuō)每十個(gè)中就有一個(gè)。

勒索DDoS攻擊的季度分布

-DDoS攻擊的主要來(lái)源

印度尼西亞是2024年第三季度的最大DDoS攻擊來(lái)源地。荷蘭是第二大來(lái)源，其后是德國(guó)、阿根廷和哥倫比亞。

接下來(lái)的五最大來(lái)源包括新加坡、中國(guó)香港、俄羅斯、芬蘭和烏克蘭。

-主要DDoS攻擊來(lái)源網(wǎng)絡(luò)

對(duì)于運(yùn)營(yíng)自有網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的服務(wù)提供商，可能很難識(shí)別誰(shuí)在使用其基礎(chǔ)設(shè)施進(jìn)行惡意用途，例如產(chǎn)生DDoS攻擊。因此，我們向網(wǎng)絡(luò)運(yùn)營(yíng)商提供免費(fèi)的威脅情報(bào)源。該情報(bào)源向服務(wù)提供商提供有關(guān)其網(wǎng)絡(luò)中參與后續(xù)DDoS攻擊的IP地址相關(guān)信息。

在這方面，總部位于德國(guó)的IT提供商Hetzner（AS24940）是2024年第三季度最大的HTTP DDoS攻擊來(lái)源。2022年被Akamai收購(gòu)的云計(jì)算平臺(tái)Linode（AS63949）是HTTP DDoS攻擊的第二大來(lái)源。位于佛羅里達(dá)州的服務(wù)提供商Vultr（AS64515）排名第三。

另一家德國(guó)IT提供商N(yùn)etcup（AS197540）排名第四。Google Cloud Platform（AS15169）緊隨其后，排名第五。DigitalOcean（AS14061）排第六位，其后是法國(guó)提供商O(píng)VH（AS16276）、Stark Industries（AS44477）、Amazon Web Services（AS16509）和Microsoft（AS8075）。

2024年第三季度HTTP DDoS攻擊的最大來(lái)源網(wǎng)絡(luò)

-關(guān)鍵要點(diǎn)

第三季度期間，我們觀察到超大容量DDoS攻擊空前激增，峰值達(dá)到3.8 Tbps和2.2 Bpps。這與去年同期趨勢(shì)相似，當(dāng)時(shí)HTTP/2 Rapid Reset活動(dòng)中的應(yīng)用層攻擊峰值超過(guò)了2億次請(qǐng)求/秒（Mrps）。這些大規(guī)模攻擊能夠壓垮互聯(lián)網(wǎng)資產(chǎn)，特別是那些依賴容量有限的云服務(wù)或本地解決方案的互聯(lián)網(wǎng)資產(chǎn)。

在地緣政治緊張局勢(shì)和全球事件的推動(dòng)下，越來(lái)越多強(qiáng)大的僵尸網(wǎng)絡(luò)被使用，擴(kuò)大了面臨風(fēng)險(xiǎn)的組織范圍——其中許多過(guò)去并不被認(rèn)為是DDoS攻擊的主要目標(biāo)。不幸的是，太多組織在攻擊已經(jīng)造成重大損害后才被動(dòng)地部署DDoS防護(hù)。

我們的觀察證實(shí)，如果企業(yè)擁有充分準(zhǔn)備、全面的安全策略，在抵御這些網(wǎng)絡(luò)威脅時(shí)的韌性就會(huì)強(qiáng)大得多。Cloudflare致力于保護(hù)您的互聯(lián)網(wǎng)存在。通過(guò)積極投資于自動(dòng)化防御系統(tǒng)和強(qiáng)大的安全產(chǎn)品組合，我們確保積極主動(dòng)地防范當(dāng)前和新興威脅——可讓您高枕無(wú)憂。