Boas-vindas à 18ª edição do relatório sobre ameaças de DDoS da Cloudflare. Lançados trimestralmente, esses relatórios fornecem uma análise aprofundada do cenário de ameaças de DDoS conforme observado em toda a rede da Cloudflare. Esta edição se concentra no segundo trimestre de 2024.
Com uma rede de 280 terabits por segundo localizada em mais de 230 cidades em todo o mundo, atendendo a 19% de todos os sites, a Cloudflare tem um posicionamento privilegiado e sem paralelo que nos permite fornecer insights e tendências valiosas para a comunidade da internet mais ampla.
Principais insights para o T2 de 2024
A Cloudflare registrou um aumento de 20% nos ataques DDoS em relação ao ano anterior.
Um em cada 25 entrevistados disse que os ataques DDoS contra eles foram realizados por agentes de ameaças em nível de estado ou patrocinados por estados.
Os recursos de agentes de ameaças atingiram um recorde histórico, pois nossas defesas automatizadas geraram dez vezes mais impressões digitais para combater e mitigar os ataques DDoS ultrassofisticados.
Veja a versão interativa deste relatório no Cloudflare Radar.
Recapitulação rápida - O que é um ataque DDoS?
Antes de nos aprofundarmos, vamos recapitular o que é um ataque DDoS. Abreviação de negação de serviço distribuída, um ataque DDoS é um tipo de ataque cibernético projetado para derrubar ou interromper os serviços de internet, como sites ou aplicativos móveis, tornando-os indisponíveis para os usuários. De modo geral, isso é obtido sobrecarregando o servidor da vítima com mais tráfego do que ele pode suportar, geralmente de diversas fontes na internet, tornando-o incapaz de lidar com o tráfego de usuários legítimos.
Diagrama de um ataque DDoS
Para saber mais sobre ataques DDoS e outros tipos de ameaças cibernéticas, visite nosso centro de aprendizagem, acesse relatórios anteriores sobre ameaças de DDoS no blog da Cloudflare ou visite nosso hub interativo, Cloudflare Radar. Há também uma API gratuita para os interessados em investigar essas e outras tendências da internet.
Para saber mais sobre a nossa preparação de relatórios, consulte as nossas Metodologias.
A sofisticação dos agentes de ameaças alimenta o aumento contínuo de ataques DDoS
No primeiro semestre de 2024, mitigamos 8,5 milhões de ataques DDoS: 4,5 milhões no primeiro trimestre e 4 milhões no segundo trimestre. No geral, o número de ataques DDoS no segundo trimestre diminuiu 11% em relação ao trimestre anterior, mas aumentou 20% em relação ao ano anterior.
Distribuição de ataques DDoS por tipos e vetores
Para fins de contexto, durante todo o ano de 2023, mitigamos 14 milhões de ataques DDoS e, na metade de 2024, já mitigamos 60% dos ataques DDoS do ano passado.
A Cloudflare mitigou com sucesso 10,2 trilhões de solicitações de DDoS por HTTP e 57 petabytes de tráfego de ataques DDoS na camada de rede, evitando que chegassem ao servidor de origem de nossos clientes.
Estatísticas de ataques DDoS no segundo trimestre de 2024
Quando analisamos mais detalhadamente, esses 4 milhões de ataques DDoS foram compostos de 2,2 milhões de ataques DDoS na camada de rede e 1,8 milhão de ataques DDoS por HTTP. Esse número de 1,8 milhão de ataques DDoS por HTTP foi normalizado para compensar a explosão de ataques DDoS por HTTP sofisticados e randomizados. Nossos sistemas de mitigação automatizados geram impressões digitais em tempo real para ataques DDoS e, devido à natureza aleatória desses ataques sofisticados, observamos muitas impressões digitais sendo geradas para ataques únicos. O número real de impressões digitais geradas ficou mais próximo de 19 milhões, mais de dez vezes maior do que o número normalizado de 1,8 milhão. Os milhões de impressões digitais que foram gerados para lidar com a randomização resultaram de algumas regras únicas. Essas regras fizeram seu trabalho para impedir os ataques, mas inflacionaram os números, por isso as excluímos do cálculo.
Ataques DDoS por HTTP por trimestre, com as impressões digitais excluídas
Essa diferença em dez vezes ressalta a mudança drástica no cenário das ameaças. As ferramentas e recursos que permitiam que os agentes de ameaças realizassem tais ataques randomizados e sofisticados estavam anteriormente associados a recursos reservados a agentes em nível de estado ou patrocinados por estados. Mas, coincidindo com a ascensão da IA generativa e sistemas de piloto automático que podem ajudar os agentes a escrever códigos melhores com mais rapidez, esses recursos chegaram ao criminoso cibernético comum.
Ataque DDoS com pedido de resgate
Em maio de 2024, o percentual de clientes da Cloudflare atacados que relataram ter sido ameaçados por um agente de ameaças de ataque DDoS ou submetidos a um ataque DDoS com pedido de resgate atingiu 16%, o mais alto dos últimos 12 meses. O trimestre começou relativamente com um percentual baixo, com 7% dos clientes relatando uma ameaça ou ataque com pedido de resgate. Esse número saltou rapidamente para 16% em maio e caiu ligeiramente em junho, para 14%.
Porcentagem de clientes que relatam ameaças DDoS ou extorsão com pedido de resgate (por mês)
Em geral, os ataques DDoS com pedido de resgate vêm aumentando de um trimestre para outro ao longo do ano passado. No segundo trimestre de 2024, o percentual de clientes que relataram ter sido ameaçados ou extorquidos foi de 12,3%, um pouco maior que o do trimestre anterior (10,2%), mas semelhante ao percentual do ano anterior (também 12,0%).
Percentual de clientes que relatam ameaça DDoS ou extorsão com pedido de resgate (por trimestre)
Agentes de ameaças
75% dos entrevistados relataram não saber quem os atacou ou por quê. Os entrevistados são clientes da Cloudflare que foram alvo de ataques DDoS por HTTP.
Dos entrevistados que afirmam saber, 59% disseram que foi um concorrente que os atacou. Outros 21% disseram que o ataque DDoS foi realizado por um cliente ou usuário insatisfeito e outros 17% disseram que os ataques foram realizados por agentes de ameaças em nível de estado ou patrocinados por estados. Os 3% restantes relataram ser um ataque DDoS autoinfligido.
Percentual do tipo de agente de ameaças relatado por clientes da Cloudflare , excluindo invasores desconhecidos e atípicos
Principais países e regiões atacados
INo segundo trimestre de 2024, a China foi classificada como o país mais atacado do mundo. Essa classificação leva em consideração ataques DDoS por HTTP, ataques DDoS na camada de rede, o volume total e o percentual de tráfego de ataques DDoS com relação ao tráfego total, e os gráficos mostram essa atividade geral de ataques DDoS por país ou região. Uma barra mais longa no gráfico significa mais atividade de ataques.
Depois da China, a Turquia ficou em segundo lugar, seguida por Cingapura, Hong Kong, Rússia, Brasil e Tailândia. Os outros países e regiões que compõem os 15 países mais atacados são fornecidos no gráfico abaixo.
Os 15 países e regiões mais atacados no T2 de 2024
Setores mais atacados
Tecnologia da informação e serviços foi classificado como o setor mais visado no segundo trimestre de 2024. As metodologias de classificação que usamos aqui seguem os mesmos princípios descritos anteriormente para filtrar o volume total e o tráfego relativo de ataques DDoS tanto por HTTP quanto na camada de rede em uma única classificação de atividade de ataques DDoS
O setor de telecomunicações, provedores de serviços e operadoras ficou em segundo lugar. Bens de consumo ficou em terceiro lugar.
Os 15 setores mais atacados no T2 de 2024
Ao analisar apenas os ataques DDoS por HTTP, vemos um quadro diferente. Jogos e apostas recebeu a maioria dos ataques em termos de volume de solicitações de ataques DDoS por HTTP. A discriminação por região é fornecida abaixo.
Setores mais atacados por região (ataques DDoS por HTTP)
Maiores origens de ataques DDoS
A Argentina foi classificada como a maior origem de ataques DDoS no segundo trimestre de 2024. As metodologias de classificação que usamos aqui seguem os mesmos princípios descritos anteriormente para filtrar o volume total e o tráfego relativo de ataques DDoS tanto por HTTP quanto na camada de rede em uma única classificação de atividade de ataques DDoS
A Indonésia seguiu de perto em segundo lugar, seguida pelos Países Baixos em terceiro.
As 15 maiores origens de ataques DDoS no T2 de 2024
Características dos ataques DDoS
Vetores de ataques DDoS na camada de rede
Apesar de uma queda de 49% no trimestre, os ataques DDoS baseados em DNS continuam sendo o vetor de ataque mais comum, com uma participação combinada de 37% para inundações de DNS e ataques de amplificação de DNS. As inundações SYN ficaram em segundo lugar com uma participação de 23%, seguidas pelas inundações RST respondendo por pouco mais de 10%. Inundações SYN e inundações RST são ambos tipos de ataques DDoS baseados em TCP. Coletivamente, todos os tipos de ataques DDoS baseados em TCP representaram 38% de todos os ataques DDoS na camada de rede.
Principais vetores de ataque (camada de rede)
Vetores de ataque DDoS por HTTP
Uma das vantagens de operar uma grande rede é que vemos muito tráfego e ataques. Isso nos ajuda a melhorar nossos sistemas de detecção e mitigação para proteger nossos clientes. No último trimestre, metade de todos os ataques DDoS por HTTP foram mitigados usando heurísticas proprietárias que visavam botnets conhecidas pela Cloudflare. Essas heurísticas orientam nossos sistemas sobre como gerar uma impressão digital em tempo real para corresponder aos ataques.
Outros 29% foram ataques DDoS por HTTP que usaram agentes de usuário falsos, navegadores falsificados ou foram de navegadores sem cabeçalho. Outros 13% tinham atributos HTTP suspeitos que acionaram nosso sistema automatizado e 7% foram marcados como inundações genéricas. Algo a se observar é que esses vetores de ataque, ou grupos de ataque, não são necessariamente exclusivos. Por exemplo, botnets conhecidas também se fazem passar por navegadores e têm atributos HTTP suspeitos, mas este detalhamento é nossa tentativa inicial de categorizar os ataques DDoS por HTTP.
Principais vetores de ataque (HTTP)
Versões HTTP utilizadas em ataques DDoS
No segundo trimestre, cerca de metade de todo o tráfego da web usava HTTP/2, 29% usavam HTTP/1.1, um quinto adicional usou o HTTP/3, quase 0,62% usou o HTTP/1.0, e 0,01% usou HTTP/1.2.
Distribuição do tráfego da web por versão HTTP
Os ataques DDoS por HTTP seguem um padrão semelhante em termos de adoção de versões, embora com uma tendência maior para a HTTP/2. 76% do tráfego de ataques DDoS por HTTP ocorreu na versão HTTP/2 e quase 22% na versão HTTP/1.1. A HTTP/3, por outro lado, teve um uso muito menor. Apenas 0,86% do tráfego de ataques DDoS por HTTP foi por HTTP/3, ao contrário da adoção muito mais ampla de 20% por todo o tráfego da web.
Distribuição do tráfego de ataques DDoS por HTTP por versão HTTP
Duração dos ataques DDoS
A grande maioria dos ataques DDoS são curtos. Mais de 57% dos ataques DDoS por HTTP e 88% dos ataques DDoS na camada de rede terminam em 10 minutos ou menos. Isso enfatiza a necessidade de sistemas de detecção e mitigação automatizados e em linha. Dez minutos não são tempo suficiente para um ser humano responder a um alerta, analisar o tráfego e aplicar mitigações manuais.
No outro lado dos gráficos, podemos ver que aproximadamente um quarto dos ataques DDoS por HTTP dura mais de uma hora e quase um quinto dura mais de um dia. Na camada de rede, ataques mais longos são significativamente menos comuns. Apenas 1% dos ataques DDoS na camada de rede duram mais de 3 horas.
Ataques DDoS por HTTP: distribuição por duração
Ataques DDoS na camada de rede: distribuição por duração
Tamanho do ataque de DDoS
A maioria dos ataques DDoS são relativamente pequenos. Mais de 95% dos ataques DDoS na camada de rede ficam abaixo de 500 megabits por segundo e 86% ficam abaixo de 50 mil pacotes por segundo.
Distribuição de ataques DDoS na camada de rede por taxa de bits
Distribuição de ataques DDoS na camada de rede por taxa de pacotes
Da mesma forma, 81% dos ataques DDoS por HTTP ficam abaixo de 50 mil solicitações por segundo. Embora essas taxas sejam pequenas na escala da Cloudflare , elas ainda podem ser devastadoras para o site desprotegido, não acostumado a esses níveis de tráfego.
Distribuição de ataques DDoS por HTTP por taxa de solicitação
Apesar de a maioria dos ataques serem pequenos, o número de ataques volumétricos maiores aumentou. Um em cada 100 ataques DDoS na camada de rede excede um milhão de pacotes por segundo (pps) e dois em cada 100 excedem 500 gigabits por segundo. Na camada de aplicação, quatro em cada mil ataques DDoS por HTTP excedem um milhão de solicitações por segundo.
Principais conclusões
A maioria dos ataques DDoS são pequenos e rápidos. No entanto, até esses ataques podem interromper os serviços on-line que não seguem as práticas recomendadas de defesa contra DDoS.
Além disso, a sofisticação dos agentes de ameaças está aumentando, talvez devido à disponibilidade de IA generativa e ferramentas de copiloto para desenvolvedores, resultando em códigos de ataque que fornecem ataques DDoS, contra os quais é mais difícil se defender. Mesmo antes do aumento da sofisticação dos ataques, muitas organizações lutavam para se defender contra essas ameaças por conta própria. Mas elas não precisam. A Cloudflare está aqui para ajudar. Investimos recursos significativos, para que você não precise fazer isso, para garantir que nossas defesas automatizadas, juntamente com todo o portfólio de produtos de segurança da Cloudflare, protejam contra ameaças existentes e emergentes.