Boas vindas ao segundo relatório de ameaças DDoS de 2023. Os ataques DDoS, ou ataques distribuídos de negação de serviço, são um tipo de ataque cibernético que visa interromper sites (e outros tipos de ativos da Internet) para torná-los indisponíveis para usuários legítimos, sobrecarregando os sites com mais tráfego do que podem suportar, semelhante a um motorista preso em um engarrafamento a caminho do supermercado.
Vemos muitos ataques DDoS de todos os tipos e tamanhos e nossa rede é uma das maiores do mundo, abrangendo mais de 300 cidades em mais de 100 países. Por meio dessa rede, atendemos mais de 63 milhões de solicitações HTTP por segundo no pico e mais de 2 trilhões de consultas DNS todos os dias. Essa quantidade colossal de dados nos dá um ponto de vantagem exclusivo para fornecer à comunidade acesso a tendências esclarecedoras sobre DDoS.
Nossos leitores regulares, podem notar uma mudança no layout deste relatório. Costumávamos seguir um padrão definido para compartilhar nossos insights e tendências sobre ataques DDoS. Mas com o panorama das ameaças de DDoS mudando à medida que os ataques DDoS se tornam mais poderosos e sofisticados, sentimos que é hora de mudar a forma como apresentamos nossas descobertas. Então, vamos dar o pontapé inicial com uma rápida visão geral global e, em seguida, nos aprofundar nas principais mudanças que estamos observando no mundo dos ataques DDoS.
Lembrete: uma versão interativa deste relatório também está disponível no Cloudflare Radar. Além disso, também adicionamos um novo componente interativo que permitirá que você se aprofunde na atividade dos ataques em cada país ou região.
O panorama de DDoS: uma análise dos padrões globais
O segundo trimestre de 2023 foi caracterizado por ondas de campanhas de ataques DDoS bem planejadas, personalizadas e persistentes em várias frentes, incluindo:
- Múltiplas ofensivas DDoS orquestradas por grupos hacktivistas pró-Rússia, como REvil, Killnet e Anonymous Sudan, contra sites de interesse ocidental.
- O crescimento nos ataques DNS cuidadosamente planejados e direcionados, juntamente com um aumento de 532% nos ataques DDoS explorando a vulnerabilidade Mitel (CVE-2022-26143). A Cloudflare contribuiu para divulgar essa vulnerabilidade zero-day no ano passado.
- Os ataques direcionados a empresas de criptomoeda aumentaram em 600%, e foi observado um aumento mais amplo de 15% nos ataques DDoS por HTTP. Desses ataques, notamos uma escalada alarmante na sofisticação dos ataques, que abordaremos em mais detalhes.
Além disso, um dos maiores ataques que vimos neste trimestre foi um ataque DDoS do tipo inundação ACK que se originou de uma botnet variante da Mirai, composta por aproximadamente onze mil endereços de IP. O ataque visou um provedor de serviços de internet americano e atingiu um pico de 1,4 terabits por segundo (Tbps), sendo detectado e mitigado automaticamente pelos sistemas da Cloudflare.
Apesar de dados gerais indicarem um aumento na duração geral dos ataques, a maioria deles tem vida curta, e o mesmo ocorreu com esse. Esse ataque durou apenas dois minutos. No entanto, mais amplamente, observamos um aumento de 103% trimestralmente nos ataques com duração superior a 3 horas.
Agora que estabelecemos o cenário, vamos aprofundar essas mudanças que estamos observando no panorama de ataques DDoS.
Aliança de hacktivistas apelidada de "Darknet Parliament" visa bancos ocidentais e a rede SWIFT.
Em 14 de junho, grupos de hacktivistas pró-Rússia chamados Killnet, uma ressurgência do REvil e o Anonymous Sudan anunciaram que se uniram para executar ataques cibernéticos "massivos" no sistema financeiro ocidental, incluindo bancos europeus e americanos, além do Sistema de Reserva Federal dos Estados Unidos. O coletivo, apelidado de "Darknet Parliament", declarou que seu primeiro objetivo era paralisar o SWIFT (Society for Worldwide Interbank Financial Telecommunication). Um ataque bem-sucedido de DDoS ao SWIFT poderia ter consequências graves, já que é o principal serviço usado pelas instituições financeiras para realizar transações financeiras no mundo.
Além de alguns eventos divulgados publicamente, como a interrupção da Microsoft que foi reportada pela mídia, não foram observados ataques DDoS ou interrupções novas direcionadas aos nossos clientes. Nossos sistemas têm detectado e mitigado automaticamente ataques associados a essa campanha. Nas últimas semanas, o "Darknet Parliament" lançou até dez mil desses ataques DDoS contra sites protegidos pela Cloudflare (ver gráfico abaixo).
Apesar das declarações dos hacktivistas, os sites de bancos e serviços financeiros foram apenas o nono setor mais atacado, com base nos ataques que observamos contra nossos clientes como parte dessa campanha.
Os setores mais atacados foram Software de Computador, Apostas e Cassinos, e Jogos. Telecomunicações e veículos de mídia vieram em quarto e quinto lugar, respectivamente. No geral, o maior ataque que testemunhamos nesta campanha atingiu o pico de 1,7 milhão de solicitações por segundo (rps), e a média foi de 65.000 rps.
Para ter uma perspectiva, no início deste ano, mitigamos o maior ataque registrado na história, atingindo o pico de 71 milhões de rps. Portanto, esses ataques foram muito pequenos em comparação com a escala da Cloudflare, mas não necessariamente para um site médio. Portanto, não devemos subestimar o potencial de danos em sites desprotegidos ou com configurações subótimas.
Ataque DDoS por HTTP sofisticados
Um ataque DDoS por HTTP é um ataque DDoS realizado através do Protocolo de Transferência de Hipertexto (HTTP). Ele tem como alvo ativos da internet que utilizam o HTTP, como sites e gateways de APIs. No último trimestre, os ataques DDoS por HTTP aumentaram 15% trimestralmente, apesar de uma diminuição de 35% em relação ao ano anterior.
Além disso, observamos um aumento alarmante nos ataques DDoS por HTTP altamente randomizados e sofisticados nos últimos meses. Parece que os agentes das ameaças por trás desses ataques deliberadamente projetaram-nos para tentar superar os sistemas de mitigação, imitando habilmente o comportamento de um navegador de forma muito precisa. Em alguns casos, isso é feito introduzindo um alto grau de aleatoriedade em vários ativos, como agentes de usuário e impressões digitais JA3,para citar alguns exemplos. Abaixo, fornecemos um exemplo de tal ataque, em que cada cor diferente representa um recurso de randomização distinta.
Além disso, em muitos desses ataques, parece que os agentes das ameaças tentam manter suas taxas de ataque por segundo relativamente baixas para evitar detecção e se esconder entre o tráfego legítimo.
Esse nível de sofisticação costumava estar associado a agentes de ameaças em nível estatal ou patrocinados por estados, mas agora parece que essas capacidades estão ao alcance de criminosos cibernéticos. Suas operações já visaram empresas proeminentes, como um grande provedor de VoIP, uma empresa líder em semicondutores e um importante provedor de pagamentos e cartões de crédito, para citar alguns exemplos.
Proteger sites contra ataques DDoS por HTTP sofisticados requer proteção inteligente, automatizada e rápida, que utilize inteligência contra ameaças, perfis de tráfego e análise estatística/aprendizado de máquina para diferenciar o tráfego de ataque do tráfego do usuário. Além disso, aumentar o uso de armazenamento em cache, quando aplicável, pode ajudar a reduzir o risco de o tráfego de ataque afetar sua origem. Leia mais sobre as melhores práticas de proteção contra DDoS aqui.
Ataques DDoS de Lavagem de DNS
O Domain Name System, ou DNS, atua como a lista telefônica da internet. O DNS ajuda a traduzir o endereço do site de forma legível para os humanos (por exemplo, www.cloudflare.com) em um endereço de IP legível por máquinas (por exemplo, 104.16.124.96). Ao interromper os servidores de DNS, os invasores afetam a capacidade das máquinas de se conectarem a um site, tornando os sites indisponíveis para os usuários.
No último trimestre, o vetor de ataque mais comum foram os ataques DDoS baseados em DNS, 32% de todos os ataques DDoS ocorreram através do protocolo DNS. Entre esses ataques, observamos o aumento de um dos tipos mais preocupantes que é o ataque de Lavagem de DNS . Ele pode representar desafios graves para organizações que operam seus próprios servidores de DNS autoritativos.
O termo "Lavagem" no nome do ataque de Lavagem de DNS se refere à analogia com a lavagem de dinheiro, o processo ardiloso de fazer com que lucros obtidos ilegalmente, frequentemente denominados "dinheiro sujo", aparentem ser legais. De forma semelhante, no mundo dos ataques DDoS, um ataque de Lavagem de DNS é o processo de fazer com que o tráfego malicioso e nocivo pareça ser tráfego bom e legítimo, lavando-o através de resolvers de DNS recursivos respeitáveis.
Em um ataque de Lavagem de DNS, o agente da ameaça consulta subdomínios de um domínio que é gerenciado pelo servidor de DNS da vítima. O prefixo que define o subdomínio é aleatório e nunca é usado mais do que uma ou duas vezes em tal ataque. Devido ao elemento de aleatoriedade, os servidores de DNS recursivos nunca terão uma resposta armazenada em cache e precisarão encaminhar a consulta para o servidor de DNS autoritativo da vítima. O servidor de DNS autoritativo é então bombardeado com tantas consultas que não consegue atender consultas legítimas ou até mesmo pode falhar completamente.
Do ponto de vista de proteção, os administradores de DNS não podem bloquear a fonte do ataque, pois a fonte inclui servidores de DNS recursivos respeitáveis, como o 8.8.8.8 do Google e o 1.1.1.1 da Cloudflare. Os administradores também não podem bloquear todas as consultas para o domínio atacado, pois é um domínio válido para o qual eles desejam preservar o acesso a consultas legítimas.
Esses fatores acima tornam muito desafiador distinguir entre consultas legítimas e maliciosas. Uma grande instituição financeira asiática e um provedor de DNS da América do Norte estão entre as vítimas recentes de ataques desse tipo. Fornecemos abaixo um exemplo de tal ataque.
Semelhante às estratégias de proteção delineadas para aplicativos HTTP, proteger os servidores de DNS também requer uma abordagem precisa, rápida e automatizada. Utilizar um serviço de DNS gerenciado ou um proxy reverso de DNS, como o oferecido pela Cloudflare, pode ajudar a absorver e mitigar o tráfego de ataques. Para ataques de DNS mais sofisticados, é necessária uma solução mais inteligente que utilize análise estatística de dados históricos para diferenciar entre consultas legítimas e consultas de ataque.
O surgimento das botnets de máquinas virtuais.
Como já divulgamos anteriormente, estamos testemunhando uma evolução no DNA das botnets. A era das botnets de DDoS baseadas em VM chegou, trazendo consigo ataques DDoS hipervolumétricos. Essas botnets são compostas por Máquinas Virtuais (VMs) ou Servidores Privados Virtuais (VPS) em vez de dispositivos da Internet das Coisas (IoT), o que as torna muito mais poderosas, até cinco mil vezes mais fortes.
Devido aos recursos computacionais e de largura de banda disponíveis para essas botnets baseadas em VM, elas são capazes de gerar ataques hipervolumétricos com um tamanho de frota muito menor em comparação com as botnets baseadas em IoT.
Essas botnets executaram alguns dos maiores ataques DDoS registrados, incluindo o ataque DDoS com 71 milhões de solicitações por segundo. Várias organizações, incluindo um fornecedor líder de plataformas de jogos, já foram alvo dessa nova geração de botnets.
A Cloudflare colaborou proativamente com importantes provedores de computação em nuvem para combater essas novas botnets. Através das ações rápidas e dedicadas desses provedores, componentes significativos dessas botnets foram neutralizados. Desde essa intervenção, não observamos mais ataques hipervolumétricos, o que é um testemunho da eficácia de nossa colaboração.
Embora já tenhamos uma aliança produtiva com a comunidade de segurança cibernética para combater botnets quando identificamos ataques em grande escala, nosso objetivo é simplificar e automatizar ainda mais esse processo. Estendemos um convite aos provedores de computação em nuvem, provedores de hospedagem e outros provedores de serviços em geral para se juntarem ao Botnet Threat Feed gratuito da Cloudflare. Isso proporcionaria visibilidade sobre os ataques originados em suas redes, contribuindo para nossos esforços coletivos para desmantelar as botnets.
"Startblast": explorando as vulnerabilidades da Mitel para ataques de negação de serviço (DDoS)
Em março de 2022, divulgamos uma vulnerabilidade zero-day (CVE-2022-26143), chamada TP240PhoneHome, que foi identificada no sistema telefônico empresarial Mitel MiCollab, expondo o sistema a ataques DDoS por amplificação de UDP.
Essa exploração opera refletindo o tráfego em servidores vulneráveis, amplificando-o no processo, com um fator de até 220 bilhões por cento. A vulnerabilidade decorre de uma porta UDP não autenticada exposta à internet pública, o que poderia permitir que agentes maliciosos emitissem um comando de depuração 'startblast', simulando uma série de chamadas para testar o sistema.
Como resultado, para cada chamada de teste, dois pacotes UDP são enviados ao emissor, permitindo que um invasor direcione esse tráfego para qualquer IP e número de porta para ampliar um ataque DDoS. Apesar da vulnerabilidade, apenas alguns milhares desses dispositivos estão expostos, limitando a escala potencial do ataque, e os ataques devem ser executados sequencialmente, ou seja, cada dispositivo pode lançar apenas um ataque por vez.
No geral, no último trimestre, observamos ameaças emergentes adicionais, como ataques de negação de serviço (DDoS) abusando do protocolo TeamSpeak3. Esse vetor de ataque aumentou impressionantes 403% neste trimestre.
TeamSpeak é um protocolo de voz sobre IP (VoIP) proprietário que funciona através de UDP para permitir que jogadores se comuniquem em tempo real. Falar em vez de apenas teclar pode melhorar significativamente a eficiência de uma equipe de jogos e ajudá-la a vencer. Ataques DDoS direcionados aos servidores TeamSpeak podem ser lançados por grupos rivais na tentativa de interromper o caminho de comunicação durante jogos com vários jogadores em tempo real e, assim, afetar o desempenho de suas equipes.
Pontos críticos de DDoS: as origens dos ataques
Em geral, os ataques DDoS por HTTP aumentaram em 15% em relação ao trimestre anterior, apesar de uma diminuição de 35% em relação ao ano anterior. Além disso, os ataques DDoS na camada de rede diminuíram neste trimestre em aproximadamente 14%.
Em termos de volume total de tráfego de ataque, os Estados Unidos foram a maior fonte de ataques DDoS por HTTP. Três em cada mil solicitações que observamos foram parte de ataques DDoS por HTTP originados nos Estados Unidos. A China ficou em segundo lugar e a Alemanha em terceiro lugar.
Alguns países naturalmente recebem mais tráfego devido a vários fatores, como o tamanho do mercado, e, portanto, mais ataques. Portanto, embora seja interessante entender a quantidade total de tráfego de ataques originado de um determinado país, também é útil remover esse viés normalizando o tráfego de ataques em relação a todo o tráfego para o país em questão.
Ao fazer isso, observamos um padrão diferente. Os Estados Unidos sequer aparecem entre os dez primeiros. Em vez disso, Moçambique, Egito e Finlândia lideram como os países de origem com mais tráfego de ataques DDoS por HTTP em relação a todo o seu tráfego. Quase um quinto de todo o tráfego HTTP originado de endereços de IP de Moçambique fazia parte de ataques DDoS.
Usando a mesma metodologia de cálculo, mas para bytes, o Vietnã continua sendo a maior fonte de ataques DDoS na camada de rede (também conhecidos como ataques DDoS nas camadas 3 e 4) pelo segundo trimestre consecutivo, e a quantidade até mesmo aumentou em 58% em relação trimestralmente. Mais de 41% de todos os bytes que foram recebidos nos data centers da Cloudflare no Vietnã faziam parte de ataques DDoS nas camadas 3 e 4.
Setores sob ataque: examinando os alvos dos ataques DDoS.
Ao examinar a atividade de ataques DDoS por HTTP no segundo trimestre, os sites de criptomoedas foram alvo da maior quantidade de tráfego de ataques DDoS por HTTP. Seis em cada dez mil solicitações HTTP em direção aos sites de criptomoedas protegidos pela Cloudflare fizeram parte desses ataques. Isso representa um aumento de 600% em comparação com o trimestre anterior.
Após as criptomoedas, os sites de jogos e apostas vieram em segundo lugar, com sua parcela de ataques aumentando 19% em relação ao trimestre anterior. Os sites de marketing e publicidade não ficaram muito atrás, ocupando o terceiro lugar, com pouca mudança em sua participação nos ataques.
No entanto, quando observamos a quantidade de tráfego de ataque em relação a todo o tráfego de qualquer setor específico, os números apresentam uma imagem diferente. No último trimestre, as organizações sem fins lucrativos foram as mais atacadas — 12% do tráfego direcionado a organizações sem fins lucrativos foram ataques DDoS por HTTP. A Cloudflare protege mais de 2.271 organizações sem fins lucrativos em 111 países como parte do Projeto Galileo, que celebrou seu nono aniversário este ano. Nos últimos meses, uma média de 67,7 milhões de ciberataques direcionados a organizações sem fins lucrativos aconteceram diariamente.
No geral, a quantidade de ataques DDoS contra organizações sem fins lucrativos aumentou em 46%, elevando o percentual de tráfego de ataque para 17,6%. No entanto, apesar desse crescimento, o setor de Consultoria em Gestão subiu para o primeiro lugar, com 18,4% de seu tráfego sendo ataques DDoS.
Ao descer pelas camadas do modelo OSI, as redes de internet que foram mais visadas pertenciam ao setor de Tecnologia da Informação e Serviços. Quase um terço de todos os bytes direcionados ao setor fazia parte de ataques DDoS nas camadas 3 e 4.
Surpreendentemente, as empresas que atuam no setor de música foram o segundo alvo mais visado, seguidas por empresas de mídia de transmissão e aviação e aeroespacial.
Setores mais atacados: uma perspectiva regional
Os sites de criptomoedas sofreram o maior número de ataques em todo o mundo, enquanto os setores de consultoria em gestão e organizações sem fins lucrativos foram os mais visados considerando seu tráfego total. No entanto, quando olhamos para regiões específicas, a situação é um pouco diferente.
África
O setor de telecomunicações continua sendo o mais atacado na África pelo segundo trimestre consecutivo. O setor bancário, de serviços financeiros e de seguros (BFSI) segue como o segundo mais atacado. A maioria do tráfego de ataques originou-se da Ásia (35%) e da Europa (25%).
Ásia
Nos últimos dois trimestres, o setor de jogos e apostas foi o mais visado na Ásia. No entanto, no segundo trimestre, o setor de jogos e apostas caiu para o segundo lugar, e as criptomoedas assumiram a liderança como o setor mais atacado (aproximadamente 50%). Porções substanciais do tráfego de ataques originaram-se da própria Ásia (30%) e da América do Norte (30%).
Europa
Pelo terceiro trimestre consecutivo, o setor de jogos e apostas continua sendo o mais atacado na Europa. Os setores de hotelaria e mídia de transmissão vêm logo atrás, como o segundo e terceiro mais atacados. A maior parte do tráfego de ataques veio de dentro da própria Europa (40%) e da Ásia (20%).
América Latina
Surpreendentemente, metade de todo o tráfego de ataques direcionado à América Latina teve como alvo a indústria de artigos esportivos. No trimestre anterior, o setor BFSI foi o mais atacado. Aproximadamente 35% do tráfego de ataques originou-se da Ásia e mais 25% da Europa.
Oriente Médio
Os setores de mídia e jornais foram as mais atacadas no Oriente Médio. A grande maioria do tráfego de ataques originou-se da Europa (74%).
América do Norte
Pelo segundo trimestre consecutivo, as empresas de marketing e publicidade foram as mais atacadas na América do Norte (aproximadamente 35%). Empresas de manufatura e software de computador ocuparam o segundo e terceiro lugares, respectivamente. As principais fontes do tráfego de ataques foram a Europa (42%) e os próprios EUA (35%).
Oceania
Neste trimestre, o setor de biotecnologia foi o mais atacado. Anteriormente, foi o setor de saúde e bem-estar. A maior parte do tráfego de ataques originou-se da Ásia (38%) e da Europa (25%).
Países e regiões sob ataque: examinando os alvos dos ataques DDoS.
Quando examinamos o volume total de tráfego de ataques, no trimestre anterior, Israel se destacou como o país mais atacado. Neste trimestre, os ataques direcionados a sites israelenses diminuíram em 33%, levando o país para o quarto lugar. Os EUA assumem a liderança novamente como o país mais atacado, seguidos por Canadá e Singapura.
Se normalizarmos os dados por país e região e dividirmos o tráfego de ataques pelo tráfego total, obtemos uma imagem diferente. A Palestina sobe para o primeiro lugar como o país mais atacado. Quase 12% de todo o tráfego para sites palestinos foi de ataques DDoS por HTTP.
No último trimestre, observamos uma notável mudança na camada de rede, com as redes finlandesas sob a proteção da Cloudflare emergindo como o alvo principal. Esse aumento provavelmente estava relacionado às negociações diplomáticas que precipitaram a integração formal da Finlândia à OTAN. Cerca de 83% de todo o tráfego de entrada para a Finlândia consistia em ciberataques, com a China em um próximo segundo lugar, com 68% de tráfego de ataques.
No entanto, este trimestre apresenta uma imagem muito diferente. A Finlândia saiu dos dez principais e as redes da internet chinesas por trás da Cloudflare assumiram o primeiro lugar. Quase dois terços dos fluxos de bytes direcionados às redes chinesas protegidas pela Cloudflare eram maliciosos. Em seguida, a Suíça teve metade do seu tráfego de entrada constituído por ataques, e a Turquia ficou em terceiro lugar, com um quarto de seu tráfego de entrada identificado como hostil.
Ataque DDoS com pedido de resgate
Ocasionalmente, os ataques DDoS são realizados para extorquir pagamentos de resgate. Temos realizado pesquisas com os clientes da Cloudflare há três anos e acompanhado a ocorrência de eventos de ataques DDoS com pedido de resgate.
Ao contrário dos ataques de Ransomware, nos quais as vítimas geralmente caem em armadilhas ao baixar um arquivo malicioso ou clicar em um link comprometido em um e-mail, que bloqueia, exclui ou vaza seus arquivos até que um resgate seja pago, os ataques DDoS com pedido de resgate podem ser muito mais simples para os agentes de ameaças executarem. Os ataques DDoS com pedido de resgate evitam a necessidade de táticas enganosas, como atrair vítimas para abrir e-mails suspeitos ou clicar em links fraudulentos, e não exigem uma violação da rede ou acesso a recursos corporativos.
No último trimestre, os relatos de ataques DDoS com pedido de resgate diminuíram. Um em cada dez entrevistados relatou ter sido ameaçado ou ter sido alvo de ataques DDoS com pedido de resgate.
Concluindo: o cenário de ameaças DDoS em constante evolução.
Nos últimos meses, temos testemunhado um alarmante aumento na sofisticação dos ataques DDoS. Mesmo os maiores e mais sofisticados ataques que já vimos podem durar apenas alguns minutos ou até mesmo segundos, o que não dá tempo suficiente para uma resposta humana. Antes mesmo que o alerta do PagerDuty seja enviado, o ataque pode ter acabado e o estrago já foi feito. A recuperação de um ataque DDoS pode levar muito mais tempo do que o próprio ataque, assim como um boxeador pode precisar de um tempo para se recuperar de um golpe no rosto que dura apenas uma fração de segundo.
A segurança não é um único produto ou o clique de um botão, mas sim um processo que envolve múltiplas camadas de defesa para reduzir o risco do impacto. Os sistemas automatizados de defesa contra DDoS da Cloudflare protegem consistentemente nossos clientes contra ataques DDoS, permitindo que eles se concentrem em suas operações principais. Esses sistemas são complementados pela ampla gama de recursos da Cloudflare, como firewall, detecção de bots, proteção de APIs e até mesmo o Caching, que podem contribuir para reduzir o risco do impacto.
O panorama de ameaças DDoS está evoluindo e se tornando cada vez mais complexo, exigindo mais do que simples soluções rápidas. Felizmente, com as defesas em várias camadas da Cloudflare e proteções automáticas contra DDoS, nossos clientes estão preparados para enfrentar esses desafios com confiança. Nossa missão é ajudar a construir uma internet melhor, e por isso continuamos de prontidão, garantindo um ambiente digital mais seguro e confiável para todos.
Metodologias
Como calculamos os insights de ataque DDoS com pedido de resgate
Os sistemas da Cloudflare analisam constantemente o tráfego e ao detectar ataques DDoS, automaticamente aplicam a mitigação. Cada cliente que sofre um ataque DDoS recebe uma pesquisa automatizada a fim de nos ajudar a entender melhor a natureza do ataque e o êxito da mitigação. A Cloudflare faz a pesquisa com clientes atacados há mais de dois anos. Uma das perguntas da pesquisa é se os entrevistados receberam uma ameaça ou uma nota de resgate. Nos últimos dois anos, coletamos, em média, 164 respostas por trimestre. As respostas desta pesquisa são usadas para calcular a porcentagem de ataques DDoS com pedido de resgate.
Como calculamos insights geográficos e por setor
País de origem
Na camada de aplicação, usamos os endereços de IP de ataque para entender o país de origem dos ataques. Isso ocorre porque nessa camada, os endereços de IP não podem ser falsificados (ou seja, alterados). No entanto, na camada de rede, os endereços de IP de origem podem ser falsificados. Portanto, em vez de confiar em endereços de IP para entender a origem, usamos a localização de nossos data centers onde os pacotes de ataque foram ingeridos. Conseguimos obter precisão geográfica devido à nossa ampla cobertura global em mais de 285 locais em todo o mundo.
País visado
Para ataques DDoS na camada de aplicação e na camada de rede, agrupamos ataques e tráfego por país de cobrança de nossos clientes. Isso nos permite entender quais países estão sujeitos a mais ataques.
Setor visado
Para ataques DDoS na camada de aplicação e na camada de rede, agrupamos ataques e tráfego por setor de nossos clientes de acordo com nosso sistema de gerenciamento de relacionamento com o cliente. Isso nos permite entender quais setores estão sujeitos a mais ataques.
Volume total versus porcentagem
Para informações de origem e destino, analisamos o volume total do tráfego de ataque em comparação com todo o tráfego como um ponto de dados. Além disso, também analisamos a porcentagem de tráfego de ataque de ou para um país específico, para um país específico ou para um setor específico. Isso nos dá uma “taxa de atividade de ataques” para um determinado país/setor que é normalizada por seus níveis totais de tráfego. Isso nos ajuda a remover tendências de um país ou setor que normalmente recebe muito tráfego e, portanto, também muito tráfego de ataque.
Como calculamos as características dos ataques
Para calcular o tamanho, a duração, os vetores dos ataques e as ameaças emergentes, agrupamos os ataques e, em seguida, fornecemos a parcela de cada bucket em relação ao valor total de cada dimensão. No novo componente do Radar, em vez disso, essas tendências são calculadas pelo número de bytes. Como os ataques podem variar significativamente em número de bytes entre si, isso poderia levar a tendências diferentes entre os relatórios e o componente do Radar.
Isenção de responsabilidade e esclarecimentos gerais
Quando descrevemos os "principais países" como origem ou alvo de ataques, isso não significa necessariamente que esse país foi atacado como um país, mas sim que as organizações que usam esse país como país de cobrança foram alvo de ataques. Da mesma forma, ataques originários de um país não significam que esse país lançou os ataques, mas sim que o ataque foi lançado a partir de endereços de IP que foram mapeados para esse país. Atores de ameaças operam botnets mundiais com nós em todo o mundo e, em muitos casos, também usam redes privadas virtuais e proxies para ofuscar sua verdadeira localização. Portanto, o país de origem pode indicar a presença de nós de saída ou nós de botnets nesse país.