分布式拒绝服务 (DDoS) 攻击是一种网络攻击,旨在压垮和破坏在线服务,使用户无法访问这些服务。通过利用分布式设备网络,DDoS 攻击会向目标系统发送过多请求,消耗其带宽或耗尽计算资源,直至发生故障。这些攻击对未受保护的站点非常有效,而且攻击者发动攻击的成本相对较低。尽管 DDoS 攻击是最古老的攻击类型之一,但它仍然是一个持续的威胁,通常针对知名或高流量的网站、服务或关键基础设施。自 2024 年初以来,Cloudflare 已经缓解了超过 1450 万次 DDoS 攻击,平均每小时 2200 次 DDoS 攻击。(我们的《2024 年第三季度 DDoS 威胁报告》中包含了其他相关统计数据)。
如果我们查看与过去 10 年缓解的大型攻击相关的指标,图表中会显示一条稳步增长的指数曲线并在过去几年里越来越陡峭,还是更接近线性增长?我们发现增长不是直线式的,而是指数曲线,斜率取决于我们正在查看的指标。
为什么这个问题很有趣?这很简单。这个问题的答案为了解攻击者不断演变的策略、其工具的复杂程度以及防御机制的准备程度提供了宝贵的见解。
例如,每秒请求数 (rps) 呈上升曲线表明攻击者正在更改其端侧的某些内容,从而能够生成大量请求。这一发现提示我们进行更多调查并查看其他数据,以了解是否有任何新情况发生。
例如,在其中一个时刻,我们查看了流量来源,发现从订阅者/企业 IP 地址空间(表明是 IoT)转移到了云提供商 IP 地址空间(表明是 VM),并意识到攻击者使用的设备类型和功能发生了变化。
再举一个例子:当 HTTP/2 Rapid Reset 攻击发生时,当时每秒创纪录的请求数表明攻击者正在采用一种新技术,促使我们迅速调查正在执行的操作并调整我们的防御措施。
定义单次攻击
对单个攻击的时间划分出奇的模糊。首先,攻击分析可能会在 OSI 模型的不同层提供不一致的观察结果。对于同一攻击,在所有这些不同层看到的足迹可能展现的是不同的情况。然而,我们可以将一些变量组合在一起来创建一个指纹,并对一系列事件进行分组,从而确定它们是否属于同一次攻击。示例包括:
我们是否发现这组事件使用了相同的攻击手段?
所有攻击事件是否都针对相同的目标?
事件的有效负载是否共用相同的签名?(特定数据有效负载或请求类型是特定攻击或僵尸网络所独有的,例如 Mirai,它可能使用独特的 HTTP 请求标头或数据包结构。)
DDoS 攻击规模
在深入分析过去 10 年 DDoS 攻击的增长情况之前,让我们先回顾一下通常用于衡量 DDoS 攻击的指标:每秒请求数 (rps)、每秒数据包数 (pps) 和每秒比特数 (bps)。每个指标都反映了攻击规模和影响的不同方面。
每秒请求数 (rps):衡量每秒发出的 HTTP 或类似协议请求数。此指标与应用程序层攻击(第 7 层)特别相关,此类攻击的目的是使用超过其处理能力的请求数来压垮特定应用程序或服务。该指标对于衡量针对 Web 服务器、API 或应用程序的攻击非常有用,因为它反映的是请求量,而不仅仅是原始数据传输量。
每秒数据包数 (pps):表示每秒发送到目标的单个数据包的数量,无论其大小如何。此指标对于网络层攻击(第 3 层和第 4 层)至关重要,此类攻击的目标是使用超出其数据包处理能力的数据包量来压垮网络基础设施。pps 测量值对于容量耗尽攻击非常有用,可以识别可能影响路由器、交换机或防火墙的数据包数量。
每秒比特数 (bps):该指标衡量的是每秒传输的总数据量,尤其适用于评估旨在使目标或其上游提供商的带宽饱和的网络层攻击。bps 广泛用于衡量第 3 层和第 4 层攻击,例如 UDP 洪水攻击,此类攻击旨在阻塞网络带宽。该指标在 DDoS 攻击中通常尤为重要,因为高 bps 值(通常以 GB 或 TB 为单位)表示带宽饱和,这是大规模 DDoS 活动的共同目标。
过去十年 DDoS 攻击规模的变化
那么,过去十年间 DDoS 攻击规模有何变化?在此期间,DDoS 攻击规模越来越大,攻击强度也越来越大,每年都有可能造成更大的破坏。
看看过去十年间与大型攻击相关的指标,是呈指数曲线稳定增长并不断变得陡峭(特别是在过去几年里),还是更接近于线性增长?我们发现它是呈指数曲线增长的,所以让我们来详细看看我们得出这一结论的原因。
在本次分析中,我们使用了 Google 在 2010 年到 2022 年间观察到的攻击作为基线(图 1),再加上 Cloudflare 在 2023 年和 2024 年观察到的攻击(图 2)。
回顾过去,在 21 世纪 10 年代初期,最大规模的攻击以每秒千兆位 (Gbps) 为单位,但如今,攻击以每秒太比特 (Tbps) 为单位。正如我们将看到的,如今每秒请求数 (rps) 和每秒比特数 (bps) 也显著增加。
下方图 1 中显示的 Google 历史数据表明,在 2010 年至 2022 年期间观察到的 DDoS 攻击中,每秒请求数呈上升趋势,在 2020 年达到每秒 600 万个请求 (Mrps) 的峰值。这一增长凸显了这十年间攻击量的显著增加。
图 1:2010-2022 年已知最大的 DDoS 攻击。(来源:Google)
图 2(下图)展示了不同指标的趋势。Google 统计数据中的上升趋势也体现在 Cloudflare 2023 年和 2024 年观察到且已缓解的大规模 DDoS 攻击数据中,在 2024 年 9 月达到 201 Mrps(绿线)。每秒数据包数 (pps) 的速率(蓝线)随着时间的推移呈现轻微的指数增长,从 2015 年的 230 Mpps 上升到 2024 年的 2,100 Mpps,这表明攻击者正在实现更高的吞吐量。每秒比特数 (bps) 的趋势线也是指数曲线,并且更为陡峭(红线),从 2013 年的 309 Gbps 攻击发展到 2024 年的 5.6 Tbps (5,600 Gbps) 攻击。
大约在过去十年间,推动这些指标的攻击显著增长:
2013 年至 2024 年期间,每秒比特数增长了 20 倍
2015 年至 2024 年期间,每秒数据包数增长了 10 倍
2014 年到 2024 年期间,每秒请求数增长了 70 倍
图 2:图 1 中的数据加上 Cloudflare 在 2023 年和 2024 年观察到的大规模攻击。
表 1 中列出的博客文章重点介绍了我们在 2021 年至 2024 年期间观察到的一些攻击。
月 | 攻击规模 | 博客文章 |
2021 年 8 月 | 17.2 Mrps | |
2022 年 4 月 | 15 Mrps | |
2022 年 6 月 | 2600 万 rps | |
2023 年 2 月 | 71 Mrps | |
2024 年 9 月 | 3.8 Tbps | |
2024 年 10 月 | 4.2 Tbps | |
2024 年 10 月 | 5.6 Tbps |
表 1:Cloudflare 在 2021-2024 年期间观察到的值得注意的 DDoS 攻击。
Cloudflare 学习中心中提供了过去十年发生的其他重大高流量 DDoS 攻击的概述,包括 2018 年的 Memcached 滥用和 2023 年的 HTTP/2 “Rapid Reset” 攻击。
攻击持续时间指标
攻击持续时间并不是衡量攻击强度的有效指标,因为确定单次攻击或攻击活动的持续时间具有挑战性,这是因为它们可能具有间歇性,可能同时使用多种攻击手段,或者随着时间的推移而触发不同的防御层。
攻击模式可能差异很大,有些只有一个大的峰值,而另一些则包含多个紧密聚集的峰值,或者在一段时间内保持连续负载,以及其他不断变化的特征。
用于发起攻击的设备类型趋势
DDoS 攻击正逐渐从基于 IoT 的僵尸网络转向更强大的基于 VM 的僵尸网络。这种变化主要是因为云托管虚拟机具有更高的计算能力和吞吐量,这让攻击者能够使用更少的设备发动大规模攻击。
这种转变是由多种因素促成的:VM 僵尸网络比 IoT 僵尸网络更容易建立,因为它们不一定需要大范围的恶意软件感染,因为攻击者可以使用从数据泄露或 Magecart 攻击中窃取的支付信息匿名将它们部署在云提供商基础设施上。
这一趋势表明 DDoS 策略正在演变,因为攻击者利用虚拟机的处理能力和对云资源的匿名访问,使得更小、更高效的僵尸网络能够发动大规模攻击,省去了感染和管理大量 IoT 设备所带来的复杂性。
Cloudflare 如何帮助防御 DDoS 攻击?
Cloudflare 的全球连通云建立在我们广泛的 Anycast 全球网络上,通过利用自动检测、流量分配和快速响应功能,在防御 DDoS 攻击方面发挥着至关重要的作用。以下是其增强 DDoS 防护的方法:
自动攻击检测和缓解:Cloudflare 的 DDoS 防护在很大程度上依赖于自动化,使用机器学习算法实时识别可疑流量模式。通过自动化检测过程,Cloudflare 可以快速识别和阻止 DDoS 攻击,而无需人工干预,这一点在抵御足以压垮人类响应者的大规模攻击时至关重要。
使用 IP Anycast 进行全球流量分配:Cloudflare 的网络覆盖全球 330 多座城市,DDoS 流量会在我们的多个数据中心之间分散。IP Anycast 使我们能够在整个全球网络中分配流量,这种广泛的分布有助于吸收和缓解大规模攻击,因为攻击流量不会流向单个点,从而减轻了单个服务器和网络的压力。
分层防御:Cloudflare 的全球连通云提供跨多个层的防御,包括网络层(第 3 层)、传输层(第 4 层)和应用程序层(第 7 层)。这种分层方法允许根据攻击类型部署定制的防御策略,确保能有效缓解复杂的多层攻击。欢迎阅读我们的 DDoS 防护文档,进一步了解第 3 层、第 4 层和第 7 层的DDoS 防护。
不计量的 DDoS 缓解:Cloudflare 自 2017 年以来率先采用这种方法来确保互联网安全,提供不计量的 DDoS 防护,这意味着客户可以在攻击期间受到保护,而无需担心带宽或成本限制。这种方法有助于确保不同规模或预算的企业都能受益于强大的 DDoS 防护。
Cloudflare 的分布式云基础设施和先进技术使我们能够以可扩展且响应迅速的方式检测、吸收和缓解 DDoS 攻击,避免停机并保持服务可靠性,与传统选项相比,这提供了强大的解决方案来应对不断上升的 DDoS 攻击强度和频率。
对于任何规模的组织来说,防范 DDoS 攻击都至关重要。虽然这些攻击是由人类发起的,但它们是由机器人执行的,因此有效的防御需要自动化工具来对抗机器人驱动的威胁。实时检测和缓解应尽可能自动化,仅依靠人工干预会使防御者处于不利地位,因为攻击者会适应新的障碍,且能够改变攻击手段、流量行为、恶意有效负载签名等,从而产生不可预测的情况,使一些手动配置变得毫无用处。Cloudflare 的自动化系统会代表我们的客户持续识别和阻止 DDoS 攻击,从而提供满足个人需求的定制保护。
我们的使命是帮助构建更好的互联网,而在面对 DDoS 威胁时提供弹性是完成这一使命的一部分。
阅读我们公开的技术文档,了解有关 Cloudflare DDoS 防护的更多信息。