Subscribe to receive notifications of new posts:

Mantis - 至今最強大的殭屍網路

07/14/2022

5 min read
Mantis - the most powerful botnet to date

2022 年 6 月,我們報告了迄今以來緩解的最大 HTTPS DDoS 攻擊——每秒 2600 萬個請求的攻擊,這是有記錄以來最大的攻擊。我們的系統自動偵測出並緩解了該攻擊以及許多其他攻擊。從那之後,我們一直在追蹤這個殭屍網路(我們稱之為 Mantis),以及它對將近上千 Cloudflare 客戶發起的攻擊。

Cloudflare WAF/CDN 客戶可防禦 HTTP DDoS 攻擊,Mantis 攻擊也包含在內。請參閱本部落格底部瞭解如何最佳保護您的網際網路設備免受 DDoS 攻擊。

您是否遇到過 Mantis?

我們將這個每秒發動 2600 萬個請求之 DDoS 攻擊的殭屍網路命名為「Mantis(螳螂)」,因為它就像 Mantis shrimp(螳螂蝦)一樣,體型小但卻十分強大。螳螂蝦也稱為「拇指切割機」,體型非常小,長度不足 10 cm,但是它們的螯非常強大,可以產生 1,500 牛頓力的衝擊波,靜態起跑的速度可達到 83 km/h。與此相似,Mantis 殭屍網路運作大約 5,000 個機器人組成的小隊,但它們卻能產生巨大的力量,是我們曾經觀察到的最大 HTTP DDoS 攻擊的元兇。

Image of the Mantis shrimp from Wikipedia
螳螂蝦。來源:維基百科

Mantis 殭屍網路使用 5,000 個機器人,就能產生每秒 2600 萬個 HTTPS 請求的攻擊。我再重複一遍:使用 5,000 個機器人,就能產生每秒 2600 萬個 HTTPS 請求。也就是說每個機器人平均每秒產生 5,200 個請求。在沒有額外開支來建立安全連線的情況下,產生 2600 萬個 HTTP 請求是很難做到的,但 Mantis 卻透過 HTTPS 做到了。HTTPS DDoS 攻擊在所需運算資源方面更加昂貴,因為建立安全 TLS 加密連線的成本更高。這凸顯並強調了這一殭屍網路背後的獨特力量。

Graph of the 26 million requests per second DDoS attack

與 DVR、CC 攝影機或煙霧警報器等物聯網 (IoT) 裝置構成的「傳統」殭屍網路不同,Mantis 使用被劫持的虛擬機和強大的伺服器。這意味著每個機器人都有多得多的運算資源,這些運算資源結合起來,就能形成這種切割拇指的力量。

Mantis 是 Meris 殭屍網路的下一代演進。Meris 殭屍網路依賴於 MikroTik 裝置,而 Mantis 卻已擴展到包含各種 VM 平台,並支援執行各種 HTTP Proxy 以發起攻擊。選擇「Mantis」這個與「Meris」類似的名稱是為了反映其來源,同時也是為了說明這種演進的攻擊迅捷而有力。過去幾週,Mantis 一直特別活躍,將近 1,000 位 Cloudflare 客戶受到其影響。

Graphic design of a botnet

Mantis 攻擊的目標是誰?

在我們最近的 DDoS 攻擊趨勢報告中,我們探討過,HTTP DDoS 攻擊的數量正在增加。在上個季度,HTTP DDoS 攻擊增加了 72%,Mantis 無疑促進了這一增長。在過去一個月,Mantis 對 Cloudflare 客戶發起了超過 3,000 次 HTTP DDoS 攻擊。

當我們研究 Mantis 的攻擊目標時,可以發現受攻擊最多的產業為網際網路和電信產業,佔了攻擊份額的 36%。受攻擊第二多的產業是新聞、媒體和出版產業,緊隨其後的是遊戲和金融產業。

當我們研究這些公司的所在地時,可以發現這些 DDoS 攻擊目標的 20% 以上是位於美國的公司,15% 以上是位於俄羅斯的公司,而位於土耳其、法國、波蘭、烏克蘭等國家的公司不足 5%。

如何防禦 Mantis 和其他 DDoS 攻擊

Cloudflare 的自動化 DDoS 防護系統利用動態特征識別偵測和緩解 DDoS 攻擊。該系統以 HTTP DDoS 受管理規則集的形式向客戶開放。預設情況下,該規則集已啟用,並會套用緩解動作,因此,如果您未做出任何變更,則不需要採取任何動作,就能得到保護。您還可以檢閱我們的指南《最佳做法:DoS 預防性措施》《應對 DDoS 攻擊》,瞭解更多有關如何最佳化 Cloudflare 設定的貼士和建議。

如果您僅使用 Cloudflare Magic TransitSpectrum,但還運作未受 Cloudflare 保護的 HTTP 應用程式,則建議將它們加入 Cloudflare 的 WAF/CDN 服務以從 L7 保護受益。

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Botnet (TW)DDoS (TW)繁體中文Trends (TW)

Follow on X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Related posts