订阅以接收新文章的通知:

2021 年第三季度 DDoS 攻击趋势

2021/11/04

19 分钟(阅读时间)
2021 年第三季度 DDoS 攻击趋势

2021 年第三季度期间的 DDoS 攻击者非常活跃。在世界各地,Cloudflare 观察并缓解了创纪录的 HTTP DDoS 攻击TB 级网络层攻击,历来最大规模的僵尸网络之一(Meris),还有最近针对 VoIP 服务提供商及其网络基础设施勒索 DDoS 攻击

如下为 2021 年第三季度攻击趋势的总结:

应用层(L7)DDoS 攻击趋势:

  • 在 2021 年连续第二个季度,美国境内的公司成为世界上受到最多攻击的目标。
  • 2021 年首次,针对英国和加拿大公司的攻击大幅增加,分别成为第二大和第三大目标。
  • 针对计算机软件、游戏/博彩、IT 和互联网公司的攻击比前一季度平均增加了 573%。
  • Meris 是历史上最强大的僵尸网络之一,它参与了在多个行业和国家发起的 DDoS 攻击活动。

网络层(L3/4)DDoS 攻击趋势:

  • 与上一季度相比,全球 DDoS 攻击增加了44%。
  • 中东和非洲的攻击平均增幅最大,达到约 80%。
  • 摩洛哥第三季度的 DDoS 攻击活动居全球最高水平——每 100 个数据包中有 3 个是 DDoS 攻击的一部分。
  • 虽然 SYN 和 RST 攻击依然是攻击者使用的主要攻击方法,Cloudflare 观察到 DTLS 放大攻击显著增加,环比增长 3549%。
  • 攻击者对 VoIP 服务提供商发起了大规模 DDoS 攻击,试图破坏 SIP 基础设施。(这种情况持续到今年第四季度。)

有关避免数据偏差的说明:在分析攻击时,我们会计算 “DDoS 活动”率,即攻击流量占总流量(攻击 + 干净)的百分比。在报告应用层和网络层 DDoS 攻击趋势时,我们使用这一指标,以便标准化数据并避免出现偏差。例如,一个较大规模的 Cloudflare 数据中心通常会处理更多流量,因而所遭受的攻击也多于位于其他地点的 Cloudflare 数据中心。

应用层 DDoS 攻击

应用层 DDoS 攻击,特别是 HTTP DDoS 攻击,旨在通过使 HTTP 服务器无法处理合法用户请求来破坏它。如果服务器收到的请求数量超过其处理能力,服务器将丢弃合法请求甚至崩溃,导致对合法用户的服务性能下降或中断。

2021 年第三季度期间,Meris 活动引人关注,Meris 是史上最强大的僵尸网络之一,发动了一些历来规模最大的 HTTP DDoS 攻击。

在第三季度,我们观察到有记录以来最大的 HTTP 攻击之一,每秒请求数高达 1720 万,目标是金融服务行业的客户。在发动这些攻击的网络中就部署了 Meris——有史以来最强大的僵尸网络之一。

近期针对世界各地网络和组织的 DDoS 攻击就是由 Meris(拉脱维亚语,意为“瘟疫”)僵尸网络发动的。这个 Meris 僵尸网络感染了拉脱维亚公司 MikroTik 生产的路由器和其他网络设备。根据 MikroTik 的博客,MikroTik RouterOS 的一个漏洞(在 2018 年发现后已经打了补丁)在未打补丁的设备中仍被恶意行为者加以利用,并发动了一次协同攻击。

与 2016 年的 Mirai 僵尸网络相似,Meris 是有史以来最强大的僵尸网络之一。Mirai 感染计算能力较低的物联网(IoT)设备(例如智能摄像头),而 Meris 感染日益增多的网络基础设施(如路由器和交换机),这些设备的处理能力和数据传输能力都明显高于物联网设备,因而更有能力造成较大规模伤害。尽管如此,Meris 表明攻击容量不一定能确保对目标的损害。据我们所知,虽然 Meris 很强大,但未能对互联网造成重大影响或中断。另一方面,在 2016 年,通过策略性地瞄准 DYN DNS 服务,Mirai 成功导致互联网的严重中断。

应用层 DDoS 攻击:行业分布

科技和游戏行业是 2021 年第三季度受到最多攻击的行业。

按行业分析应用程序层攻击时,计算机软件公司高居榜首。游戏/博彩行业(在线攻击的典型目标)紧随其后,位居第二,互联网和 IT 行业居第三位。

Application-layer DDoS attacks by industry

应用层 DDoS 攻击:来源国家/地区分布

为了解 HTTP 攻击的来源,我们查看生成攻击 HTTP 请求的客户端的源 IP 地址。与网络层攻击不同,HTTP 攻击中的源 IP 无法假冒。特定国家/地区的高 DDoS 活动率通常表明大型僵尸网络在其境内运行。

2021 年第三季度期间,大部分攻击源于中国、美国和印度境内的设备/服务器。虽然中国仍然位居榜首,但来自中国 IP 的攻击数量实际上比上一季度减少了 30%。接近每 200 个来自中国的 HTTP 请求中就有一个是 HTTP DDoS 攻击的一部分。

此外,来自巴西和德国的攻击较前一季度减少了 38%。源于美国和马来西亚的攻击分别减少了 40% 和 45%。

Chart, timeline, bar chart

Description automatically generated

应用层 DDoS 攻击:目标国家/地区分布

为确定哪些国家/地区遭受最多攻击,我们按客户的账单国家/地区细分了 DDoS 攻击活动。

位于美国的组织今年连续第二次成为 L7 DDoS 攻击的最大目标,其次为英国和加拿大。

Chart, bar chart

Description automatically generated

网络层 DDoS 攻击

应用层攻击的目标是最终用户尝试访问的服务所在的应用程序(OSI 模型的第 7 层),而网络层攻击以网络基础结构(例如联网路由器和服务器)和互联网链路本身为目标。

Mirai 变种僵尸网络,峰值流量达到 1.2 Tbps。

2021 年第三季度期间,臭名昭著的 Mirai 僵尸网络卷土重来。一个 Mirai 变种僵尸网络发动了十多次基于 UDP 和 TCP 的DDoS 攻击,峰值流量多次超过 1.0 Tbps,最大峰值流量达到1.2 Tbps。这些攻击的目标是 Magic TransitSpectrum 服务的客户。目标之一是亚太地区的一家大型互联网服务、电信和托管服务提供商。另一个目标是一家游戏公司。这几次攻击,全部被我们自动检测并缓解,无需人工干预。

网络层 DDoS 攻击:月份分布

到目前为止,9 月是今年攻击最活跃的一个月。

2021 年第三季度占今年攻击总数的 38% 以上。9 月是 2021 年迄今攻击最多的月份,占全年攻击总数的 16% 以上。

Chart

Description automatically generated

网络层 DDoS 攻击:攻击速率分布

大多数攻击都是“小型”的,但较大型攻击的数量继续增加。

衡量 L3/4 DDoS 攻击规模有不同的方法。一种方法是测量它产生的流量大小,以比特率为单位(例如,Tbps 或 Gbps)。另一种是测量它产生的数据包数,以数据包速率为单位(例如, Mpps:百万数据包/每秒)。

高比特率的攻击试图使互联网链路饱和,而高数据包速率的攻击会使路由器或其他联网硬件设备不堪重负。设备分配一定的内存和计算能力来处理每个包。因此,通过向设备发送大量数据包,该设备的处理资源就可能被耗尽。在这种情况下,数据包就会“被丢弃”,即设备无法再处理数据包。对用户而言,这会导致服务中断和拒绝服务。

攻击的规模(比特率)和月份分布如下所示。耐人寻味的是,所有超过 400 Gbps 的攻击都发生在 8 月份,包括我们见过的一些最大型攻击;多次攻击峰值都超过 1 Tbps,最高达到 1.2 Tbps。

Chart

Description automatically generated

包速率
和前几个季度一样,2021 年第三季度期间观察到的攻击大部分规模相对较小——近 89% 的攻击峰值低于 5000 pps。虽然大多数攻击规模较小,我们观察到较大规模攻击的数量较前一季度有所增加,峰值超过 10 Mpps 的攻击环比增长 142%。

Chart, bar chart

Description automatically generated

包速率介于 1-10 Mpps 的攻击较前一季度增加了 196%。这个趋势也类似于我们在上一季度所观察到的情况,表明较大型攻击正在增加。

Chart, bar chart

Description automatically generated

比特率
从比特率的角度来看,也可以观察到类似的趋势——95.4% 的攻击峰值在 500 Mbps 以下。

Chart, bar chart

Description automatically generated

季度环比数据显示,规模介于 500 Mbps 至 10 Gbps 的攻击数量较前一季度大幅增长 126% 至 289%。超过 100 Gbps 的攻击减少近 14%。

较高比特率攻击的数量较上一季度有所增加(唯一例外是超过 100 Gbps 的攻击,其数量减少近 14%)。具体而言,介于 500 Mbps 和 1 Gbps 的攻击较前一季度猛增 289%,介于 1 Gbps 至 100 Gbps 的攻击猛增 126%。

这一趋势再次表明,虽然(总体而言)大多数攻击确实较小,但“较大”攻击的数量正在增加。这表明,更多攻击者控制更多资源来发动较大型的攻击。

Chart, bar chart

Description automatically generated

网络层 DDoS 攻击:持续时间分布

大多数攻击的持续时间都在 1 小时以内,再次表明有必要采取始终启用的自动 DDoS 缓解解决方案。

我们这样测量攻击的持续时间:记录系统首次检测到攻击与具备该攻击特征的最后一个数据包之间的时间差。与前几个季度一样,大部分攻击持续时间很短。具体而言,94.4% 的 DDoS 攻击持续时间小于 1 小时。另一方面,2021 年第三季度持续 6 小时以上的攻击占比不到 0.4%,而持续 1-2 个小时的攻击较前一季度增加了 165%。尽管如此,攻击持续时间更长不一定就更加危险。

Chart, bar chart

Description automatically generated

短时间的攻击很可能不被察觉,特别是爆发攻击,此类攻击会在几秒钟内用大量的包、字节或请求轰击目标。在这种情况下,依赖于安全分析来手动缓解的 DDoS 保护服务没有机会及时缓解攻击。此类服务只能从攻击后分析中吸取教训,然后部署过滤该攻击指纹的新规则,期望下次能捕捉到它。同样,使用“按需”服务(即安全团队在遭到攻击时将流量重定向至 DDoS 保护提供商)也无济于事,因为在流量到达按需 DDoS 保护提供商前,攻击就已经结束了。

Cloudflare 建议企业使用始终启用的自动 DDoS 保护服务,此类服务能快速分析流量并应用实时指纹识别,因而能及时阻止短时间的攻击。Cloudflare 在路径外分析流量,确保 DDoS 缓解不会给合法流量增加延迟。一旦发现攻击,我们的自治边缘 DDoS 保护系统( dosd )就会生成并应用动态制作、带有实时特征的规则。预配置的防火墙规则(包括针对已知流量模式的允许/拒绝列表)立即生效。

攻击手段

SYN 洪水依然是攻击者最喜欢使用的攻击方法,而基于 DTLS 的攻击激增,较前一季度增加了 3549%。

攻击手段是指攻击者试图导致拒绝服务事件所采用的方法。

与前几个季度观察的一样,SYN 洪水依然是最常见的攻击手段。

SYN 洪水攻击是一种 DDoS 攻击,它利用了 TCP 协议的最基本原理——客户端与服务器之间的有状态 TCP 连接。作为三向握手的一部分,客户端发送带有同步标志(SYN)的初始连接请求数据包。服务器以包含同步确认标志(SYN-ACK)的数据包来响应。最后,客户端以确认(ACK)数据包来回应。此时,连接已经建立并可交换数据,直到连接关闭为止。这个有状态过程可被攻击者滥用,以造成拒绝服务事件。

通过反复发送 SYN 数据包,攻击者试图使服务器或跟踪 TCP 连接状态的路由器连接表不堪重负。路由器以 SYN-ACK 数据包答复,为每个给定的连接分配一定数量的内存,并错误地等待客户端回复最终 ACK。如果有足够数量的连接占用路由器的内存,路由器将无法为合法客户端分配更多内存,从而导致路由器崩溃或无力处理合法客户端连接,从而造成拒绝服务事件。

在我们网络上观察到的所有攻击中,超过一半是 SYN 洪水攻击。其次为 RST、ACK 和 UDP 洪水攻击。

Chart

Description automatically generated

新兴威胁

虽然 SYN 和 RST 洪水总体而言依然常见,当我们研究新出现的攻击手段时(这能帮助我们了解攻击者正使用什么新手段来发动攻击),我们发现 DTLS 放大攻击出现激增。DTLS 洪水较前一季度增长了 3549%。

Datagram Transport Layer Security (DTLS)是一种类似 Transport Layer Security(TLS)的协议,旨在为基于数据包的无连接应用程序提供类似的安全保障,以防止消息被伪造、窃听或篡改。DTLS 是一种无连接的协议,对于建立 VPN 连接特别有用,不存在 TCP 崩溃的问题。应用程序负责重新排序和其他连接属性。

与大多数基于 UDP 的协议一样,DTLS 是可伪造的 ,攻击者用它产生反射放大攻击,让网络层网关设备过载。

Chart, timeline

Description automatically generated

网络层 DDoS 攻击:国家/地区分布

从观察到的网络攻击速率来看,摩洛哥高居首位,亚洲各国紧随其后。

在分析网络层 DDoS 攻击时,我们统计流量的依据是接收流量的 Cloudflare 边缘数据中心位置,而不是源 IP 地址。这样做的原因在于,攻击者在发起网络层攻击时,可以通过伪造源 IP 地址来混淆攻击来源并在攻击属性中引入随机性,这可能会使简单的 DDoS 防护系统更难拦截攻击。因此,如果我们根据伪造的源 IP 推导出源国家/地区,我们将得到一个伪造的国家/地区。

Cloudflare 能够通过根据 Cloudflare 观察到攻击的数据中心位置显示攻击数据来克服伪造 IP 的挑战。我们在全球 250 多个城市拥有数据中心,因而能够在报告中体现准确的地理位置。

全世界

Chart, bar chart

Description automatically generated

要查看所有国家和地区,请查看 Radar DDoS Report 仪表板的交互式地图

有关近期针对 VoIP 服务提供商的攻击,以及勒索 DDoS 攻击的说明

我们最近报告更新了针对 VoIP 服务提供商的攻击激增的情况 — 其中一些服务提供商还收到了勒索威胁。截至 2021 年第四季度初,这些攻击仍在持续进行中。Cloudflare 继续向 VoIP 服务提供商提供支持,保护其应用程序和网络免受攻击。

攻击者同时发动针对 API 网关和提供商企业网站的 HTTP 攻击,以及针对 VoIP 基础设施的网络层和传输层攻击。

例如:

  1. 针对有状态防火墙的 TCP 洪水:这些手段被用“试错”型攻击中。它们对电话基础设施并不是特别有效(因为此类设施主要基于 UDP),但对淹没有状态防火墙非常有效。
  2. 针对 SIP 基础设施的 UDP 洪水: 向关键 VoIP 服务发送大量没有众所周知的指纹的 UDP 流量。对于不复杂的过滤系统来说,这种平平无奇的洪水看起来可能如同合法流量。
  3. 针对 SIP 基础设施的 UDP 反射:如果针对 SIP 或 RTP 服务,这些方法可轻易淹没会话边界控制器(SBC)和其他电话基础设施。攻击者似乎对目标的基础设施有足够的了解,因而非常精确地攻击这些服务。
  4. 针对 SIP 协议的攻击:应用层的攻击尤其值得关注,因为生成应用程序错误的资源消耗高于网络设备上的过滤。

此外,一些组织继续收到比特币勒索信。勒索软件勒索 DDoS 攻击已经连续四个季度对世界各地的组织构成严重威胁。

Cloudflare 产品杜绝了几种会导致勒索软件感染和勒索 DDoS 攻击的威胁手段:

  • Cloudflare DNS 过滤阻止不安全的网站。
  • Cloudflare 浏览器隔离预防路过式下载(drive-by download,又称“网页挂马”)和其他基于浏览器的攻击。
  • Zero Trust 架构有助于防止勒索软件在网络内传播。
  • Magic Transit 通过 BGP 路由重分发保护组织网络免受 DDoS 攻击,而不影响延迟时间。

帮助构建更好的互联网

Cloudflare 创立的使命是帮助建设更好的互联网。这个使命的一部分就是建设一个不再受到 DDoS 攻击影响的互联网。过去 10 年来,我们一直坚定不移地努力保护我们客户的互联网财产免受任何规模或类型的 DDoS 攻击。在 2017 年,我们推出免费的 DDoS 保护——作为 Cloudflare 服务和计划的一部分,包括 Free 计划——以确保每个组织都能得到保护和正常运行。在过去几年中,各种规模的组织都采用了 Cloudflare 服务,以保护其网站、应用程序和网络免受 DDoS 攻击,并快速可靠地运行。

但网络攻击有很多不同的形式,而不限于 DDoS 攻击。恶意机器人、勒索软件攻击、电子邮件钓鱼和 VPN /远程访问入侵等攻击仍在继续困扰着全球各种规模的组织。这些攻击的目标是网站、API、应用程序和整个网络——它们构成了任何在线业务的命脉。正因为如此,Cloudflare 安全系列产品涵盖连接到互联网的一切。

如需进一步了解 Cloudflare DDoS 或我们的 网络服务,欢迎 注册帐户联系我们

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
DDoS (CN)Cloudflare Radar (CN)

在 X 上关注

Vivek Ganti|@VivekGanti
Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

相关帖子