Assine para receber notificações de novos posts:

Relatório sobre ameaças DDoS no T1 de 2024

2024-04-16

9 min. de leitura
Este post também está disponível em English, 繁體中文, Français, Deutsch, 日本語, 한국어, Español e 简体中文.

Boas-vindas à 17ª edição do relatório sobre ameaças DDoS da Cloudflare. Esta edição cobre o cenário de ameaças DDoS e apresenta as principais constatações observadas na rede da Cloudflare durante o primeiro trimestre de 2024.

DDoS threat report for 2024 Q1

O que é ataque DDoS?

Mas antes, uma rápida recapitulação. Um ataque DDoS, abreviação de ataque de negação de serviço distribuída, é um tipo de ataque cibernético que visa derrubar ou interromper serviços de internet , como sites ou aplicativos móveis, e torná-los indisponíveis para os usuários. Os ataques DDoS geralmente são feitos inundando o servidor da vítima com mais tráfego do que ele pode suportar.

Para saber mais sobre ataques DDoS e outros tipos de ataques, visite nosso Centro de aprendizagem.

Como acessar relatórios anteriores

Lembre-se de que você pode acessar as edições anteriores dos relatórios sobre ameaças DDoS no blog da Cloudflare . Eles também estão disponíveis em nosso hub interativo, Cloudflare Radar. No Radar, você pode encontrar tráfego global da internet, ataques e tendências e insights tecnológicos, com recursos de detalhamento e filtragem, para que você possa ampliar em países, setores e redes específicos. Há também uma API gratuita que permite que acadêmicos, investigadores de dados e outros entusiastas da web investiguem as tendências da internet em todo o mundo.

Para saber como elaboramos este relatório, consulte as nossas Metodologias.

Principais insights do T1 de 2024

Os principais insights do primeiro trimestre de 2024 incluem:

  • 2024 começou com tudo. Os sistemas de defesa da Cloudflare mitigaram automaticamente 4,5 milhões de ataques DDoS durante o primeiro trimestre, representando um aumento de 50% em relação ao ano anterior.

  • Os ataques DDoS baseados em DNS aumentaram 80% em relação ao ano anterior e continuam sendo o vetor de ataque mais proeminente.

  • Os ataques DDoS na Suécia aumentaram 466% após sua aceitação na aliança da OTAN, refletindo o padrão observado durante a adesão da Finlândia à OTAN em 2023.

Começando 2024 com tudo

Acabamos de encerrar o primeiro trimestre de 2024 e nossas defesas automatizadas já mitigaram 4,5 milhões de ataques DDoS, uma quantidade equivalente a 32% de todos os ataques DDoS que mitigamos em 2023.

Dividindo por tipos de ataque, os ataques DDoS por HTTP aumentaram 93% em relação ao ano anterior e 51% no trimestre. Os ataques DDoS na camada de rede, também conhecidos como ataques DDoS nas camadas 3 e 4, aumentaram 28% em relação ao ano anterior e 5% no trimestre.

T1 de 2024: a Cloudflare mitigou 4,5 milhões de ataques DDoS

Ao comparar o número combinado de ataques DDoS por HTTP e ataques DDoS nas camadas 3 e 4, podemos ver que, no geral, no primeiro trimestre de 2024, a contagem aumentou 50% em relação ao ano anterior e 18% em relação ao trimestre anterior.

Ataques DDoS por ano e trimestre

DDoS attacks by year and quarter

No total, nossos sistemas mitigaram 10,5 trilhões de solicitações de ataques DDoS por HTTP no primeiro trimestre. Nossos sistemas também mitigaram mais de 59 petabytes de tráfego de ataques DDoS apenas na camada de rede.

Entre esses ataques DDoS na camada de rede, muitos deles excederam a taxa de 1 terabit por segundo, quase uma vez por semana. O maior ataque que mitigamos até agora em 2024 foi lançado por uma botnet variante da Mirai. O ataque chegou a atingir 2 Tbps e teve como alvo um provedor de hospedagem asiático protegido pelo Magic Transit da Cloudflare. Os sistemas da Cloudflare detectaram e mitigaram o ataque automaticamente.

A botnet Mirai, famosa por seus enormes ataques DDoS, era composta principalmente de dispositivos de IoT infectados. Ela interrompeu notavelmente o acesso à internet nos EUA em 2016, visando provedores de serviços de DNS. Quase oito anos depois, os ataques da Mirai ainda são muito comuns. Quatro em cada cem ataques DDoS por HTTP e dois em cada cem ataques DDoS nas camadas 3 e 4 são lançados por uma botnet variante da Mirai. A razão pela qual dizemos "variante" é que o código-fonte da Mirai se tornou público e, ao longo dos anos, houve muitas permutações do original.

A botnet Mirai visa provedor de hospedagem asiático com ataque DDoS de 2 Tbps

Mirai botnet targets Asian hosting provider with 2 Tbps DDoS attack

Os ataques ao DNS aumentaram 80%

Em março de 2024, apresentamos um de nossos sistemas de defesa contra DDoS mais recentes, o sistema Advanced DNS Protection. Esse sistema complementa nossos sistemas existentes e foi projetado para proteger contra os mais sofisticados ataques DDoS baseados em DNS.

Não foi à toa que decidimos investir neste novo sistema. Os ataques DDoS baseados em DNS tornaram-se o vetor de ataque mais proeminente e sua participação entre todos os ataques na camada de rede continua a crescer. No primeiro trimestre de 2024, a participação de ataques DDoS baseados em DNS aumentou 80% em relação ao ano anterior, crescendo para aproximadamente 54%.

Ataques DDoS baseados em DNS por ano e trimestre

DNS-based DDoS attacks by year and quarter

Apesar do aumento nos ataques ao DNS e devido ao aumento geral em todos os tipos de ataques DDoS, a participação de cada tipo de ataque, notavelmente, permanece a mesma conforme observado em nosso relatório anterior para o último trimestre de 2023. Os ataques DDoS por HTTP permanecem em 37% de todos os ataques DDoS, ataques DDoS ao DNS com 33%, e os 30% restantes são deixados para todos os outros tipos de ataques nas camadas 3 e 4, como inundações de SYN e inundações de UDP.

Distribuição por tipo de ataque

Attack type distribution

E, de fato, as inundações de SYN foram o segundo ataque mais comum nas camadas 3 e 4. O terceiro foram as RST Floods, outro tipo de ataque DDoS baseado em TCP. As inundações de UDP ficaram em quarto lugar, com 6% de participação.

Principais vetores de ataque

Top attack vectors

Ao analisar os vetores de ataque mais comuns, também verificamos o vetor de ataque que experimentou o maior crescimento, mas não necessariamente chegou à lista dos dez principais. Entre os vetores de ataque que mais cresceram (ameaças emergentes), a Jenkins Flood teve o maior crescimento, mais de 826% em termos trimestrais.

A Jenkins Flood é um ataque DDoS que explora vulnerabilidades no servidor de automação Jenkins, especificamente através de serviços de multicast/transmissão UDP e multicast DNS. Os invasores podem enviar solicitações pequenas e criadas especialmente para uma porta UDP voltada para o público nos servidores Jenkins, fazendo com que eles respondam com quantidades de dados desproporcionalmente grandes. Isto pode amplificar significativamente o volume de tráfego, sobrecarregando a rede do alvo e levando à interrupção do serviço.O Jenkins abordou essa vulnerabilidade (CVE-2020-2100) em 2020, desativando esses serviços por padrão em versões posteriores. No entanto, como podemos ver, mesmo quatro anos depois, essa vulnerabilidade ainda é abusada para lançar ataques DDoS.

Vetores de ataque que experimentaram o maior crescimento na comparação trimestral

Attack vectors that experienced the largest growth QoQ

HTTP/2 Continuation Flood

Outro vetor de ataque que vale a pena discutir é a HTTP/2 Continuation Flood. Este vetor de ataque foi possibilitado por uma vulnerabilidade que foi descoberta e relatada publicamente pelo pesquisador Bartek Nowotarski em 3 de abril de 2024.

A vulnerabilidade da HTTP/2 Continuation Flood visa implementações do protocolo HTTP/2 que lidam inadequadamente com CABEÇALHOS e vários CONTINUATION frames. O agente da ameaça envia uma sequência de CONTINUATION frames sem o sinalizador END_HEADRS, levando a possíveis problemas de servidor, como falhas de memória ou esgotamento da CPU. A HTTP/2 Continuation Flood permite que até mesmo uma única máquina interrompa o site e as APIs usando HTTP/2, com o desafio adicional de difícil detecção devido à falta de solicitações visíveis nos logs de acesso HTTP.

Essa vulnerabilidade representa uma ameaça potencialmente grave, mais prejudicial do que as conhecidas anteriormente conhecido, HTTP/2 Rapid Reset, que resultou em algumas das maiores campanhas de ataque DDoS por HTTP/2 já registradas na história. Durante essa campanha, milhares de ataques DDoS hipervolumétricos tiveram como alvo a Cloudflare. Os ataques tinham a intensidade de vários milhões de solicitações por segundo. A taxa média de ataque dessa campanha, registrada pela Cloudflare, foi de 30 milhões de rps. Aproximadamente 90 ataques atingiram um pico acima de 100 milhões de rps e o maior que vimos atingiu 201 milhões de rps. Uma cobertura adicional foi publicada em nosso relatório sobre ameaças DDoS no terceiro trimestre de 2023.

Campanha HTTP/2 Rapid Reset de ataques DDoS hipervolumétricos no T3 de 2023

HTTP/2 Rapid Reset campaign of hyper-volumetric DDoS attacks in 2023 Q3

A rede da Cloudflare, sua implementação HTTP/2 e os clientes que usam nossos serviçosWAF/CDN não são afetados por esta vulnerabilidade. Além disso, não temos conhecimento de nenhum agente de ameaça explorando esta vulnerabilidade.

Vários CVEs foram atribuídos às várias implementações de HTTP/2 afetadas por esta vulnerabilidade. Um alerta CERT publicado por Christopher Cullen, da Carnegie Mellon University, coberto pela Bleeping Computer, lista os vários CVEs:

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Affected service CVE Details
Node.js HTTP/2 server CVE-2024-27983 Sending a few HTTP/2 frames can cause a race condition and memory leak, leading to a potential denial of service event.
Envoy's oghttp codec CVE-2024-27919 Not resetting a request when header map limits are exceeded can cause unlimited memory consumption which can potentially lead to a denial of service event.
Tempesta FW CVE-2024-2758 Its rate limits are not entirely effective against empty CONTINUATION frames flood, potentially leading to a denial of service event.
amphp/http CVE-2024-2653 It collects CONTINUATION frames in an unbounded buffer, risking an out of memory (OOM) crash if the header size limit is exceeded, potentially resulting in a denial of service event.
Go's net/http and net/http2 packages CVE-2023-45288 Allows an attacker to send an arbitrarily large set of headers, causing excessive CPU consumption, potentially leading to a denial of service event.
nghttp2 library CVE-2024-28182 Involves an implementation using nghttp2 library, which continues to receive CONTINUATION frames, potentially leading to a denial of service event without proper stream reset callback.
Apache Httpd CVE-2024-27316 A flood of CONTINUATION frames without the END_HEADERS flag set can be sent, resulting in the improper termination of requests, potentially leading to a denial of service event.
Apache Traffic Server CVE-2024-31309 HTTP/2 CONTINUATION floods can cause excessive resource consumption on the server, potentially leading to a denial of service event.
Envoy versions 1.29.2 or earlier CVE-2024-30255 Consumption of significant server resources can lead to CPU exhaustion during a flood of CONTINUATION frames, which can potentially lead to a denial of service event.

Serviço afetado

CVE

Top attacked industries by HTTP DDoS attacks, by region

Detalhes

Servidor Node.js HTTP/2

Top attacked industries by HTTP DDoS attacks

CVE-2024-27983

O envio de alguns quadros HTTP/2 pode causar uma condição de corrida e vazamento de memória, levando a um possível evento de negação de serviço.

Top attacked industries by L3/4 DDoS attacks

Codec oghttp do Envoy

CVE-2024-27919

Top attacked industries by HTTP DDoS attacks (normalized)

Não redefinir uma solicitação quando os limites do mapa de cabeçalho são excedidos pode causar um consumo ilimitado de memória, o que pode levar a um evento de negação de serviço.

Tempesta FW

Top attacked industries by L3/4 DDoS attacks (normalized)

CVE-2024-2758

Seus limites de taxa não são totalmente eficazes contra a inundação de CONTINUATION frames vazios, levando potencialmente a um evento de negação de serviço.

amphp/http

CVE-2024-2653

The top sources of HTTP DDoS attacks

Ele coleta CONTINUATION frames em um buffer ilimitado, arriscando uma falha de falta de memória (OOM) se o limite de tamanho do cabeçalho for excedido, resultando possivelmente em um evento de negação de serviço.

Pacotes net/http e net/http2 do Go

CVE-2023-45288

The top sources of L3/4 DDoS attacks

Permite que um invasor envie um conjunto arbitrário grande de cabeçalhos, causando um consumo excessivo da CPU e levando possivelmente a um evento de negação de serviço.

biblioteca nghttp2

The top sources of HTTP DDoS attacks (normalized)

CVE-2024-28182

Envolve uma implementação usando a biblioteca nghttp2, que continua a receber CONTINUATION frames, levando possivelmente a um evento de negação de serviço sem o retorno de chamada de redefinição do fluxo adequado.

The top sources of L3/4 DDoS attacks (normalized)

Apache Httpd

CVE-2024-27316

Uma inundação de CONTINUATION frames sem o sinalizador END_HEADRS definido pode ser enviada, resultando no encerramento inadequado de solicitações, levando possivelmente a um evento de negação de serviço.

Top attacked countries and regions by HTTP DDoS attacks

Apache Traffic Server

CVE-2024-31309

Top attacked countries and regions by HTTP DDoS attacks (normalized)

As CONTINUATION floods de HTTP/2 podem causar um consumo excessivo de recursos no servidor, levando possivelmente a um evento de negação de serviço.

Versões do Envoy 1.29.2 ou anteriores

Top attacked countries and regions by L3/4 DDoS attacks

CVE-2024-30255

O consumo de recursos significativos do servidor pode levar ao esgotamento da CPU durante uma inundação de CONTINUATION frames, o que pode levar possivelmente a um evento de negação de serviço.

Top attacked countries and regions by L3/4 DDoS attacks (normalized)

Principais setores atacados

Ao analisar estatísticas de ataques, usamos o setor de nossos clientes conforme registrado em nossos sistemas para determinar os setores mais atacados. No primeiro trimestre de 2024, o setor mais atacado por ataques DDoS por HTTP na América do Norte foi o de marketing e publicidade. Na África e na Europa, o setor de tecnologia da informação e internet foi o mais atacado. No Oriente Médio, o setor mais atacado foi o de software de computador. Na Ásia, o setor mais atacado foi o de jogos e apostas. Na América do Sul, foi o setor de bancos, serviços financeiros e seguros (BFSI). Por último, mas não menos importante, na Oceania, foi o setor de telecomunicações.

Principais setores atingidos por ataques DDoS por HTTP por região

Globalmente, o setor de jogos e apostas foi o número um mais visado pelos ataques DDoS por HTTP. Pouco mais de sete em cada cem solicitações de DDoS que a Cloudflare mitigou foram destinadas ao setor de jogos e apostas. Em segundo lugar, o setor de tecnologia da informação e internet e, em terceiro, o de marketing e publicidade.

Principais setores atingidos por ataques DDoS por HTTP

Com uma participação de 75% de todos os bytes de ataques DDoS na camada de rede, o setor de tecnologia da informação e internet foi o mais visado pelos ataques DDoS na camada de rede. Uma possível explicação para essa grande parcela é que as empresas de tecnologia da informação e internet podem ser "super agregadores" de ataques e receber ataques DDoS que, na verdade, visam seus clientes finais. O setor de telecomunicações, o setor bancário, de serviços financeiros e de seguros (BFSI), o setor de jogos e apostas e o setor de software de computador representaram os próximos três por cento.

Principais setores atingidos por ataques DDoS nas camadas 3 e 4

Ao normalizar os dados dividindo o tráfego de ataque pelo tráfego total para um determinado setor, obtemos uma imagem completamente diferente. Na frente HTTP, o setor de escritórios de advocacia e serviços legais foi o mais atacado, com mais de 40% de seu tráfego sendo de ataques DDoS por HTTP. O setor de biotecnologia ficou em segundo lugar com uma participação de 20% no tráfego de ataques DDoS por HTTP. Em terceiro lugar, as organizações sem fins lucrativos tiveram uma participação de 13% dos ataques DDoS por HTTP. Em quarto, aviação e aeroespacial, seguidos por transportes, atacado, relações governamentais, cinematográficos e filmes, políticas públicas e entretenimento adulto para completar os dez primeiros.

Principais setores atingidos por ataques DDoS por HTTP (normalizado)

Voltando à camada de rede, quando normalizado, tecnologia da informação e internet continuaram sendo o setor mais visado pelos ataques DDoS nas camadas 3 e 4, já que quase um terço de seu tráfego foi de ataques. Em segundo lugar, o setor têxtil teve uma participação de 4% dos ataques. Em terceiro, engenharia civil, seguido por serviços financeiros bancários e seguros (BFSI), militar, construção, dispositivos médicos, defesa e espaço, jogos e apostas e, por último, varejo para completar os dez primeiros.

Principais setores atingidos por ataques DDoS nas camadas 3 e 4 (normalizado)

Maiores origens de ataques DDoS

Ao analisar as origens dos ataques DDoS por HTTP, analisamos o endereço de IP de origem para determinar o local de origem desses ataques. Um país/região que é uma grande fonte de ataques indica que há provavelmente uma grande presença de nós de botnets por trás da rede privada virtual (VPN) ou endpoints de proxy que o invasor pode usar para ofuscar sua origem.

No primeiro trimestre de 2024, os Estados Unidos foram a maior fonte de tráfego de ataques DDoS por HTTP, já que um quinto de todas as solicitações de ataques DDoS se originaram de endereços de IP dos EUA. A China ficou em segundo lugar, seguida por Alemanha, Indonésia, Brasil, Rússia, Irã, Cingapura, Índia e Argentina.

As principais origens de ataques DDoS por HTTP

Na camada de rede, os endereços de IP de origem podem ser falsificados. Portanto, em vez de confiar em endereços de IP para entender a origem, usamos a localização de nossos data centers onde o tráfego de ataque foi ingerido. Podemos obter precisão geográfica devido à grande cobertura global da Cloudflare em mais de 310 cidades ao redor do mundo.

Usando a localização de nossos data centers, podemos ver que no primeiro trimestre de 2024, mais de 40% do tráfego de ataques DDoS nas camadas 3 e 4 foi ingerido em nossos data centers dos EUA, tornando os EUA a maior fonte de ataques nas camadas 3 e 4. Muito atrás, em segundo lugar, a Alemanha com 6%, seguida por Brasil, Cingapura, Rússia, Coreia do Sul, Hong Kong, Reino Unido, Países Baixos e Japão.

As principais origens de ataques DDoS nas camadas 3 e 4

Ao normalizar os dados dividindo o tráfego de ataques pelo tráfego total para um determinado país ou região, obtemos uma definição totalmente diferente. Quase um terço do tráfego HTTP originário de Gibraltar foi tráfego de ataques DDoS, tornando-o a maior origem. Em segundo lugar, Santa Helena, seguida pelas Ilhas Virgens Britânicas, Líbia, Paraguai, Mayotte, Guiné Equatorial, Argentina e Angola.

As principais origens de ataques DDoS por HTTP (normalizado)

De volta à camada de rede, normalizado, as coisas também parecem bem diferentes. Quase 89% do tráfego que ingerimos nos nossos data centers baseados no Zimbábue foram de ataques DDoS nas camadas 3 e 4. No Paraguai, foi de mais de 56%, seguido pela Mongólia, que alcançou uma participação de ataques de quase 35%. Outros locais importantes incluem a Moldávia, a República Democrática do Congo, o Equador, o Djibuti, o Azerbaijão, o Haiti e a República Dominicana.

As principais origens de ataques DDoS nas camadas 3 e 4 (normalizado)

Os locais mais atacados

Ao analisar ataques DDoS contra nossos clientes, usamos o país de faturamento para determinar o "país ou região atacados". No primeiro trimestre de 2024, os EUA foram o país mais atacado por ataques DDoS por HTTP. Aproximadamente uma em cada 10 solicitações de DDoS mitigadas pela Cloudflare visavam os EUA. Em segundo lugar, a China, seguida por Canadá, Vietnã, Indonésia, Cingapura, Hong Kong, Taiwan, Chipre e Alemanha.

Principais países e regiões atingidos por ataques DDoS por HTTP

Ao normalizar os dados dividindo o tráfego de ataques pelo tráfego total para um determinado país ou região, a lista muda drasticamente. Mais de 63% do tráfego HTTP para a Nicarágua foi tráfego de ataques DDoS, tornando-a o local mais atacado. Em segundo lugar, a Albânia, seguida por Jordânia, Guiné, São Marino, Geórgia, Indonésia, Camboja, Bangladesh e Afeganistão.

Principais países e regiões atingidos por ataques DDoS por HTTP (normalizado)

Na camada de rede, a China foi o local mais atacado, já que 39% de todos os bytes de DDoS que a Cloudflare mitigou durante o primeiro trimestre de 2024 foram direcionados aos clientes chineses da Cloudflare. Hong Kong ficou em segundo lugar, seguido por Taiwan, Estados Unidos e Brasil.

Principais países e regiões atingidos por ataques DDoS nas camadas 3 e 4

Voltando à camada de rede, quando normalizado, Hong Kong assume a liderança como o local mais visado. O tráfego de ataques DDoS nas camadas 3 e 4 representou mais de 78% de todo o tráfego com destino a Hong Kong. Em segundo lugar, a China com uma participação de DDoS de 75%, seguida pelo Cazaquistão, Tailândia, São Vicente e Granadinas, Noruega, Taiwan, Turquia, Cingapura e Brasil.

Principais países e regiões atingidos por ataques DDoS nas camadas 3 e 4 (normalizado)

A Cloudflare está aqui para ajudar, independentemente do tipo, tamanho ou duração do ataque

A missão da Cloudflare é ajudar a construir uma internet melhor, uma visão na qual a internet permaneça segura, com bom desempenho e acessível a todos. Com quatro em cada dez ataques DDoS por HTTP com duração superior a 10 minutos e aproximadamente três em cada dez se estendendo além de uma hora, o desafio é substancial. No entanto, quer um ataque envolva mais de 100 mil solicitações por segundo, como é o caso de um em cada 10 ataques, ou mesmo que exceda um milhão de solicitações por segundo, uma raridade observada em apenas quatro em cada 1.000 ataques, as defesas da Cloudflare permanecem impenetráveis.

Desde que foi pioneira na proteção contra DDoS em 2017, a Cloudflare tem honrado obstinadamente sua promessa de fornecer proteção contra DDoS de nível empresarial sem nenhum custo para todas as organizações, garantindo que nossa tecnologia avançada e nossa arquitetura de rede robusta não apenas evitem os ataques, mas também preservem o desempenho sem comprometido.

Protegemos redes corporativas inteiras, ajudamos os clientes a criarem aplicativos em escala de internet com eficiência, aceleramos qualquer site ou aplicativo de internet, evitamos os ataques de DDoS, mantemos os invasores afastados e podemos ajudar você em sua jornada rumo ao Zero Trust.

Acesse 1.1.1.1 a partir de qualquer dispositivo para começar a usar nosso aplicativo gratuito que torna sua internet mais rápida e mais segura.

Para saber mais sobre nossa missão de construir uma internet melhor, comece aqui. Se estiver procurando uma nova carreira para trilhar, confira nossas vagas disponíveis.
DDoS Reports (PT)Mirai (PT)RadarDDoSAttacks (PT)DNS Flood (PT)Trends

Seguir no X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Posts relacionados