過去十年DDoS攻擊規(guī)模演變概述

分布式拒絕服務（DDoS）攻擊是一種網絡攻擊，旨在壓垮和破壞在線服務，使用戶無法訪問這些服務。通過利用分布式設備網絡，DDoS攻擊會向目標系統(tǒng)發(fā)送過多請求，消耗其帶寬或耗盡計算資源，直至發(fā)生故障。這些攻擊對未受保護的站點非常有效，而且攻擊者發(fā)動攻擊的成本相對較低。盡管DDoS攻擊是最古老的攻擊類型之一，但它仍然是一個持續(xù)的威脅，通常針對知名或高流量的網站、服務或關鍵基礎設施。自2024年初以來，Cloudflare已經緩解了超過1450萬次DDoS攻擊、平均每小時2200次DDoS攻擊。（我們于近期發(fā)布的《2024年第三季度DDoS威脅報告》中包含了更多相關統(tǒng)計數據）。

如果我們查看與過去10年緩解的大型攻擊相關的指標，得出的數據圖表中是會顯示一條穩(wěn)步增長的指數曲線并在過去幾年里越來越陡峭？還是更接近于線性增長？-事實是增長不是直線式的，而是指數曲線，斜率取決于我們正在查看的指標。

為什么要討論這個問題？答案很簡單-為了解攻擊者不斷演變的思路及策略、其工具的復雜程度，以及這些信息可以為防御機制的準備程度提供寶貴的見解。

例如，每秒請求數（rps）呈上升曲線表明攻擊者正在更改其端側的某些內容，從而能夠生成大量請求。這一發(fā)現(xiàn)提示我們進行更多調查并查看其他數據，以了解是否有任何新情況發(fā)生。

例如，在其中一個時刻，我們查看了流量來源，發(fā)現(xiàn)從訂閱者/企業(yè)IP地址空間（表明是IoT）轉移到了云提供商IP地址空間（表明是VM），并意識到攻擊者使用的設備類型和功能發(fā)生了變化。

再舉一個例子：當HTTP/2 Rapid Reset攻擊發(fā)生時，當時每秒創(chuàng)紀錄的請求數表明攻擊者正在采用一種新技術，促使我們迅速調查正在執(zhí)行的操作并調整我們的防御措施。

定義單次攻擊

對單個攻擊的時間劃分出奇的模糊。首先，攻擊分析可能會在OSI模型的不同層提供不一致的觀察結果。對于同一攻擊，在所有這些不同層看到的足跡可能展現(xiàn)的是不同的情況。然而，我們可以將一些變量組合在一起來創(chuàng)建一個指紋，并對一系列事件進行分組，從而確定它們是否屬于同一次攻擊。示例包括：

-我們是否發(fā)現(xiàn)這組事件使用了相同的攻擊手段？

-所有攻擊事件是否都針對相同的目標？

-事件的有效負載是否共用相同的簽名？（特定數據有效負載或請求類型是特定攻擊或僵尸網絡所獨有的，例如Mirai，它可能使用獨特的HTTP請求標頭或數據包結構。）

DDoS攻擊規(guī)模

在深入分析過去10年DDoS攻擊的增長情況之前，讓我們先回顧一下通常用于衡量DDoS攻擊的指標：每秒請求數（rps）、每秒數據包數（pps）和每秒比特數（bps）。每個指標都反映了攻擊規(guī)模和影響的不同方面。

-每秒請求數（rps）：衡量每秒發(fā)出的HTTP或類似協(xié)議請求數。此指標與應用程序層攻擊（第7層）特別相關，此類攻擊的目的是使用超過其處理能力的請求數來壓垮特定應用程序或服務。該指標對于衡量針對Web服務器、API或應用程序的攻擊非常有用，因為它反映的是請求量，而不僅僅是原始數據傳輸量。

-每秒數據包數（pps）：表示每秒發(fā)送到目標的單個數據包的數量，無論其大小如何。此指標對于網絡層攻擊（第3層和第4層）至關重要，此類攻擊的目標是使用超出其數據包處理能力的數據包量來壓垮網絡基礎設施。pps測量值對于容量耗盡攻擊非常有用，可以識別可能影響路由器、交換機或防火墻的數據包數量。

-每秒比特數（bps）：該指標衡量的是每秒傳輸的總數據量，尤其適用于評估旨在使目標或其上游提供商的帶寬飽和的網絡層攻擊。bps廣泛用于衡量第3層和第4層攻擊，例如UDP洪水攻擊，此類攻擊旨在阻塞網絡帶寬。該指標在DDoS攻擊中通常尤為重要，因為高bps值（通常以GB或TB為單位）表示帶寬飽和，這是大規(guī)模DDoS活動的共同目標。

過去十年DDoS攻擊規(guī)模的演變

那么，過去十年間DDoS攻擊規(guī)模有何變化？

-過去十年中，DDoS攻擊規(guī)模越來越大，攻擊強度也越來越迅猛，每年都有可能造成更嚴重的破壞。

縱觀過去十年間與大型攻擊相關的指標，是呈指數曲線穩(wěn)定增長并不斷變得陡峭（特別是在過去幾年里），還是更接近于線性增長？

-我們發(fā)現(xiàn)它是呈指數曲線增長的，在下文中我們會進一步闡述得出這一結論的原因：

在本次分析中，我們使用了Google在2010年到2022年間觀察到的攻擊作為基線（圖1），再加上Cloudflare在2023年和2024年觀察到的攻擊事件（圖2）。

回顧過去，在21世紀10年代初期，最大規(guī)模的攻擊以每秒千兆位（Gbps）為單位，但如今，攻擊以每秒太比特（Tbps）為單位。正如我們觀測到的，如今每秒請求數（rps）和每秒比特數（bps）也在顯著增加。

下方圖1中顯示的Google歷史數據表明，在2010年至2022年期間觀察到的DDoS攻擊中，每秒請求數呈上升趨勢，在2020年達到每秒600萬個請求（Mrps）的峰值。這一增長凸顯了這十年間攻擊量的顯著增加。

圖1：2010-2022年已知最大的DDoS攻擊。（來源：Google）

圖2（下圖）展示了不同指標的趨勢。Google統(tǒng)計數據中的上升趨勢也體現(xiàn)在Cloudflare 2023年和2024年觀察到且已緩解的大規(guī)模DDoS攻擊數據中，在2024年9月達到201 Mrps（綠線）。每秒數據包數（pps）的速率（藍線）隨著時間的推移呈現(xiàn)輕微的指數增長，從2015年的230 Mpps上升到2024年的2，100 Mpps，這表明攻擊者正在實現(xiàn)更高的吞吐量。每秒比特數（bps）的趨勢線也是指數曲線，并且更為陡峭（紅線），從2013年的309 Gbps級攻擊發(fā)展到2024年的5.6 Tbps（5，600 Gbps）級攻擊。

在過去十年間，推動這些指標的攻擊顯著增長：

-2013年至2024年期間，每秒比特數增長了20倍

-2015年至2024年期間，每秒數據包數增長了10倍

-2014年到2024年期間，每秒請求數增長了70倍

圖2：圖1中的數據加上Cloudflare在2023年和2024年觀察到的大規(guī)模攻擊。

表1中列出的博客文章重點介紹了我們在2021年至2024年期間觀察到的一些攻擊。

表1：Cloudflare在2021-2024年期間觀察到的值得注意的DDoS攻擊。

Cloudflare學習中心中提供了過去十年發(fā)生的其他重大高流量DDoS攻擊的概述，包括2018年的Memcached濫用和2023年的HTTP/2“Rapid Reset”攻擊。

攻擊持續(xù)時間指標

攻擊持續(xù)時間并不是衡量攻擊強度的有效指標，因為確定單次攻擊或攻擊活動的持續(xù)時間具有挑戰(zhàn)性，這是因為它們可能具有間歇性，可能同時使用多種攻擊手段，或者隨著時間的推移而觸發(fā)不同的防御層。

攻擊模式可能差異很大，有些只有一個大的峰值，而另一些則包含多個緊密聚集的峰值，或者在一段時間內保持連續(xù)負載，以及其他不斷變化的特征。

用于發(fā)起攻擊的設備類型趨勢

DDoS攻擊正逐漸從基于IoT的僵尸網絡轉向更強大的基于VM的僵尸網絡。這種變化主要是因為云托管虛擬機具有更高的計算能力和吞吐量，這讓攻擊者能夠使用更少的設備發(fā)動更大規(guī)模攻擊。

這種轉變是由多種因素促成的：VM僵尸網絡比IoT僵尸網絡更容易建立，因為它們不一定需要大范圍的惡意軟件感染，因為攻擊者可以使用從數據泄露或Magecart攻擊中竊取的支付信息匿名將它們部署在云提供商基礎設施上。

這一趨勢表明DDoS攻擊策略正在演變，因為攻擊者利用虛擬機的處理能力和對云資源的匿名訪問，使得更小、更高效的僵尸網絡能夠發(fā)動更大規(guī)模攻擊，省去了感染和管理大量IoT設備所帶來的復雜性。

Cloudflare如何幫助防御DDoS攻擊？

Cloudflare的全球連通云建立在我們廣泛的Anycast全球網絡上，通過利用自動檢測、流量分配和快速響應功能，在防御DDoS攻擊方面發(fā)揮著至關重要的作用。以下是其增強DDoS防護的方法：

自動攻擊檢測和緩解：Cloudflare的DDoS防護在很大程度上依賴于自動化，使用機器學習算法實時識別可疑流量模式。通過自動化檢測過程，Cloudflare可以快速識別和阻止DDoS攻擊，而無需人工干預，這一點在抵御足以壓垮人類響應者的大規(guī)模攻擊時至關重要。

使用IP Anycast進行全球流量分配：Cloudflare的網絡覆蓋全球330多座城市，DDoS流量會在我們的多個數據中心之間分散。IP Anycast使我們能夠在整個全球網絡中分配流量，這種廣泛的分布有助于吸收和緩解大規(guī)模攻擊，因為攻擊流量不會流向單個點，從而減輕了單個服務器和網絡的壓力。

分層防御：Cloudflare的全球連通云提供跨多個層的防御，包括網絡層（第3層）、傳輸層（第4層）和應用程序層（第7層）。這種分層方法允許根據攻擊類型部署定制化的防御策略，確保能有效緩解復雜的多層攻擊。歡迎閱讀我們的DDoS防護文檔，進一步了解第3層、第4層和第7層的DDoS防護策略。

不計量的DDoS緩解：Cloudflare自2017年以來率先采用這種方法來確?；ヂ?lián)網安全，提供不計量的DDoS防護，這意味著客戶可以在攻擊期間受到保護，而無需擔心帶寬或成本限制。這種方法有助于確保擁有不同規(guī)?；蝾A算的企業(yè)都能受益于強大的DDoS防護。

Cloudflare的分布式云基礎設施和先進技術使我們能夠以可擴展且響應迅速的方式檢測、吸收和緩解DDoS攻擊，避免停機并保持服務可靠性，與傳統(tǒng)方案選項相比，這提供了強大的解決方案來應對不斷上升的DDoS攻擊強度和頻率。

對于任何規(guī)模的企業(yè)及組織來說，防范DDoS攻擊都至關重要。雖然這些攻擊是由人類發(fā)起的，但它們是由機器人執(zhí)行的，因此有效的防御需要自動化工具來對抗機器人驅動的威脅。實時檢測和緩解應盡可能自動化，僅依靠人工干預會使防御者處于不利地位，因為攻擊者會適應新的障礙，且能夠改變攻擊手段、流量行為、惡意有效負載簽名等，從而產生不可預測的情況，致使一些手動配置變得毫無用處。Cloudflare的自動化系統(tǒng)會代表我們的客戶持續(xù)識別和阻止DDoS攻擊，從而提供滿足不同需求的定制化防護方案。

我們的使命是幫助構建更好的互聯(lián)網，而在面對DDoS威脅時提供彈性是完成這一使命的一部分。