2022 年第二季度 DDoS 攻擊趨勢

歡迎閱讀我們的 2022 年第二季 DDoS 報告。本報告包括有關 DDoS 威脅情勢的深入解析與趨勢，這些資訊從全球 Cloudflare 網路中觀察所得。Radar 上也會提供本報告的互動版本。

第二季度，我們看到了有史以來最大的一些攻擊，包括 Cloudflare 自動偵測並緩解的每秒 2600 萬個請求的 HTTPS DDoS 攻擊。此外，針對烏克蘭和俄羅斯的攻擊仍在繼續，而新的 DDoS 勒索攻擊活動又出現了。

重點內容

俄羅斯和烏克蘭網際網路

• 地面戰爭伴隨著針對資訊傳播的攻擊。
• 烏克蘭的廣播媒體公司成為第二季度 DDoS 攻擊的最大目標。事實上，遭受攻擊最多的前五大產業均為網路/網際網路媒體、出版業和廣播業。
• 另一方面，在俄羅斯，網路媒體曾經是遭受攻擊最多的產業，如今下降到第三位。第二季度，俄羅斯的銀行、金融服務及保險業 (BFSI) 公司成為遭受攻擊最多的公司，躍居首位；BFSI 產業成為幾乎 45% 的應用程式層 DDoS 攻擊的目標。俄羅斯的加密貨幣公司是遭受攻擊第二多的公司。

更一步瞭解 Cloudflare 如何讓開放式網際網路流量流入俄羅斯，同時避免向外展開攻擊。

DDoS 勒索攻擊

• 我們觀察到新一波 DDoS 勒索攻擊，由自稱 Fancy Lazarus 的實體發出。
• 2022 年 6 月，勒索攻擊達到今年以來的最高水準：每五名經歷過 DDoS 攻擊的問卷調查受訪者中，就有一人報告受到 DDoS 勒索攻擊或其他威脅。
• 整體來說，第二季度 DDoS 勒索攻擊環比增長 11%。

應用程式層 DDoS 攻擊

• 2022 年第二季度，應用程式層 DDoS 攻擊同比增長 72%。
• 位於美國的組織是此類攻擊的主要目標，其次是賽普勒斯、香港和中國。針對賽普勒斯組織的攻擊數環比增長 166%。
• 第二季度，航空和太空產業遭受此類攻擊最多，其次是網際網路產業、銀行業、金融服務業及保險業，而遊戲/博彩業則位居第四。

網路層 DDoS 攻擊

• 2022 年第二季度，網路層 DDoS 攻擊數同比增長 109%。100 Gbps 及以上的攻擊數環比增長 8%，持續 3 小時以上的攻擊數環比增長 12%。
• 遭受此類攻擊最多的產業分別是電信業、遊戲/博彩以及資訊技術和服務業。
• 位於美國的組織是此類攻擊的主要目標，其次是中國、新加坡和德國。

本報告基於 Cloudflare 的 DDoS 防護系統自動偵測和緩解的 DDoS 攻擊數。如需深入瞭解該系統的運作方式，請查看此深度剖析部落格貼文。

有關我們如何衡量在網路中觀察到的 DDoS 攻擊的說明

為分析攻擊趨勢，我們會計算「DDoS 活動」率，即攻擊流量在我們的全球網路中、特定位置或特定類別（如行業或帳單國家/地區）觀察到的總流量（攻擊流量+潔淨流量）中所佔的百分比。透過衡量這些百分比，我們能夠標準化資料點並避免以絕對數字反映而出現的偏頗，例如，某個 Cloudflare 資料中心接收到更多的總流量，因而發現更多攻擊。

勒索攻擊

我們的系統會持續分析流量，並在偵測到 DDoS 攻擊時自動套用緩解措施。每個受到 DDoS 攻擊的客戶都會收到提示，請求參與一個自動化調查，以幫助我們更好地瞭解該攻擊的性質以及緩解措施的成功率。

兩年多以來，Cloudflare 一直在對受到攻擊的客戶進行調查，調查中的一個問題是，他們是否收到威脅或勒索信，要求付款以換得停止 DDoS 攻擊。

第二季度報告威脅或勒索信的受訪者數量環比和同比增長 11%。在本季度，我們一直在緩解 DDoS 勒索攻擊，這些攻擊由自稱是進階持續威脅 (APT) 組織「Fancy Lazarus」的實體發起的。金融機構和加密貨幣公司成為這起活動的主要目標。

深入探究第二季度，我們可以看到，在 6 月份，每五名受訪者中就有一人報告收到 DDoS 勒索攻擊或威脅 — 這既是 2022 年報告數量最多的月份，也是自 2021 年 12 月以來報告數量最多的月份。

應用程式層 DDoS 攻擊

應用程式層 DDoS 攻擊，特別是 HTTP DDoS 攻擊，旨在通過使 HTTP 伺服器無法處理合法用戶請求來破壞它。如果伺服器收到的請求數量超過其處理能力，伺服器將丟棄合法請求甚至崩潰，導致對合法使用者的服務效能下降或中斷。

應用程式層 DDoS 攻擊：月份分佈

第二季度，應用程式層 DDoS 攻擊數同比增長 72%。

整體來說，在第二季度，應用程式層 DDoS 攻擊數量同比增長 72%，但環比下降 5%。5 月是本季度最繁忙的月份。幾乎 41% 的應用程式層 DDoS 攻擊都發生在 5 月，而 6 月發生的攻擊數最少 (28%)。

應用程式層 DDoS 攻擊：行業分佈

針對航空和太空業的攻擊數環比增長 493%。

第二季度，航空和太空業是遭受應用程式層 DDoS 攻擊最多的產業。網際網路產業以及銀行、金融機構和保險業 (BFSI) 緊隨其後，而遊戲/博彩業則位居第四。

烏克蘭和俄羅斯的網路空間

媒體和出版公司是烏克蘭遭受攻擊最多的公司。

隨著烏克蘭地面、空中和水面戰爭的繼續，網路空間的戰爭也在繼續。將烏克蘭公司作為攻擊目標的實體似乎在試圖掩蓋資訊。烏克蘭遭受攻擊最多的前五大產業均為廣播、網際網路、網路媒體和出版業 — 這幾乎占所有針對烏克蘭的 DDoS 攻擊的 80%。

而戰爭的另一方，俄羅斯的銀行、金融機構和保險 (BFSI) 公司受到的攻擊最多。幾乎 45% 的 DDoS 攻擊的目標都是 BFSI 行業。第二大目標是加密貨幣行業，然後是網路媒體。

在戰爭雙方，我們可以看到攻擊都是高度分散的，這表明使用了全球分散式殭屍網路。

應用程式層 DDoS 攻擊：來源國家/地區分佈

第二季度，來自中國的攻擊數減少了 78%，而來自美國的攻擊數則減少了 43%。

為瞭解 HTTP 攻擊的來源，我們研究了產生攻擊 HTTP 請求之用戶端來源 IP 位址的地理位置。與網路層攻擊不同，HTTP 攻擊中的來源 IP 位址無法偽造。特定國家/地區的 DDoS 活動百分比較高，這並不意味著該特定國家/地區正在發起攻擊，而是表明有殭屍網路在其境內運作。

美國作為 HTTP DDoS 攻擊的主要來源，已經連續第二個季度位居榜首。中國在美國之後，位居第二，而印度和德國分別位居第三和第四。儘管美國仍然處於首位，但來自美國的攻擊數環比下降了 48%，而來自其他地區的攻擊數卻有所增長；來自印度的攻擊數增長了 87%，來自德國的攻擊數增長了 33%，來自巴西的攻擊數則增長了 67%。

應用程式層 DDoS 攻擊：目標國家/地區分佈

為確定哪些國家/地區遭受最多的 HTTP DDoS 攻擊，我們按客戶的帳單國家/地區對 DDoS 攻擊進行了分類，並以其佔據所有 DDoS 攻擊數的百分比進行表示。

針對美國國家/地區的 HTTP DDoS 攻擊數環比增長 67%，使美國重新成為應用程式層 DDoS 攻擊的主要目標而居於首位。針對中國公司的攻擊數環比下降 80%，使其從第一位下降到第四位。針對賽普勒斯的攻擊數增長了 167%，使其成為第二季度遭受攻擊第二多的國家/地區。在賽普勒斯之後，則是香港、中國及荷蘭。

網路層 DDoS 攻擊

應用程式層攻擊的目標是最終使用者嘗試訪問的服務（本例中為 HTTP/S）所在的應用程式（OSI 模型的第 7 層），而網路層攻擊以網路基礎結構（例如聯網路由器和伺服器）和網際網路鏈路本身為目標。

網路層 DDoS 攻擊：月份分佈

第二季度，網路層 DDoS 攻擊數同比增長 109%，100 Gbps 及以上的巨流量攻擊數環比增長 8%。 

第二季度，網路層 DDoS 攻擊總數同比增長 109%，環比增長 15%。6 月是本季度最繁忙的月份，幾乎 36% 的攻擊都發生在 6 月。

網路層 DDoS 攻擊：行業分佈

第二季度，針對電信公司的攻擊數環比增長 66%。

電信產業已經連續第二個季度成為網路層 DDoS 攻擊的最主要目標。尤其是，針對電信公司的攻擊數環比增長了 66%。而遊戲行業位居第二，緊跟其後是資訊科技和服務公司。

網路層 DDoS 攻擊：目標國家/地區分佈

針對美國網路的攻擊數環比增長了 95%。

第二季度，美國仍是遭受攻擊最多的國家/地區。位居美國之後的分別是中國、新加坡及德國。

網路層 DDoS 攻擊：輸入國家/地區分佈

在試圖弄清網路層 DDoS 攻擊的來源時，我們不能使用與進行應用程式層攻擊分析相同的方法。要發起應用程式層 DDoS 攻擊，用戶端與伺服器之間必須成功握手，以建立 HTTP/S 連線。為成功實現握手，攻擊不能偽造其來源 IP 位址。雖然攻擊者可能會使用機器人、代理或其他方法來掩蓋自己的身分，但攻擊用戶端的來源 IP 位置確實就是應用程式層 DDoS 攻擊的攻擊來源。

而要發起網路層 DDoS 攻擊，在大多數情況下都無需握手。攻擊者可以偽造來源 IP 位址來混淆攻擊來源並在攻擊屬性中引入隨機性，這可能會使簡單的 DDoS 防護系統更難攔截攻擊。因此，如果我們根據偽造的來源 IP 位址推導出源國家/地區，我們將得到一個『偽造的國家/地區』。

為此，在分析網路層 DDoS 攻擊來源時，我們會根據吸收流量的 Cloudflare 資料中心位置對流量進行分類，而不是（潛在的）偽造來源 IP，從而瞭解攻擊來源。我們的資料中心遍及全球超過 270 個城市，因此能夠在本報告中實現地理上的準確性。然而，即便是這种方法也不能達到 100% 的準確性，因為出於各種原因，比如降低成本、網路壅塞或管理不善，流量可能會透過不同的網際網路服務提供者和國家/地區回傳或路由。

巴勒斯坦成為網路層 DDoS 攻擊百分比最高的 Cloudflare 位置，從第二位躍升至首位。排在巴勒斯坦之後的是亞塞拜然、南韓和安哥拉。

要檢視所有國家和地區，請查看互動式地圖。

攻擊手段

第二季度，DNS 攻擊數增加，使其成為第二常見的攻擊手段。

用語「攻擊手段」用於描述攻擊者用來發起 DDoS 攻擊的方法，如 IP 通訊協定、TCP 旗標等封包屬性、洪水方法和其他條件。

第二季度，53% 的網路層攻擊是 SYN 洪水。SYN 洪水仍然是最常見的攻擊手段。它們濫用具狀態 TCP 握手的初始連線請求。在這個初始連線請求期間，伺服器沒有任何關於 TCP 連線的環境，因為它是新的，而且若沒有適當的保護，可能很難緩解初始連線請求的氾濫。這使得攻擊者更容易消耗未受保護的伺服器的資源。

緊隨 SYN 洪水之後的是針對 DNS 基礎結構的攻擊，而濫用 TCP 連線流程的 RST 洪水再次位居第三，然後是一般的 UDP 攻擊。

新興威脅

第二季度，主要的新興威脅包括 CHARGEN、Ubiquiti 和 Memcached 攻擊。

識別主要攻擊手段有助於組織瞭解攻擊狀況。轉而幫助他們改善安全狀態，防禦這些威脅。同樣地，瞭解尚未在攻擊中發揮重大作用的新興威脅能讓我們在其造成重大影響之前緩解它們。  

第二季度，主要的新興威脅是濫用 Character Generator 通訊協定 (CHARGEN) 的放大攻擊、反映暴露 Ubiquiti 裝置流量的放大攻擊，以及臭名昭著的 Memcached 攻擊。

濫用 CHARGEN 通訊協定發起放大攻擊

第二季度，濫用 CHARGEN 通訊協定的攻擊數環比增長了 378%。

最初於 RFC 864 (1983) 中定義，字元產生器 (CHARGEN) 通訊協定是網際網路通訊協定套件的一項服務，顧名思義，它會任意產生字元，並在用戶端關閉連線之前，不斷地向用戶端傳送字元。其初衷是測試和偵錯。然而，它卻很少被使用，因為很容易被濫用以產生放大/反射攻擊。

攻擊者可以偽造其受害者的來源 IP，並欺騙世界各地的支援伺服器，以將任意字元串流「重新」定向至受害者的伺服器。這種類型的攻擊就是放大/反射。如果並行 CHARGEN 串流足够多，則受害者的伺服器在未受到保護的情況下，會遭受洪水攻擊，進而無法應對合法流量 — 導致拒絕服務事件。

利用 Ubiquiti Discovery 通訊協定的放大攻擊

第二季度，Ubiquity 攻擊數環比增長了 327%。

Ubiquiti 總部位於美國，該公司為消費者和企業提供網路和物聯網 (IoT) 裝置。您可以透過 UDP/TCP 連接埠 10001 在使用 Ubiquiti Discovery 通訊協定的網路上發現 Ubiquiti 裝置。

與 CHARGEN 攻擊手段類似，此類攻擊的攻擊者也可以將來源 IP 偽造成受害者的 IP 位址，並噴濺開啟連接埠 10001 的 IP 位址。然後，它們會回應受害者，如果回應數量足够多，則基本上會淹沒受害者。

Memcached DDoS 攻擊

第二季度，Memcached DDoS 攻擊數環比增長了 287%。

Memcached 是一個資料庫快取系統，可用於加速網站和網路。與 CHARGEN 和 Ubiquiti 類似，支援 UDP 的 Memcached 伺服器可能會被濫用，以發起放大/反射 DDoS 攻擊。在這種情況下，攻擊者會從快取系統請求內容，並偽造受害者的 IP 位址作為 UDP 封包中的來源 IP。Memcached 回應可放大最高 51200 倍，因此會淹沒受害者。

網路層 DDoS 攻擊：攻擊速度分佈

超過 100 Gbps 的巨流量攻擊數環比增長 8%。

高位元速率的攻擊試圖使網際網路鏈路飽和，而高封包速率的攻擊會使伺服器、路由器或其他聯網硬體裝置不堪重負。這些裝置分配一定的記憶體量和計算能力來處理每個封包。因此，通過向裝置發送大量封包，該裝置的處理資源就可能被耗盡。在這種情況下，封包就會「被丟棄」，即裝置無法再處理封包。對使用者而言，這會導致服務中斷和拒絕服務。

基於封包速率的分佈情況

大部分網路層 DDoS 攻擊都低於每秒 50,000 封包。雖然在 Cloudflare 面臨的攻擊範圍內，50 kpps 的封包速率並不算高，但仍可輕鬆摧毀未受保護的網際網路設備，即便是標準的千兆位元級乙太網路連線也會遭遇壅塞。

分析攻擊規模的變化時，我們可以看到，第二季度超過 50 kpps 的高封包量攻擊有所减少，導致小型攻擊增長 4%。

基於位元速率的分佈情況

第二季度，大部分網路層 DDoS 攻擊都低於 500 Mbps。這在 Cloudflare 面臨的攻擊範圍內同樣不足掛齒，但可以非常快速地關閉未受保護且網路處理能力較低的網際網路設備，或者至少能夠造成網路壅塞，即便是標準的千兆位元級乙太網路連線。

有趣的是，介於 500 Mbps 和 100 Gbps 之間的大型攻擊數環比减少了 20-40%，但 100 Gbps 以上的巨流量攻擊數卻增長了 8%。

網路層 DDoS 攻擊：持續時間分佈

第二季度，持續超過三小時的攻擊數增長了 9%。

我們測量攻擊持續時間的方式是：記錄系統首次偵測到攻擊與具備該攻擊特徵且前往該特定目標的最後一個封包之間的時間差。

第二季度，52% 的網路層 DDoS 攻擊持續時間不足 10 分鐘。另有 40% 的攻擊持續了 10-20 分鐘。剩下的 8% 則為 20 分鐘到 3 小時以上的攻擊。

需要記住的重要一點是，即使攻擊只持續幾分鐘，只要攻擊成功，其影響就會遠遠超過最初的攻擊時長。IT 人員回應成功的攻擊可能需要幾小時甚至幾天時間，才能恢復服務。

儘管大多數攻擊時間確實很短暫，但我們可以看到 20-60 分鐘之間的攻擊增長了 15% 以上，而持續時間超過三小時的攻擊則增長了 12%。

短時間的攻擊很可能不被察覺，特別是爆發攻擊，此類攻擊會在幾秒鐘內用大量的封包、位元組或請求轟擊目標。在這種情況下，依賴于安全分析來手動緩解的 DDoS 保護服務沒有機會及時緩解攻擊。此類服務只能從攻擊後分析中吸取教訓，然後部署篩選該攻擊指紋的新規則，期望下次能捕捉到它。同樣，使用「按需」服務（即安全團隊在遭到攻擊時將流量重定向至 DDoS 保護提供商）也無濟於事，因為在流量到達按需 DDoS 保護提供商前，攻擊就已經結束了。

建議公司使用始終啟用的自動化 DDoS 防護服務來分析流量，並足夠快速地套用即時指紋識別以封鎖持續時間短暫的攻擊。

概述

Cloudflare 的使命是幫助建構更好的網際網路，讓所有人擁有更快速、更安全、更可靠的體驗，即使在面臨 DDoS 攻擊時也是如此。作為我們使命的一部分，自 2017 年開始，我們一直在為所有客戶免費提供非計量、無限制的 DDoS 防護。這些年來，攻擊者越來越容易發起 DDoS 攻擊。為反擊攻擊者的優勢，我們想要確保所有規模的組織都能夠簡單且免費地保護他們自身，防禦所有類型的 DDoS 攻擊。

尚未使用 Cloudflare？立即開始使用，您可使用我們的 Free 和 Pro 方案保護您的網站，或聯絡我們獲得全面的 DDoS 保護，使用 Magic Transit 保護您的整個網路。