2023年第一季度DDoS威胁报告(下)

来源: Cloudflare
作者:Cloudflare
时间:2023-05-15
1076
2023年伊始,威胁行为者就发动了一系列重大攻击。年初出现了一系列针对西方目标(包括银行、机场、医疗和大学)的黑客活动,主要由通过Telegram组织的Killnet以及最近的AnonymousSudan发动。

主要目标行业

全球范围内,按总带宽计算,互联网公司遭受到最多HTTP DDoS攻击流量。排在其后的是营销和广告行业、计算机软件行业、游戏/泛娱乐和电信行业。

640.png

HTTP DDoS攻击的主要目标行业

(攻击流量占所有行业总流量的百分比)

根据攻击流量占行业总流量的百分比,非营利组织是今年第一季度受攻击最多的行业,其次是会计事务所。尽管针对医疗保健行业的攻击有所增长,但该行业并没有进入前十名。另外,化学、政府和能源公用事业和废物处理行业前列。在美国,到美国联邦政府网站的所有流量中,近2%是DDoS攻击流量。

640 (1).png

HTTP DDoS攻击的主要目标行业

(攻击流量占该行业总流量的百分比)

按区域划分,游戏/泛娱乐行业是亚洲、欧洲和中东地区受攻击最多的行业。在南美和中美地区,银行、金融服务和保险(BFSI)行业是受攻击最多的行业。在北美地区,营销和广告行业是受攻击最多的行业,其次是电信行业。而在非洲地区,电信行业是受攻击最多的行业。最后,在大洋洲地区,医疗和健身行业是HTTP DDoS攻击最多的行业。

640 (2).png

在OSI模型的更低层,按L3/4攻击的总流量计算,受攻击最多的行业是信息技术与服务、游戏/泛娱乐和电信行业。

640 (3).png

L3/4 DDoS攻击的主要目标行业

(攻击流量占所有行业总DDoS流量的百分比)

将攻击流量与每个行业的总流量进行比较时,情况有所不同。发送到广播媒体公司的流量中,接近一半为L3/4 DDoS攻击流量。

640 (4).png

L3/4 DDoS攻击的主要目标行业

(攻击流量占该行业总流量的百分比)

攻击来源

·主要来源国家/地区

根据攻击流量占该国总流量的百分比,在2023年第一季度,芬兰是HTTP DDoS攻击的最重要来源国家。紧随芬兰之后,英属维尔京群岛排名第二,利比亚和巴巴多斯分别排名第三和第四。

640 (5).png

HTTP DDoS攻击的主要来源国家/地区

(攻击流量占该国总流量的百分比)

就绝对流量而言,大部分HTTP DDoS攻击流量来自美国IP地址。中国位列第二,其后是德国、印度尼西亚、巴西和芬兰。

640 (6).png

HTTP DDoS攻击的主要来源国家

(占全球攻击总流量的百分比)

就L3/4 DDoS攻击流量而言,越南是最大的来源国家。在我们的越南数据中心,接收到的L3/4流量中近三分之一为攻击流量。排在越南之后的是巴拉圭、摩尔多瓦和牙买加。

640 (7).png

L3/4 DDoS攻击的主要来源国家/地区

(攻击流量占该国总流量的百分比)

我们观察到的攻击类型和规模

·攻击规模和持续时间

从针对我们的客户和我们自己的网络和应用发起的攻击类型来看,大多数攻击都是短暂且规模较小的;86%的网络层DDoS攻击持续时间不到10分钟,而且91%的攻击从未超过500 Mbps。

640 (8).png

网络层DDoS攻击:持续时间分布

50次攻击中仅一次超过10 Gbps,1000次攻击中仅一次超过100 Gbps。

640 (9).png

网络层DDoS攻击按比特率分布

尽管如此,较大规模攻击的数量和频率正在缓慢增加。上个季度,超过100 Gbps的攻击数量环比增长了67%。本季度,超过100 Gbps的攻击数量增幅放缓至6%,但仍在增长。实际上,除了大多数攻击所属的“小型”类别以外,所有容量耗尽型攻击均有所增加,如下图所示。最大增长来自10-100 Gbps范围内的攻击,较上季度增长了89%。

640 (11).png

网络层DDoS攻击按规模分布:季度环比变化

·攻击手段

本季度,我们观察到一个重大变化。SYN洪水以22%的份额滑落到第二位,使基于DNS的DDoS攻击成为最流行的攻击手段(30%)。近三分之一的L3/4 DDoS攻击是基于DNS的攻击,包括DNS洪水或DNS放大/反射攻击。紧随其后,基于UDP的攻击占21%,位居第三。

640.png

主要DDoS攻击手段

·新兴威胁

每个季度我们都会看到旧的,甚至是古老的攻击手段反复出现。由此可见,即使是十年前的漏洞仍然被利用来发动攻击。威胁行为者正在循环和重复使用旧的方法——也许是希望组织已经放弃了针对较旧方法的保护。

在2023年第一季度,基于SPSS的DDoS攻击、DNS放大攻击和基于GRE DDoS攻击大幅增加。

640 (1).png

主要的新兴DDoS威胁

·基于SPSS的DDoS攻击较上季度增长1565%

统计产品与服务解决方案(SPSS)是IBM开发的软件套件,用于数据管理、商业智能和刑事调查等用例。Sentinel RMS许可证管理器服务器用于管理诸如IBM SPSS系统之类的软件产品的许可证。早在2021年,Sentinel RMS许可证管理器服务器中发现了两个漏洞(CVE-2021-22713和CVE-2021-38153),可被利用发动反射DDoS攻击。攻击者可以向服务器发送大量特别构造的许可请求,导致服务器生成比原始请求大得多的响应。该响应被发送回受害者的IP地址,有效放大攻击的规模,用流量淹没受害者的网络。这种类型的攻击被称为反射DDoS攻击,它可能会对依赖Sentinel RMS许可证管理器的软件产品的可用性造成重大影响,例如IBM SPSS Statistics。为防止这些漏洞被利用并有效防御反射DDoS攻击,必须对许可证管理器打上可用的补丁。

·DNS放大DDoS攻击较上季度增长了958%

DNS放大攻击是一种DDoS攻击,利用域名系统(DNS)基础设施中的漏洞来产生大量针对受害者网络的流量。攻击者向已被错误配置而允许任何来源的递归查询的开放DNS解析器发送DNS请求,并使用这些请求生成比原始查询大得多的响应。然后,攻击者假冒受害者的IP地址,导致大规模响应被定向到受害者的网络,用流量淹没后者并导致拒绝服务。缓解DNS放大攻击的挑战在于很难区分攻击流量与合法流量,使得在网络层阻止攻击变得困难。为了缓解DNS放大攻击,组织可以采取一些措施,例如正确配置DNS解析器、实施速率限制技术,并使用流量过滤工具阻止已知攻击来源的流量。

·基于GRE的DDoS攻击较上季度增长835%

基于GRE的DDoS攻击利用通用路由封装(GRE)向受害者的网络发送大量流量以将其淹没。攻击者在被入侵的主机之间创建多个GRE隧道,以向受害者的网络发送流量。这些攻击很难检测和过滤,因为流量在受害者的网络上看起来像合法流量。攻击者还可以使用源IP地址欺骗,使流量看似来自合法来源,使得在网络层阻止攻击变得困难。基于GRE的DDoS攻击给目标组织造成多种风险,包括停机、业务运营中断以及潜在的数据盗窃或网络渗透。缓解这些攻击需要使用先进的流量过滤工具,可以基于攻击流量的特征进行检测和阻止,同时使用速率限制和源IP地址过滤等技术来阻止已知攻击来源的流量。

DDoS威胁趋势

近几个月来,在各行各业,持续时间较长、规模较大的DDoS攻击有所增加,其中容量耗尽型攻击尤其突出。非营利和广播媒体公司是部分受到最多攻击的行业。DNS DDoS攻击也越来越普遍。

由于DDoS攻击通常是由僵尸网络执行,因此自动化的检测和缓解对于有效的防御至关重要。Cloudflare的自动化系统持续为客户检测和缓解DDoS攻击,让其专注于业务的其他方面。我们认为,DDoS保护应该易于为各种规模的组织所用,并自2017以来一直提供免费、无限的保护。

Cloudflare的使命是帮助构建更好的互联网,而更好的互联网就是对每个人都更安全、更快和更可靠。

有关报告统计方法的说明

我们如何计算勒索DDoS攻击洞察

Cloudflare的系统不断分析流量,并在检测到DDoS攻击时自动应用缓解措施。每个遭到攻击的客户都会收到自动调查的提示,以帮助我们更好地了解攻击的性质和缓解是否成功。两年多来,Cloudflare一直对受到攻击的客户进行调查。调查的问题之一是客户是否收到威胁或勒索信。过去两年来,我们平均每个季度收集到167份答卷。本调查的答卷用于计算勒索DDoS攻击的比例。

我们如何计算地域和行业洞察

来源国家/地区

在应用层,我们使用攻击IP地址来了解攻击的来源国家/地区。这是因为,应用层的IP地址不能伪造(更改)。然而,网络层的来源IP地址可以被伪造。因此,我们不依赖IP地址来了解来源,而是使用接收到攻击数据包的数据中心位置。由于在全球超过285个地点的广泛覆盖,我们能够获得准确的地理位置。

目标国家/地区

对于应用层和网络层DDoS攻击,我们均使用客户账单国家/地区来分类攻击和流量。这让我们了解哪些国家/地区受到更多攻击。

目标行业

对于应用层和网络层DDoS攻击,我们均使用客户关系管理系统中的客户行业来分类攻击和流量。这让我们了解哪些行业受到更多攻击。

总流量vs.百分比

对于来源和目标分析,我们通常将攻击流量和总流量的比较作为一个数据点。另外,我们还考虑流向或从特定国家/地区到特定国家/地区或特定行业的攻击流量占总流量的比例。这可以提供某个国家/地区或行业的“攻击活动率”,根据其总流量水平进行标准化。这种方法有助于消除某个国家/地区或行业因为其本身流量很大、攻击流量也很大而产生的偏差。

我们如何计算攻击特征

为了计算攻击大小、持续时间、攻击手段和新兴威胁,我们通常会将攻击分组,然后为每个维度提供每个分组所占总量的比例。

一般免责声明和澄清

当我们描述作为攻击来源或目标的主要国家/地区时,这并不一定意味着该国家/地区作为一个整体被攻击,而是指使用该国家作为账单国家的组织受到了攻击。同样地,攻击源于某个国家/地区并不意味着该国家/地区发动了攻击,而是指攻击是从被映射到该国家/地区的IP地址发起的。威胁行为者使用节点遍布全球的僵尸网络,很多情况下也使用虚拟专用网络(VPN)和代理来混淆自己的真实位置。因此,来源国家/地区可能表明该国家/地区存在出口节点或僵尸网络节点。

立即登录,阅读全文
版权说明:
本文内容来自于Cloudflare,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(zzx@kchuhai.com)删除!
优质服务商推荐
更多
扫码登录
打开扫一扫, 关注公众号后即可登录/注册
加载中
二维码已失效 请重试
刷新
账号登录/注册
个人VIP
小程序
快出海小程序
公众号
快出海公众号
商务合作
商务合作
投稿采访
投稿采访
出海管家
出海管家