2022 年 6 月,我們報告了迄今以來緩解的最大 HTTPS DDoS 攻擊——每秒 2600 萬個請求的攻擊,這是有記錄以來最大的攻擊。我們的系統自動偵測出並緩解了該攻擊以及許多其他攻擊。從那之後,我們一直在追蹤這個殭屍網路(我們稱之為 Mantis),以及它對將近上千 Cloudflare 客戶發起的攻擊。
Cloudflare WAF/CDN 客戶可防禦 HTTP DDoS 攻擊,Mantis 攻擊也包含在內。請參閱本部落格底部瞭解如何最佳保護您的網際網路設備免受 DDoS 攻擊。
您是否遇到過 Mantis?
我們將這個每秒發動 2600 萬個請求之 DDoS 攻擊的殭屍網路命名為「Mantis(螳螂)」,因為它就像 Mantis shrimp(螳螂蝦)一樣,體型小但卻十分強大。螳螂蝦也稱為「拇指切割機」,體型非常小,長度不足 10 cm,但是它們的螯非常強大,可以產生 1,500 牛頓力的衝擊波,靜態起跑的速度可達到 83 km/h。與此相似,Mantis 殭屍網路運作大約 5,000 個機器人組成的小隊,但它們卻能產生巨大的力量,是我們曾經觀察到的最大 HTTP DDoS 攻擊的元兇。
Mantis 殭屍網路僅使用 5,000 個機器人,就能產生每秒 2600 萬個 HTTPS 請求的攻擊。我再重複一遍:僅使用 5,000 個機器人,就能產生每秒 2600 萬個 HTTPS 請求。也就是說每個機器人平均每秒產生 5,200 個請求。在沒有額外開支來建立安全連線的情況下,產生 2600 萬個 HTTP 請求是很難做到的,但 Mantis 卻透過 HTTPS 做到了。HTTPS DDoS 攻擊在所需運算資源方面更加昂貴,因為建立安全 TLS 加密連線的成本更高。這凸顯並強調了這一殭屍網路背後的獨特力量。
與 DVR、CC 攝影機或煙霧警報器等物聯網 (IoT) 裝置構成的「傳統」殭屍網路不同,Mantis 使用被劫持的虛擬機和強大的伺服器。這意味著每個機器人都有多得多的運算資源,這些運算資源結合起來,就能形成這種切割拇指的力量。
Mantis 是 Meris 殭屍網路的下一代演進。Meris 殭屍網路依賴於 MikroTik 裝置,而 Mantis 卻已擴展到包含各種 VM 平台,並支援執行各種 HTTP Proxy 以發起攻擊。選擇「Mantis」這個與「Meris」類似的名稱是為了反映其來源,同時也是為了說明這種演進的攻擊迅捷而有力。過去幾週,Mantis 一直特別活躍,將近 1,000 位 Cloudflare 客戶受到其影響。
Mantis 攻擊的目標是誰?
在我們最近的 DDoS 攻擊趨勢報告中,我們探討過,HTTP DDoS 攻擊的數量正在增加。在上個季度,HTTP DDoS 攻擊增加了 72%,Mantis 無疑促進了這一增長。在過去一個月,Mantis 對 Cloudflare 客戶發起了超過 3,000 次 HTTP DDoS 攻擊。
當我們研究 Mantis 的攻擊目標時,可以發現受攻擊最多的產業為網際網路和電信產業,佔了攻擊份額的 36%。受攻擊第二多的產業是新聞、媒體和出版產業,緊隨其後的是遊戲和金融產業。
當我們研究這些公司的所在地時,可以發現這些 DDoS 攻擊目標的 20% 以上是位於美國的公司,15% 以上是位於俄羅斯的公司,而位於土耳其、法國、波蘭、烏克蘭等國家的公司不足 5%。
如何防禦 Mantis 和其他 DDoS 攻擊
Cloudflare 的自動化 DDoS 防護系統利用動態特征識別偵測和緩解 DDoS 攻擊。該系統以 HTTP DDoS 受管理規則集的形式向客戶開放。預設情況下,該規則集已啟用,並會套用緩解動作,因此,如果您未做出任何變更,則不需要採取任何動作,就能得到保護。您還可以檢閱我們的指南《最佳做法:DoS 預防性措施》和《應對 DDoS 攻擊》,瞭解更多有關如何最佳化 Cloudflare 設定的貼士和建議。
如果您僅使用 Cloudflare Magic Transit 或 Spectrum,但還運作未受 Cloudflare 保護的 HTTP 應用程式,則建議將它們加入 Cloudflare 的 WAF/CDN 服務以從 L7 保護受益。