订阅以接收新文章的通知:

2023 年第四季度 DDoS 威胁趋势报告

2024-01-09

14 分钟阅读时间
这篇博文也有 EnglishFrançaisDeutsch日本語한국어PortuguêsEspañol繁體中文版本。

欢迎阅读 Cloudflare 的第十六版 DDoS 威胁趋势报告。本版涵盖了 2023 年第四季度及全年的 DDoS 趋势和关键发现,包括对全年主要趋势的回顾。

DDoS threat report for 2023 Q4

什么是 DDoS 攻击?

DDoS 攻击,即分布式拒绝服务攻击,是一种网络攻击,旨在通过向目标网站或在线服务发送超过其处理能力的庞大流量来造成瘫痪,使其无法为用户提供服务。这好比道路上的堵车,使人们无法到达目的地。

本报告将涵盖三种主要的 DDoS 攻击类型。第一种是 HTTP 请求密集型 DDoS 攻击,通过发送超过 HTTP 服务器处理能力的请求来造成服务拒绝事件。第二种是 IP 数据包密集型 DDoS 攻击,通过发送超过路由器、防火墙和服务器处理能力的数据包来造成瘫痪。第三种是流量密集型攻击,旨在通过饱和及堵塞互联网连接来造成上述‘交通堵塞’。本报告中,我们将重点介绍这三种攻击的不同技术和洞察。

若需查看往期报告,请访问这里或我们的互动中心—— Cloudflare Radar。Cloudflare Radar 展示全球互联网流量、攻击和技术趋势和见解,提供深挖和过滤功能,可放大对特定国家、行业和服务提供商的洞察。Cloudflare Radar 还提供一个免费的 API,以便学者、数据侦探和其他网络爱好者调查全球的互联网使用情况。

要了解我们如何准备本报告,请参阅我们的方法论

主要结果

  1. 在第四季度,我们观察到网络层 DDoS 攻击同比增长了 117%,并且在黑色星期五及假日季期间和前后,针对零售、运输和公共关系网站的 DDoS 攻击活动总体上有所增加。

  2. 在第四季度,在即将进行选举以及与大陆关系紧张的背景下,针对中国台湾地区的 DDoS 攻击流量与去年同期相比增长了 3370%。随着以色列和哈马斯之间的军事冲突持续,针对以色列网站的 DDoS 攻击流量较上一季度增长了 27%,而针对巴勒斯坦网站的 DDoS 攻击流量较上一季度增长了 1126%。

  3. 在第四季度,针对环境服务网站的 DDoS 攻击流量与去年同期相比激增了 61839%,这恰逢第 28 届联合国气候变化大会 (COP 28) 的举行。

下文深入分析这些关键发现以及可能重新定义您对当前网络安全挑战理解的更多洞察,欢迎继续阅读。

DDoS 攻击图解

超大规模 HTTP DDoS 攻击

2023 年是未知领域之年。DDoS 攻击的规模和复杂性都达到了新的高度。包括 Cloudflare 在内更广泛的互联网社区遭受到一场持续且精心策划的 DDoS 攻击活动,其中包括数千次超大规模攻击,这些攻击的速率达到前所未见的水平。

这些攻击非常复杂,利用了一个 HTTP/2 漏洞。 Cloudflare 开发了专门的技术来减轻这一漏洞的影响,并与业内其他人合作以负责任的方式进行了披露。

作为这场 DDoS 攻击活动的一部分,在第三季度,我们的系统抵御了我们所见过的最大规模攻击——每秒 2.01 亿次请求 (rps)。这几乎 8 倍于我们的上一个纪录:2022 年的一次 2600 万 rps 的攻击。

Cloudflare 观察到的最大规模 HTTP DDoS 攻击(按年份)

网络层 DDoS 攻击增长

在以上超大规模活动平息后,我们看到 HTTP DDoS 攻击意外下降。总体而言,在 2023 年,我们的自动化防御系统缓解了超过 520 万次 HTTP DDoS 攻击,涉及 26 万亿个请求。这相当于平均每小时 594 次 HTTP DDoS 攻击和 30 亿个请求被缓解。

尽管这些数字非常惊人,但与 2022 年相比,HTTP DDoS 攻击请求的数量实际上下降了 20%。不仅全年数量有所下降,2023 年第四季度同样如此,期间 HTTP DDoS 攻击同比下降 7%,季度环比下降 18%。

在网络层,我们看到了完全不同的趋势。我们的自动化防御系统在 2023 年缓解了 870 万次网络层 DDoS 攻击。这个数字比 2022 年增长了 85%。

在 2023 年第四季度,Cloudflare 的自动化防御系统缓解了超过 80 PB 的网络层攻击。平均而言,我们的系统每小时自动缓解了 996 次网络层 DDoS 攻击,相当于 27 TB 的数据。2023 年第四季度,网络层 DDoS 攻击的数量同比增长了 175%,环比增长了 25%。

HTTP 和网络层 DDoS 攻击(分季度)

在 COP 28 期间和前后,DDoS 攻击有所增加

在 2023 年最后一个季度,网络威胁形势发生了显著变化。虽然加密货币领域最初在 HTTP DDoS 攻击请求的数量上领先,但后来出现了一个新的主要受害目标。针对环境服务行业的 HTTP DDoS 攻击出现前所未见的激增,这些攻击构成了其全部 HTTP 流量的一半。与前一年相比,这个数字增长了惊人的 618 倍,凸显了网络威胁形势中一个令人不安的趋势。

这波网络攻击高潮恰逢在 2023 年 11 月 30 日到 12 月 12 日期间举行的第 28 届联合国气候变化大会 (COP 28)。本次大会是一个关键性事件,标志着很多人认为的化石燃料时代“终结的开始”。根据观察,COP 28 会议前的一段时间内,针对环境服务网站的 HTTP 攻击明显增加。这种模式并非仅限于以上事件。

回顾历史数据,特别是在第 26 届和第 27 届联合国气候变化大会期间,以及其他联合国有关环境的决议或公告发布时,也出现了类似的模式。以上事件中的每一次发生时,针对环境服务网站的网络攻击就相应增加。

2023 年 2 月和 3 月发生的一些重大环境事件,例如联合国有关气候正义的决议,以及联合国环境规划署发起淡水挑战,可能提高了环境网站的知名度,也许与针对这些网站攻击的增加相关​​​​。

以上反复出现的模式凸显了环境问题与网络安全之间日益增多的交集,这种联系正日益成为数字时代攻击者的一个焦点。

DDoS 攻击和“铁剑”行动

触发 DDoS 攻击的不限于联合国决议。网络攻击,尤其是 DDoS 攻击,长期以来一直是战争和破坏的工具。在乌克兰-俄罗斯战争中,我们目睹了 DDoS 攻击活动的增加,现在我们也在以色列-哈马斯战争中见证了同样的情况。在我们题为 《以色列-哈马斯战争中的网络攻击》的报告中,我们首次提到这些网络活动,并在第四季度期间继续监控有关活动。

“铁剑”行动是以色列针对哈马斯发起的军事攻势,紧跟哈马斯在 10 月 7 日发起的攻击。在这场还在持续的武装冲突中,我们继续看到针对双方的 DDoS 攻击。

针对以色列和巴勒斯坦网站的 DDoS 攻击(分行业)

相对各自流量而言,巴勒斯坦地区在第四季度是遭受 HTTP DDoS 攻击第二多的地区。对巴勒斯坦网站的所有 HTTP 请求中,超过 10% 是 DDoS 攻击,共计 13 亿次 DDoS 请求——环比增长 1126%。其中 90% 的 DDoS 攻击针对巴勒斯坦银行网站。另外 8% 的攻击针对信息技术和互联网平台。

巴勒斯坦遭受攻击最多的行业

同样,我们的系统自动缓解了超过 22 亿次针对以色列网站的 HTTP DDoS 请求。尽管 22 亿这个数字相比上个季度和去年有所下降,但它在以色列接收总流量中所占的比例有所上升。这个经过标准化的数字相当于环比增长 27%,但同比下降 92%。尽管攻击流量有所增加,以色列在相对于自身流量而言是第 77 个受攻击最多的地区。以色列按攻击总数量计算也是第 33 个受攻击最多的地区,而巴勒斯坦地区则排在第 42 位。

在受到攻击的以色列网站中,新闻和媒体是主要目标,在针对以色列网站的所有 HTTP DDoS 攻击占比接近 40%。受攻击第二多的行业是计算机软件。银行、金融机构和保险 (BFSI) 行业排名第三。

以色列受攻击最多的行业

在网络层,我们看到了相同的趋势。巴勒斯坦网络遭受了 470 TB 的攻击流量,占发送到巴勒斯坦网络的所有流量的 68% 以上。这个数字仅次于中国,使巴勒斯坦地区成为世界上受网络层 DDoS 攻击第二多的地区(相对发送到巴勒斯坦地区的所有流量而言)。按流量的容量计算,该地区排名第三。上述 470 TB 流量约占 Cloudflare 缓解的所有 DDoS 流量的 1%。  

然而,以色列的网络仅受到 2.4 TB 的攻击流量,使其在受网络层 DDoS 攻击最多的国家/地区中排名第八(经标准化后)。以上 2.4 TB 流量几乎占了以色列网络接收总流量的 10%。

受攻击最多的国家/地区

从不同角度来看,在我们位于以色列的数据中心,接收的所有流量中有 3% 为网络层 DDoS 攻击。在我们的巴勒斯坦数据中心,这个数字明显更高,大约占总流量的 17%。

在应用层,我们发现来自巴勒斯坦 IP 地址的 HTTP 请求中有 4% 是 DDoS 攻击,而来自以色列 IP 地址的 HTTP 请求中也有近 2% 是 DDoS 攻击。

DDoS 攻击的主要来源

在 2022 年第三季度,中国是 HTTP DDoS 攻击流量的最大来源。然而,自 2022 年第四季度以来,美国成为 HTTP DDoS 攻击的最大来源,并连续五个季度保持在这个不受欢迎的位置上。同样,我们在美国的数据中心是吸收了最多网络层 DDoS 攻击流量,占总攻击流量的 38% 以上。

来自中国和美国的 HTTP DDoS 攻击(分季度)

中国和美国合计占据了全球 HTTP DDoS 攻击流量的四分之一强。巴西、德国、印度尼西亚和阿根廷占据了接下来的 25%。

HTTP DDoS 攻击的主要来源

这些庞大的数字通常对应着庞大的市场。因此,我们通常会将源于每个国家/地区的攻击流量与其总发出流量对比来将其标准化。这样做的时候,我们常常发现一些小岛国或市场较小的国家/地区产生不成比例的攻击流量。在第四季度,“偏远的热带火山岛”——圣赫勒拿的出口流量中有 40% 为 HTTP DDoS 攻击流量,使其居于首位。利比亚排名第二, 斯威士兰(又名埃斯瓦蒂尼)排名第三。阿根廷和埃及分别排名第四和第五。

HTTP DDoS 攻击主要来源(根据占每个国家/地区流量的比例)

在网络层,津巴布韦排名第一。我们的津巴布韦数据中心接收到的流量中,近 80% 是恶意的。巴拉圭居第二位,马达加斯加居第三位。

网络层 DDoS 攻击的主要来源(根据占每个国家/地区流量的比例)

受攻击最多的行业

按攻击流量的数量计算,加密货币行业在第四季度遭受了最多的攻击。超过 3300 亿次 HTTP 请求以该行业为目标。这个数字占该季度所有 HTTP DDoS 流量的 4% 以上。受攻击第二多的行业是游戏和泛娱乐。这些行业众所周知是令人垂涎的目标,吸引了庞大的流量和攻击。

受到最多 HTTP DDoS 攻击的行业

在网络层,信息技术和互联网行业受到最多攻击——超过 45% 的网络层 DDoS 攻击流量以该行业为目标。远远落在后面的是银行、金融服务和保险 (BFSI)、游戏与泛娱乐以及电信行业。

受到最多网络层 DDoS 攻击的行业

为了改变分析的角度,我们在这里也通过计算针对特定行业的攻击流量占总流量的比例来进行标准化。这样做让我们看到一种不同的模式。

受到最多 HTTP DDoS 攻击的行业(分地区)

在本报告的开始部分,我们已经提到,相对自身流量而言,环境服务行业是受到最多攻击的行业。第二位是包装和货运行业,鉴于该行业与黑色星期五和冬季假期购物在时间上的相关性,该行业值得注意。人们购买的礼品和商品需要以某种方式送达目的地,似乎攻击者试图破坏这个过程。与此相似,零售公司遭遇的 DDoS 攻击同比增加了 23%。

受到最多 HTTP DDoS 攻击的行业(根据相对各行业流量的比例)

在网络层,公共关系和传媒是受到最多攻击的行业,其流量中有 36% 是恶意的。鉴于其时机,这也非常值得注意。公共关系和传媒公司通常与管理公众感受和沟通有关。干扰这些公司的运营可能会产生直接且广泛的声誉影响,在第四季度的假日季中,情况变得更加严重。由于假期、年末总结和新年准备工作,这个季度期间公共关系和沟通活动通常会增加,使其成为一个关键的运营时期,因此一些人可能想加以破坏。

受到最多网络层 DDoS 攻击的行业(根据相对各行业流量的比例)

受到最多攻击的国家和地区

新加坡在第四季度成为 HTTP DDoS 攻击的主要目标。超过 3170 亿个 HTTP 请求以新加坡网站为目标,占全球 DDoS 流量的 4%。美国紧随其后,居第二位,加拿大排名第三。中国台湾居第四位 —— 适逢即将举行的选举活动和与大陆关系紧张的形势。第四季度期间,针对台湾地区的攻击同比增长了 847%,环比增长了 2858%。这种增长不仅仅限于绝对值。标准化后,针对台湾地区的 HTTP DDoS 攻击流量占发送到台湾地区所有流量的百分比也显著增加:环比增长 624%,同比增长 3370%。

受到最多 HTTP DDoS 攻击的国家/地区

尽管中国在受 HTTP DDoS 攻击最多的国家/地区中排名第九,但其是受到最多网络层攻击的国家。Cloudflare 在全球范围内缓解的所有网络层 DDoS 流量中,有 45% 是针对中国的。其他国家/地区远远落后于中国,几乎可以忽略不计。

受到最多网络层 DDoS 攻击的国家/地区

Top targeted countries by Network-layer DDoS attacks

对数据进行标准化处理后,根据相对各自总接收流量的比例,伊拉克、巴勒斯坦地区和摩洛哥成为受到最多攻击的三个国家或地区。值得注意的是,新加坡排名第四。对新加坡而言,不仅遭到最大的 HTTP DDoS 攻击流量,而且攻击流量在新加坡接收的总流量中也占了较大比例。相比之下,美国按接收到的攻击流量计算排名第二(入上面的应用层攻击图表所见),但按照相对美国接收总流量的比例排名第 15。

受到最多 HTTP DDoS 攻击的国家/地区(相对各自流量而言)

Top targeted countries by HTTP DDoS attacks with respect to each country’s traffic

与新加坡类似,但可以说更加引人注目的是,按网络层 DDoS 攻击流量计算,以及相对中国接收的总流量而言,中国都是受攻击最多的国家。发送到中国的所有流量中,接近 86% 被 Cloudflare 作为网络层 DDoS 攻击缓解。巴勒斯坦地区、巴西、挪威和(再次出现的)新加坡紧随其后,攻击流量占较大比例。

受到最多网络层 DDoS 攻击的国家/地区(根据相对各自流量的比例而言)

Top targeted countries by Network-layer DDoS attacks with respect to each country’s traffic

攻击手段和属性

相对于 Cloudflare 的规模,大多数 DDoS 攻击都是短而小的然而,如果缺乏适当的内联自动化保护,未受保护的网站和网络仍然可能受到短小攻击的干扰,这凸显了组织需要积极主动地采用强大的安全态势。

在 2023 年第四季度,91% 的攻击在 10 分钟内结束,97% 的攻击峰值低于 500 兆比特/秒 (mbps),88% 的攻击从未超过 5 万个数据包/秒 (pps)。

每 100 次网络层 DDoS 攻击中,就有两次持续时间超过一小时,并超过 1 千兆比特/秒 (gbps)。每 100 次攻击中,就有一次超过 100 万个数据包/秒。此外,超过 1 亿个数据包/秒的网络层 DDoS 攻击数量环比增长了 15%。

您应该知道的 DDoS 攻击统计数据

其中一次大规模攻击是 Mirai 僵尸网络攻击,峰值达到 1.6 亿个数据包/秒。其每秒数据包速率并不是我们所见过最高的。我们见过最高的数字为 7.54 亿数据包/秒。该攻击发生于 2020 年,到现在为止我们还没有看到更大的攻击。

然而,最近这次攻击在每秒比特率方面是独一无二的。这是我们在第四季度看到的最大网络层 DDoS 攻击,峰值达到达到 1.9 太比特/秒(Tbps),来自一个 Mirai 僵尸网络。它是一次多手段攻击,意味着它结合了多种攻击方法。其中一些方法包括 UDP 片段洪水攻击、UDP/Echo 洪水攻击、SYN 洪水攻击、ACK 洪水攻击和 TCP 畸形标志攻击。

这次攻击针对一家知名的欧洲云服务提供商,源于超过 1.8 万个被认为假冒的的独特 IP 地址。Cloudflare 的防御系统自动检测并缓解了这一攻击。

这表明,即使是最大规模的攻击也会很快结束。我们之前见过的大规模攻击在几秒钟内就结束了,这凸显了内联自动防御系统的必要性。尽管仍然罕见,但 TB (太比特)级的攻击正越来越突出。

1.9 Tbps 的 Mirai 僵尸网络 DDoS 攻击

1.9 Terabit per second Mirai DDoS attacks

Mirai 变种僵尸网络的使用仍然非常普遍。在第四季度,接近 3% 的攻击源自 Mirai。然而,在所有攻击方法中,基于 DNS 的攻击仍然是攻击者的首选。在第四季度,DNS 洪水攻击和 DNS 放大攻击占所有攻击的 53%。 SYN 洪水居第二位,UDP 洪水居第三位。我们将在这里介绍这两种 DNS 攻击,您可以访问超链接并在我们的学习中心中了解关于 UDP 和 SYN 洪水攻击的更多信息。

DNS 洪水和放大攻击

DNS 洪水和 DNS 放大攻击都是利用域名系统 (DNS),但两者运作方式有所不同。DNS 就像互联网的电话簿,将便于人类理解的域名(例如"www.cloudfare.com")转换为计算机在网络上相互识别所使用的数字 IP 地址。

简单来说,基于 DNS 的 DDoS 攻击是指利用计算机和服务器之间用于相互识别的方法来造成故障或中断,并非实际导致服务器“关闭”。例如,尽管服务器正常运行,但 DNS 服务器宕机了。因此客户端无法连接到服务器,从而体验到故障。

DNS 洪水攻击向 DNS 服务器发送大量 DNS 查询请求。这种攻击通常利用 DDoS 僵尸网络发动。大量的查询请求会使 DNS 服务器不堪重负,难以或无法响应合法的查询。这可能导致前面提到的服务中断、延迟甚至服务器宕机,影响依赖于目标 DNS 服务器的网站或服务的访问者。

另一方面,DNS 放大攻击向 DNS 服务器发送一个带有伪造 IP 地址(受害者的地址)的小查询。这里的技巧在于 DNS 响应比请求要大得多。然后,服务器将这个大的响应发送到受害者的 IP 地址。通过利用开放的 DNS 解析器,攻击者可以放大发送到受害者的流量,从而造成大得多的影响。这种类型的攻击不仅会干扰受害者,还可能导致整个网络拥堵。

在这两种情况下,攻击都利用了 DNS 在网络运作中的关键作用。缓解策略通常包括保护 DNS 服务器免受滥用,实施速率限制以控制流量,并过滤 DNS 流量以识别和阻止恶意请求。

主要攻击手段

Top attack vectors

在我们跟踪的新兴威胁中,我们记录到 ACK-RST 洪水攻击增长了 1161%,CLDAP 洪水攻击增长了 515%,SPSS 洪水攻击增长了 243%(均为季度环比增长)。让我们详细了解其中一些攻击以及它们旨在如何造成中断。

主要新兴攻击手段

Top emerging attack vectors

ACK-RST 洪水

ACK-RST 洪水利用传输控制协议 (TCP) 向受害者发送大量的 ACK 和 RST 数据包。这会使受害者无法处理和响应这些数据包,导致服务中断。这种攻击之所以有效是因为每个 ACK 或 RST 数据包都会触发受害者系统的响应,消耗其资源。由于 ACK-RST 洪水攻击模仿了合法的流量,往往难以过滤,使得检测和缓解具有挑战性。

CLDAP 洪水

CLDAP(无连接轻量级目录访问协议)是 LDAP(轻量级目录访问协议)的一种变体。它用于查询和修改在 IP 网络上运行的目录服务。CLDAP 是无连接的,使用 UDP 而不是 TCP,使其更快但可靠性较低。这种协议使用 UDP,不需要握手,这使得攻击者可以伪造 IP 地址,将其作为一种反射手段利用。这些攻击发送带有伪造源 IP 地址(受害者的 IP)的小查询,导致服务器向受害者发送大量响应,使后者不堪重负。缓解措施涉及过滤和监控异常的 CLDAP 流量。

SPSS 洪水

滥用 SPSS(源端口服务扫描)协议的洪水攻击是一种网络攻击方法,它涉及从众多随机或伪造的源端口向目标系统或网络的各个目标端口发送数据包。这种攻击有双重目的:第一,压倒受害者的处理能力,导致服务中断或网络故障;第二,它可用于扫描开放的端口并识别易受攻击的服务。通过发送大量数据包来实现洪水攻击,可使受害者的网络资源饱和,并耗尽其防火墙和入侵检测系统的容量。要缓解这种攻击,关键在于利用内联的自动检测能力。

Cloudflare 能助一臂之力,无论攻击类型、规模或持续时间如何

Cloudflare 的使命是帮助构建一个更好的互联网,我们相信更好的互联网应该是安全、高效和对所有人都可用的。无论攻击类型、规模、持续时间或背后的动机如何,Cloudflare 的防御都坚如磐石。自从在 2017 年率先提供不计量的 DDoS 防护以来,我们做出并坚守承诺,免费向所有组织提供企业级的 DDoS 防护,而且当然不影响性能。这有赖于我们独特的技术和强健的网络架构。

要点在于,安全是一个过程,而不是单一的产品或开关。除了我们的自动化 DDoS 防护系统之外,我们还提供全面的捆绑功能,例如防火墙机器人检测API 保护缓存, 以加强您的防御能力。我们的多层方法可优化您的安全态势,并最大程度地减少潜在影响。我们还编制了一份建议清单,以帮助您优化 DDoS 攻击防御措施。您可按照我们的分步向导来保护您的应用程序防止 DDoS 攻击。如果您想利用我们简单易用的一流服务来防护 DDoS 攻击和其他互联网威胁,欢迎在 cloudflare.com 免费注册。如果您遭到了攻击,请注册或拨打这里列出的网络应急热线号码以获得快速响应。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
DDoSAttacksCloudflare RadarDDoS ReportsInsightsTrendsBlack FridayDNSChinaIsrael

在 X 上关注

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

相关帖子