订阅以接收新文章的通知:

4.2 Tbps 的攻击以及丰富内容,尽在 Cloudflare 第三季度 DDoS 报告

2024-10-23

9 分钟阅读时间
这篇博文也有 EnglishFrançaisDeutsch日本語한국어PortuguêsEspañol繁體中文版本。

欢迎阅读 Cloudflare DDoS 威胁报告第十九版。本报告每季度发布,对 Cloudflare 网络上观察到的 DDoS 威胁形势进行深入分析。本版专注于 2024 年第三季度。

Cloudflare 网络覆盖全球超过 330 个城市,容量达到 296 TB/秒 (Tbps),被接近 20% 的网站用作反向代理。Cloudflare 拥有独特的优势,可为更广泛的互联网社区提供有价值的洞察和趋势分析。

关键洞察 

  • 2024 年第三季度 DDoS 攻击数量出现激增。期间,Cloudflare 缓解了近 600 万 DDoS 攻击,环比增长 49%,同比增长 55%。

  • 在这 600 万次攻击中,Cloudflare 的自主 DDoS 防御系统检测并缓解了 200 多次速率超过 3 TB/秒(Tbps)和 20 亿数据包/秒(Bpps)的超大规模 DDoS 攻击。最大的攻击峰值速率达到 4.2 Tbps,仅持续了一分钟。

  • 银行和金融服务行业受到最多 DDoS 攻击。中国是 DDoS 攻击的最大目标国家,而印度尼西亚是最大的 DDoS 攻击来源。

如要进一步了解 DDoS 攻击和其他类型的网络威胁,请访问我们的学习中心、查看 Cloudflare 博客上的往期 DDoS 威胁报告,或访问我们的互动中心 Cloudflare Radar 。对于那些有兴趣调查以上和其他互联网趋势的人,还可以使用这个免费的API 。您还可以进一步了解在准备这些报告时所使用的方法

超大规模攻击活动

在 2024 年上半年,Cloudflare 的自主 DDoS 防御系统自动检测并缓解了 850 万次 DDoS 攻击,其中第一季度为 450 万次,第二季度为 400 万次。在第三季度,我们的系统缓解了近 600 万次 DDoS 攻击,使年初至今缓解的 DDoS 攻击总数达到 1450 万次。这相当于平均每小时约 2200 次 DDoS 攻击。

以上攻击中, Cloudflare 缓解了 200 多次超过 1 Tbps 或 1 Bpps 的超大规模网络层 DDoS 攻击。最大的攻击峰值分别为 3.8 Tbps 和 2.2 Bpps。进一步阅读以了解这些攻击以及我们的 DDoS 防御系统如何缓解这些攻击。

超大规模 DDoS 攻击随时间分布

在我们撰写这篇博客文章时,我们的系统继续检测和缓解这些大规模攻击,一个新的记录刚刚再次被打破,距离我们上次披露才过去三周。2024 年 10 月 21 日,Cloudflare 的系统自主检测并缓解了一次持续约一分钟、 4.2 Tbps 的 DDoS 攻击。

Cloudflare 系统自主缓解的 4.2 Tbps DDoS 攻击

DDoS 攻击类型和特征

在上述 600 万次 DDoS 攻击中,一半是 HTTP(应用层) DDoS 攻击,另一半是网络层 DDoS 攻击。网络层 DDoS 攻击环比增长 51%,同比增长 45%,HTTP DDoS 攻击环比增长 61%,同比增长 68%。

攻击持续时间

90% 的DDoS攻击,包括最大规模的攻击,持续时间非常短。然而,我们确实看到持续时间超过 1 小时的攻击略有增加(7%)。这些持续时间较长的攻击占所有攻击的 3%。

攻击手段

在第三季度,网络层 DDoS 攻击与 HTTP DDoS 攻击的数量相对均匀分布。在网络层 DDoS 攻击中, SYN 洪水是最主要的攻击手段,其次是 DNS 洪水攻击UDP 洪水SSDP 反射攻击ICMP 反射攻击

在应用层,72% 的 HTTP DDoS 攻击是由已知僵尸网络发起的,并被我们的专有启发式方法自动缓解。我们自主开发的启发式方法缓解了 72% 的 DDoS攻击这一事实显示了运营大型网络的优势。鉴于我们观察到的流量和攻击规模,我们能够针对僵尸网络设计、测试和部署强大的防御措施。

另有 13% 的 HTTP DDoS 攻击因可疑或异常的 HTTP 属性而被缓解,另外 9% 的 HTTP DDoS 攻击是由虚假浏览器或浏览器冒充者发起的。余下的 6% 为“其他攻击“,包括针对登录端点的攻击和缓存破坏攻击。

需要注意的一点是,这些攻击手段或攻击组别不一定是互相排斥的。例如,已知的僵尸网络也会伪装成浏览器,并具有可疑的 HTTP 属性,但这个细分是我们试图以有意义的方式对 HTTP DDoS 攻击进行归类。

2024 年第三季度 DDoS 攻击分布

在第三季度,我们观察到 SSDP 放大攻击与上一季度相比增长了 4000%。SSDP(简单服务发现协议)攻击是一种反射放大 DDoS 攻击,利用 UPnP(通用即插即用) 协议。攻击者将 SSDP 请求发送到脆弱 UPnP 设备(例如路由器、打印机和 IP 摄像头),并将源 IP 地址伪造为受害者的 IP 地址。这些设备以大量流量作为响应发送到受害者的 IP 地址,使受害者的基础设施不堪重负。这种放大效应允许攻击者通过很小的请求产生巨大的流量,导致受害者的服务下线。在不必要的设备上禁用 UPnP 并使用 DDoS 缓解策略有助于防御这种攻击。

SSDP 放大攻击示意图

HTTP DDoS 攻击中使用的用户代理

在发动 HTTP DDoS 攻击时,威胁行为者希望隐藏起来以避免检测。实现这一点的一种策略是伪造用户代理。如果完成,这可以让他们显示为合法的浏览器或客户端。

在第三季度,80% 的 HTTP DDoS 攻击流量冒充 Google Chrome 浏览器,这是在攻击中观察到的最常见用户代理。具体而言,Chrome 118、119、120 和 121 是最常见的版本。

第二位是没有用户代理的情况,占 HTTP DDoS 攻击流量的 9%。

第三和第四位是使用 Go-http-clientfasthttp 用户代理的攻击。前者是 Go 标准库中的默认 HTTP 客户端,后者是一种高性能替代方案。fasthttp 用于构建快速的 Web 应用程序,但也经常用于 DDoS 攻击和网页抓取。

DDoS 攻击使用的主要用户代理

用户代理 hackney 排在第五位。这是一个适用于 Erlang 的 HTTP 客户端库。它用于发出 HTTP 请求,在 Erlang/Elixir 生态系统中很流行。

一个有趣的用户代理出现在第六位: HITV_ST_PLATFORM 。这个用户代理似乎与智能电视或机顶盒有关。威胁行为者通常会避免使用不常见的用户代理,在网络攻击中经常使用 Chrome 用户代理就是证明。因此, HITV_ST_PLATFORM 的存在很可能表明受攻击设备确实是遭到入侵的智能电视或机顶盒。

排名第七的是 uTorrent 用户代理。该用户代理与用于下载文件的流行 BitTorrent 客户端相关。

最后,尽管 okhttp 是 Java 和 Android 应用的常用 HTTP 客户端,但其却是 DDoS 攻击中使用最少的用户代理。

HTTP 攻击属性

虽然 89% 的 HTTP DDoS 攻击流量使用了 GET 方法,它也是最常用的 HTTP 方法。因此,当我们通过将攻击请求数除以每种 HTTP 方法的总请求数来对攻击流量进行标准化时,我们看到不同的情况。

使用 DELETE 方法的所有请求中,近 12% 是 HTTP DDoS 攻击的一部分。除了 DELETE 之外,我们看到 HEAD、PATCH 和 GET 是 DDoS 攻击请求中最常用的方法。

虽然 80% 的 DDoS 攻击请求通过 HTTP/2 发出,19% 通过 HTTP/1.1 发出,但按版本根据总流量标准化后,它们所占比例要小得多。如果我们将按版本统计的攻击请求占所有请求的比例标准化,我们会看到截然不同的情况。流向非标准或错误标记的“HTTP/1.2”版本的流量中,超过一半是恶意的,是 DDoS 攻击的一部分。需要注意的是,“HTTP/1.2” 并不是该协议的正式版本。

绝大多数(接近 94%) HTTP DDoS 攻击实际上是使用 HTTPS 进行加密的。

DDoS 攻击的目标

受攻击最多的国家/地区

中国是 2024 年第三季度受攻击最多的地区。阿拉伯联合酋长国排名第二,中国香港排名第三,紧随其后的是新加坡、德国和巴西。

加拿大排名第七,其后是韩国、美国,以及排名第 10 的台湾地区。

受攻击最多的行业

在 2024 年第三季度,银行和金融服务业是受到最多 DDoS 攻击的行业。位居第二的是信息技术和服务,其后是电信、服务提供商和运营商。

紧随其后分别是加密货币、互联网、泛娱乐/娱乐场和游戏。十大目标行业的最后几个分别是消费电子、建筑与土木工程以及零售。

DDoS 攻击的来源

威胁行为者

几年来,我们一直在对遭受 DDoS 攻击的客户进行调查。攻击调查涵盖各种因素,例如攻击的性质和和威胁行为者。对于威胁行为者,80% 的受访者表示不知道是谁攻击了他们,但 20% 的受访者表示知道。其中,32% 的受访者表示威胁行为者是勒索者。另有 25% 的受访者表示,他们受到了竞争对手的攻击,21% 的受访者表示心怀不满的客户或用户是幕后黑手。14% 的受访者表示,这些攻击是由国家或政府支持的组织发动的。最后,7% 的受访者表示,他们错误地攻击了自己。自我 DDoS 攻击的一个例子是,IoT 设备固件更新后,所有设备在同一时间回传数据 ,导致流量泛滥。

主要威胁行为者的分布

勒索者是最常见的威胁行为者,而总体上,勒索 DDoS 攻击报告数量环比减少了 42%,但同比增长了 17%。7% 的受访者报称遭到勒索 DDoS 攻击或被攻击者威胁。然而,在 8 月,这一数字上升到 10%——也就是说每十个中就有一个。

勒索 DDoS 攻击的季度分布

DDoS 攻击的主要来源

印度尼西亚是 2024 年第三季度的最大 DDoS 攻击来源地。荷兰是第二大来源,其后是德国、阿根廷和哥伦比亚。

接下来的五个最大来源包括新加坡、中国香港、俄罗斯、芬兰和乌克兰。

主要 DDoS 攻击来源网络

对于运营自有网络和基础设施的服务提供商,可能很难识别谁在使用其基础设施进行恶意用途,例如产生 DDoS 攻击。因此,我们向网络运营商提供免费的威胁情报源。该情报源向服务提供商有关其网络中参与后续 DDoS 攻击的 IP 地址相关信息。

在这方面,总部位于德国的 IT 提供商 Hetzner (AS24940) 是 2024 年第三季度最大的 HTTP DDoS 攻击来源。2022 年被 Akamai 收购的云计算平台 Linode (AS63949) 是 HTTP DDoS 攻击的第二大来源。位于佛罗里达州的服务提供商Vultr (AS64515)排名第三。

另一家德国 IT 提供商Netcup (AS197540) 排名第四。Google Cloud Platform (AS15169) 紧随其后,排名第五。DigitalOcean (AS14061) 排第六位,其后是法国提供商 OVH (AS16276)Stark Industries (AS44477)Amazon Web Services (AS16509)Microsoft (AS8075)

2024 年第三季度 HTTP DDoS 攻击的最大来源网络

关键要点

该季度期间,我们观察到超大容量 DDoS 攻击空前激增,峰值达到 3.8 Tbps 和 2.2 Bpps。这与去年同期趋势相似,当时 HTTP/2 Rapid Reset 活动中的应用层攻击峰值超过了 2 亿次请求/秒(Mrps)。这些大规模攻击能够压垮互联网资产,特别是那些依赖容量有限的云服务或本地解决方案的互联网资产。

在地缘政治紧张局势和全球事件的推动下,越来越多强大的僵尸网络被使用,扩大了面临风险的组织范围——其中许多过去并不被认为是 DDoS 攻击的主要目标。不幸的是,太多组织在攻击已经造成重大损害后才被动地部署 DDoS 防护。

我们的观察证实,如果企业拥有充分准备、全面的安全策略,在抵御这些网络威胁时的韧性就会强大得多。Cloudflare 致力于保护您的互联网存在。通过积极投资于自动化防御系统和强大的安全产品组合,我们确保积极主动地防范当前和新兴威胁——让您高枕无忧。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
DDoS ReportsDDoSAdvanced DDoSRadarAttacks

在 X 上关注

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

相关帖子