欢迎阅读Cloudflare的第17版DDoS威胁报告。本版涵盖2024年第一季度期间从Cloudflare网络观察到的DDoS威胁形势以及主要发现。
什么是DDoS攻击?
但首先让我们快速回顾一下。DDoS攻击是分布式拒绝服务攻击的简称,这是一种网络攻击,旨在使网站或移动应用程序等互联网服务瘫痪或中断,导致用户无法使用。DDoS攻击一般通过向受害者的服务器发送超出其处理能力的流量来实施。
如何访问往期报告
温馨提示:您可在Cloudflare博客上访问以往版本的DDoS威胁报告。这些报告也可在我们的交互式中心Cloudflare Radar上找到。Radar提供有关全球互联网流量、攻击的信息,以及技术趋势和见解,并具有向下钻取和过滤功能,以便您聚焦到特定的国家/地区、行业和网络。我们还提供一个免费API,以便学者、数据研究院和其他Web爱好者调查全球互联网趋势。
2024年第一季度关键洞察
2024年第一季度的关键洞察包括:
2024年以轰轰烈烈的方式开始:Cloudflare的防御系统在第一季度自动缓解了450万次DDoS攻击,同比增长了50%。
基于DNS的DDoS攻击同比增长了80%,仍然是最主要的攻击手段。
瑞典加入北约后,针对该国的DDoS攻击激增了466%,类似于芬兰2023年加入北约时观察到的模式。
2024年以轰轰烈烈的方式开始
2024年第一季度才刚刚结束,我们的自动化防御系统就已经缓解了450万次DDoS攻击,相当于我们2023年缓解DDoS攻击总数的32%。
按攻击类型细分,HTTP DDoS攻击同比增长93%,环比增长51%。网络层DDoS攻击,即L3/4 DDoS攻击同比增长28%,环比增长5%。
2024年第一季度:Cloudflare缓解了450万次DDoS攻击
通过比较HTTP DDoS攻击和L3/4 DDoS攻击的合计数量,2024年第一季度攻击总数同比增长了50%,环比增长了18%。
DDoS攻击统计数据(分年度和季度)
第一季度期间,我们的系统总共缓解了10.5万亿个HTTP DDoS攻击请求。我们的系统还缓解了超过59 PB的DDoS攻击流量——仅在网络层。
在这些网络层DDoS攻击中,许多攻击的速率超过了1 Tbps,几乎每周都有。2024年迄今为止我们缓解的最大规模攻击是由Mirai变种僵尸网络发起的。这一攻击达到2 Tbps,目标是一家受Cloudflare Magic Transit保护的亚洲托管服务提供商。Cloudflare的系统自动检测并缓解了攻击。
Mirai僵尸网络因其大规模DDoS攻击而臭名昭著,它主要由受感染的物联网(IoT)设备组成。在2016年,一个Mirai僵尸网络通过对DNS服务提供商发动攻击导致美国各地的互联网访问中断。将近八年过去了,Mirai僵尸网络攻击仍然非常普遍。每100次DDoS HTTP攻击中有四次,每100次L3/4攻击有两次是由Mirai变体僵尸网络发起的。我们之所以说“变体”,是因为Mirai源代码已被公开,多年来出现了基于原始代码的许多变体。
Mirai僵尸网络针对亚洲托管服务提供商发动2 Tbps DDoS攻击
DNS攻击激增80%
我们于近期推出了最新的DDoS防御系统之一——Advanced DNS Protection系统。这是对我们现有系统的补充,旨在防御最复杂的基于DNS的DDoS攻击。
我们决定投资开发这个新系统并非心血来潮。基于DNS的DDoS攻击已成为最主要的攻击手段,在所有网络层攻击中所占比例继续增长。2024年第一季度,基于DNS的DDoS攻击同比增长80%,占比达到约54%。
基于DNS的DDoS攻击(分年度和季度)
尽管DNS攻击激增,但值得注意的是,由于所有类型的DDoS攻击总体都进一步增加了,每种攻击类型的占比仍然与我们的2023年第四季度报告中所见相同。HTTP DDoS攻击在DDoS攻击总数中的比例保持在37%,DNS DDoS攻击占33%,余下30%为所有其他类型的L3/4攻击,例如SYN Flood和UDP Flood。
攻击类型分布
而且事实上,SYN Flood是第二种最常见的L3/4攻击。排名第三的是RST Flood,这是另一种基于TCP的DDoS攻击。UDP Flood排名第四,占6%。
主要攻击手段
在分析最常见的攻击手段时,我们还会查看那些增长最快、但不一定进入前十名的攻击手段。在增长最快的攻击手段(新兴威胁)中,Jenkins Flood季度环比增长超过826%。
Jenkins Flood是一种DDoS攻击,利用Jenkins自动化服务器中的漏洞,特别是通过UDP多播/广播和DNS多播服务。攻击者可以向Jenkins服务器的公共UDP端口发送精心制作的小型请求,导致服务器以不合比例的大量数据进行响应。此举可显著放大流量,使目标网络不堪重负并导致服务中断。Jenkins在2020年通过在后续版本中默认禁用这些服务来解决了这个漏洞(CVE-2020-2100)。然而,如我们所见,即使4年后,这个漏洞仍在被滥用以发动DDoS攻击。
季度环比增长最快的攻击手段
HTTP/2 Continuation Flood
另一种值得讨论的攻击手段是HTTP/2 Continuation Flood。研究人员Bartek Nowotarski在2024年4月3日发现并公开的一个漏洞使这种攻击手段成为可能。
HTTP/2 Continuation Flood漏洞的目标是未正确处理HEADERS和多个CONTINUATION帧的HTTP/2协议实现。威胁行为者发送一系列不带END_HEADERS标志的CONTINUATION帧,导致潜在的服务器问题,例如内存不足崩溃或CPU耗尽。HTTP/2 Continuation Flood可以做到通过仅允许单台机器就能够破坏使用HTTP/2的网站和API,但由于HTTP访问日志中没有可见的请求,这种攻击难以被发现。
这个漏洞构成的潜在严重威胁比之前已知的HTTP/2 Rapid Reset更具破坏性,这种攻击手段导致了历史上一些最大规模的HTTP/2 DDoS攻击活动。其中一次活动中,数千次超大规模DDoS攻击以Cloudflare为目标。这些攻击的速率高达数百万次请求/秒(rps)。根据Cloudflare记录,本轮活动的平均攻击速率为3000万rps。其中大约89次攻击的峰值超过1亿rps,我们看到的规模最大的一次攻击达到2.01亿rps。
2023年第三季度的HTTP/2 Rapid Reset超大规模DDoS攻击活动
Cloudflare的网络、其HTTP/2实现,以及使用我们的WAF/CDN服务的客户不受此漏洞的影响。此外,我们目前没有发现互联网上有任何威胁行为者利用此漏洞。
多个CVE已被分配给受此漏洞影响的各种HTTP/2实现。卡内基梅隆大学的Christopher Cullen发布的一个CERT警报(Bleeping Computer对此进行了报道)已经列出了各种CVE:
受攻击最多的行业
在分析攻击统计数据时,我们使用系统中记录的客户行业来确定受攻击最多的行业。2024年第一季度,北美地区受到最多HTTP DDoS攻击的行业是营销和广告行业。在非洲和欧洲,信息技术和互联网行业受到最多攻击。在中东,受攻击最多的行业是计算机软件。亚洲受攻击最多的行业是游戏和泛娱乐。在南美,受攻击最多的是银行、金融服务和保险(BFSI)。最后(但并非最不重要),大洋洲受到最多攻击的行业是电信。
受到最多HTTP DDoS攻击的行业(分地区)
在全球范围内,游戏和泛娱乐是HTTP DDoS攻击第一大目标。Cloudflare缓解的每100个DDoS请求中,超过7个是针对游戏和泛娱乐行业。第二位是信息技术和互联网行业,第三位是营销和广告行业。
受HTTP DDoS攻击最多的行业
信息技术和互联网行业是网络层DDoS攻击的第一大目标,占网络层DDoS攻击字节总数的75%。这一巨大比例的一个可能解释是信息技术和互联网公司可成为攻击的“超级聚合者”,它们受到的DDoS攻击实际上是针对其最终客户的。其次是电信、银行、金融服务和保险(BFSI)、游戏和泛娱乐以及计算机软件,合计占3%。
受L3/4 DDoS攻击最多的行业
通过将攻击流量除以给定行业的总流量来对数据进行标准化,我们会得到完全不同的状况。在HTTP方面,律师事务所和法律服务是受到最多攻击的行业,其流量中超过40%是HTTP DDoS攻击流量。生物技术行业位居第二,HTTP DDoS攻击流量占比达到20%。第三位是非营利组织,HTTP DDoS攻击占比13%。航空和航天排名第四,前十的其他行业依次为交通运输、批发、政府关系、电影、公共政策和成人娱乐。
受HTTP DDoS攻击最多的行业(标准化后)
回到网络层,标准化后信息技术和互联网仍然是受到L3/4 DDoS攻击最多的行业,其流量中近三分之一为攻击流量。第二位是纺织行业,攻击流量占比为4%。土木工程排名第三,前十的其他行业依次是银行、金融服务和保险(BFSI)、军事、建筑、医疗器械、国防和航天、游戏和泛娱乐,最后是零售。
受L3/4 DDoS攻击最多的行业(标准化后)
DDoS攻击的最大来源
在分析HTTP DDoS攻击的来源时,我们通过查看源IP地址以确定这些攻击的来源位置。某个国家/地区成为大量攻击的来源地,表明在虚拟专用网络(VPN)或代理端点后面很可能存在大量僵尸网络节点,可被攻击者利用来混淆其来源。
在2024年第一季度,美国是HTTP DDoS攻击流量的最大来源,所有DDoS攻击请求的五分之一来自美国IP地址。中国位居第二,其后是德国、印度尼西亚、巴西、俄罗斯、伊朗、新加坡、印度和阿根廷。
HTTP DDoS攻击的主要来源
在网络层,源IP地址可被伪造。因此我们不依赖于IP地址来了解来源,而是使用我们接收到攻击流量的数据中心位置。由于Cloudflare的网络覆盖全球310多个城市,我们可以获得准确的地理位置。
通过使用我们的数据中心位置,我们可以看到,2024年第一季度期间超过40%的L3/4 DDoS攻击流量被我们的美国数据中心接收,使美国成为L3/4攻击的最大来源。远远落后的第二位是德国,占6%,其后是巴西、新加坡、俄罗斯、韩国、中国香港、英国、荷兰和日本。
L3/4 DDoS攻击的主要来源
通过将攻击流量除以给定国家或地区的总流量来标准化数据,我们得到一个完全不同的排名。来自直布罗陀的HTTP流量中有近三分之一是DDoS攻击流量,使其成为最大的来源。第二名是圣赫勒拿,其后是英属维尔京群岛、利比亚、巴拉圭、马约特、赤道几内亚、阿根廷和安哥拉。
HTTP DDoS攻击的主要来源(标准化后)
回到网络层,标准化处理后的情况也大不相同。在我们位于津巴布韦的数据中心,所接收流量中近89%是L3/4 DDoS攻击。在巴拉圭,攻击流量占比超过56%,其后是蒙古,占比接近35%。排在前列的其他地点包括摩尔多瓦、刚果民主共和国、厄瓜多尔、吉布提、阿塞拜疆、海地和多米尼加共和国。
L3/4 DDoS攻击的主要来源(标准化后)
受攻击最多的地点
在分析针对我们客户的DDoS攻击时,我们使用客户的账单国家/地区来确定“受攻击的国家/地区”。2024年第一季度,美国是受HTTP DDoS攻击最多的国家。Cloudflare缓解的DDoS请求中,大约十分之一针对美国。中国大陆位居第二,其后是加拿大、越南、印度尼西亚、新加坡、中国香港、台湾地区、塞浦路斯和德国。
受到最多HTTP DDoS攻击的国家和地区
通过将攻击流量除以给定国家或地区的总流量来标准化数据时,排名也变得截然不同。流向尼加拉瓜的HTTP流量中超过63%是DDoS攻击流量,使其成为受攻击最多的国家/地区。第二位是阿尔巴尼亚,其后是约旦、几内亚、圣马力诺、格鲁吉亚、印度尼西亚、柬埔寨、孟加拉国和阿富汗。
受到最多HTTP DDoS攻击的国家/地区(标准化后)
在网络层,中国大陆是受攻击最多的地区。2024年第一季度Cloudflare缓解的所有DDoS攻击中,有39%是针对Cloudflare的中国客户。中国香港位居第二,其后是台湾地区、美国和巴西。
受L3/4 DDoS攻击最多的国家和地区
回到网络层,标准化后中国香港成为受攻击最多的地区。在发送到香港的所有流量中,超过78%为L3/4 DDoS攻击流量。位居第二的是中国大陆,DDoS占比75%。其后是哈萨克斯坦、泰国、圣文森特和格林纳丁斯、挪威、台湾地区、土耳其、新加坡和巴西。
受L3/4 DDoS攻击最多的国家和地区(标准化后)
无论攻击类型、规模或持续时间如何,Cloudflare均可提供帮助
Cloudflare的使命是帮助构建更好的互联网,使其安全、高效运行且人人可用。鉴于HTTP DDoS攻击,大约十分之四持续10分钟以上,大约十分之三持续一小时以上,形势非常严峻。然而,无论攻击达到10万个请求/秒(占攻击总数的十分之一),甚至超过100万个请求/秒(罕见情况,仅占4/1000),Cloudflare的防御系统始终滴水不漏。
自2017年率先推出不计量DDoS防护以来,Cloudflare一直坚定不移地兑现向所有组织免费提供企业级DDoS防护的承诺,确保我们先进的技术和强大的网络架构不仅抵御攻击,还能维持性能不受影响。
Cloudflare保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序,抵御DDoS攻击,防止黑客入侵,并能协助您实现Zero Trust的部署与实施。