订阅以接收新文章的通知:

2020 年第二季度网络层 DDoS 攻击趋势

2020/08/05

13 分钟(阅读时间)

2020 年第一季度,在短短几周内,我们的生活方式发生了翻天覆地的变化。我们对在线服务的依赖达到前所未有的程度。有条件的员工在家工作、各个年龄段和各个年级的学生都在线上课,我们重新定义了保持在线的含义。公众对保持联系的依赖程度越深,攻击者造成混乱并破坏我们生活的潜在回报就越丰厚。因此,不出意料,在 2020 年第一季度(2020 年 1 月 1 日至 2020 年 3 月 31 日),我们报告的攻击次数出现增加 —— 特别是在3月下半月各国政府机构实施居家隔离——就地庇护之后。

2020 年第二季度(2020 年 4 月 1 日至 2020 年 6 月 30 日),DDoS 攻击增加的趋势一直持续甚至加速:

  • 与今年前三个月相比,在我们网络上观察到的第 3/4 层 DDoS 攻击数量翻了一番。
  • 最大的第 3/4 层 DDoS 攻击的规模显著扩大。实际上,我们观察到我们网络上历来最大的一些攻击。
  • 我们观察到了更多攻击手段被使用,且攻击在地理位置上更加分散。

第二季度全球第 3/4 层 DDoS 攻击的数量翻一番

Gatebot 是 Cloudflare 的主要 DDoS 保护系统。该系统自动检测并缓解分布在全球的 DDoS 攻击。全球 DDoS 攻击是指我们在一个以上边缘数据中心观察到的攻击。这些攻击通常由老练的攻击者使用僵尸网络发动,每个僵尸网络可包含数万至数百万个机器人。

第二季度期间,Gatebot 一直忙于应付老练攻击者。Gatebot 在第二季度检测到并缓解的全球第 3/4 层 DDoS 攻击总数环比增长了一倍。在我们的第一季度 DDoS 报告中,我们报告了攻击数量和规模激增的情况。这种趋势在第二季度出现加速;2020 年的全球 DDoS 攻击中,超过 66% 发生在第二季度(增长近 100%)。5 月是 2020 年上半年最繁忙的月份,其次是 6 月和 4 月。接近三分之二的第 3/4 层 DDoS 攻击发生在 5 月。

实际上,在所有峰值超过 100 Gbps 的第 3/4 层 DDoS 攻击中,有 63% 发生在 5 月。今年 5 月份,随着世界各地疫情继续恶化,攻击者尤其热衷于攻击网站和其他互联网资产。

虽然大型攻击的规模不断扩大,小型攻击仍然占有数量优势

DDoS 攻击的强度等于其规模 —— 即为压倒目标而淹没链路的数据包或比特的实际数量。“大型” DDoS 攻击是指互联网流量峰值很高的攻击。速率可以按照数据包或比特数来衡量。高比特率的攻击会尝试使互联网链路饱和,而高数据包速率的攻击则会使路由器或其他联网硬件设备不堪重负。

与第一季度类似,就 Cloudflare 的网络规模而言,我们在第二季度观察到的大多数第 3/4 层 DDoS 攻击也相对较小。在第二季度,我们发现的所有第 3/4 层 DDoS 攻击中将近 90% 的峰值低于 10 Gbps。对于全球大多数网站和 Internet 资产而言,如果未受到云端 DDoS 缓解服务的保护,低于 10 Gbps 的小型攻击仍然很容易导致中断。

同样,从数据包速率的角度来看,第二季度所有第 3/4 层 DDoS 攻击中有 76% 的峰值达到每秒 100 万个数据包(pps)。通常,1 Gbps 以太网接口的传输速率介乎 8 万到 150 万 pps。假设该接口还传输合法流量,而且大多数组织的接口速率都小于 1 Gbps,您可以看到,即使这些数据包速率较“小”的 DDoS 攻击也可以轻松地摧毁互联网资产。

就持续时间而言,所有攻击中有 83% 持续 30 至 60 分钟。我们在第一季度看到的趋势类似,其中 79% 的攻击持续 30 至 60 分钟。这个持续时间看似很短,但是可以想象,这是安全团队与攻击者之间持续 30 至 60 分钟的网络大战。这么一看就不算短了吧。此外,如果 DDoS 攻击造成中断或服务降级,则重新启动设备和重新启动服务的恢复时间会更长;每分钟都对您的收入和声誉带来负面影响。

在第二季度,我们的网络上发生了有史以来最大的 DDoS 攻击

本季度的大规模攻击越来越多,从数据包速率和比特率两方面而言都是如此。实际上,2020 年所有峰值超过 100 Gbps 的 DDoS 攻击中,有 88% 是在 3 月的就地庇护令生效后发起的。同样,5 月不仅是总攻击次数最多的月份,也是 100 Gbps 以上大型攻击次数最多的月份。

从数据包角度看,6 月居首位,有一次攻击的速率达到惊人的 7.54 亿 pps。除了这次攻击外,整个季度的最大数据包速率基本保持在 2 亿 pps左右。

Cloudflare 自动检测并缓解了这次高达 7.54 亿 pps 的攻击。上述攻击是一次有组织行动的一部分,该行动长达四天,从 6 月 18 日持续到 21 日。在这次行动中,来自超过 31.6 万个 IP 地址的攻击流量瞄准了单个 Cloudflare IP 地址。

Cloudflare 的 DDoS 保护系统自动检测并缓解了这次攻击,而由于我们的网络规模庞大、覆盖全球,网络性能没有受到任何影响。对于缓解大型攻击而言,全球互联的网络至为重要,因为这样的网络能吸收攻击流量,并在源头附近缓解攻击,同时继续为合法客户流量提供服务,而不引起延迟或服务中断。

美国是大多数攻击的目标

如果按国家/地区来看第 3/4 层 DDoS 的攻击分布情况,美国的数据中心受到的攻击最多(22.6%),其次是德国(4.4%)、加拿大(2.7%)和英国(2.6%)。

如果按每个 Cloudflare 数据中心缓解的攻击字节总数排列,美国仍然领先(34.9%),但其次是中国香港(6.6%)、俄罗斯(6.5%)、德国(4.5%)和哥伦比亚(3.7%)。后续排名变化的原因在于每次攻击产生的带宽总量。例如,虽然中国香港由于发现的攻击次数相对较少(1.8%)而未进入前十名,但这些攻击的容量巨大,并且产生了大量的攻击流量,将中国香港推到了第二名。

在分析第 3/4 层 DDoS 攻击时,我们按 Cloudflare 边缘数据中心位置而不是源 IP 的位置对流量进行分类。理由是,在发起第 3/4 层攻击时,攻击者可以“伪造”(更改)源 IP 地址,以掩盖攻击源。如果我们基于伪造的源 IP 来追溯国家/地区,我们会获得虚假的国家/地区信息。Cloudflare 能够按观察到攻击的 Cloudflare 数据中心的位置显示攻击数据,从而克服伪造 IP 带来的挑战。由于我们在全球 200 多个城市设有数据中心,我们能够在报告中实现地理位置上的准确性。

第二季度所有第 3/4 层 DDoS 攻击中,57% 是 SYN 洪水攻击

攻击手段是用于描述攻击方法的术语。在第二季度,我们观察到攻击者在第 3/4 层 DDoS 攻击中使用的手段数量有所增加。第二季度共有 39 种不同类型的攻击手段,而第一季度共有 34 种。SYN 洪水占绝大多数,比例超过 57%,其次是 RST(13%)、UDP(7%)、CLDAP(6%)和SSDP(3%)攻击。

SYN 洪水攻击旨在利用 TCP 连接的握手过程。攻击者重复发送带有同步标志(SYN)的初始连接请求数据包,试图淹没跟踪 TCP 连接状态的路由器连接表。路由器回复包含同步确认标志(SYN-ACK)的数据包,为每个给定的连接分配一定数量的内存,然后错误地等待客户端发回最终确认(ACK)。如果有足够数量的 SYN 占用路由器的内存,则路由器将无法为合法客户端分配更多内存,从而导致拒绝服务。

无论攻击手段是什么,Cloudflare 都会使用我们三管齐下的保护方法(包括我们自建的 DDoS 保护系统)自动检测并缓解有状态或无状态 DDoS 攻击:

  • Gatebot —— Cloudflare 的集中式 DDoS 保护系统,用于检测和缓解全球分布的 DDoS 容量耗尽攻击。Gatebot 在我们网络的核心数据中心中运行。它从我们每个边缘数据中心接收样本,对其进行分析,并在检测到攻击时自动发送缓解指令。Gatebot 还同步到我们客户的每台 Web 服务器,以识别其运行状况并相应地触发定制的保护机制。
  • dosd(拒绝服务守护程序)—— Cloudflare 的分布式 DDoS 保护系统。dosd 在全球每个 Cloudflare 数据中心的每台服务器中自主运行、分析流量并在需要时应用本地缓解规则。除了能够以超快的速度检测和缓解攻击外,dosd 还通过将检测和缓解能力委派给边缘来显著提高我们的网络韧性。
  • flowtrackd(流跟踪守护程序)—— Cloudflare 的 TCP 状态跟踪服务,用于检测和缓解单向路由拓扑中最随机、最复杂的基于 TCP 的 DDoS 攻击。flowtrackd 能够识别 TCP 连接的状态,然后对不属于合法连接的数据包进行丢弃、质询或设置速率限制。

除了我们的自动 DDoS 保护系统之外,Cloudflare 还可以生成实时威胁情报,以自动缓解攻击。此外,Cloudflare 还为客户提供防火墙、速率限制和其他工具,以进一步自定义和优化其保护。

Cloudflare DDoS 缓解

随着企业和个人对互联网的使用不断发展,DDoS 策略也应该相应调整。Cloudflare 保护网站应用程序整个网络免受任何规模、种类或复杂程度的 DDoS 攻击。

我们的综合性解决方案备受客户和行业分析师推荐,主要出于以下三个原因:

  • 网络规模:Cloudflare 网络容量高达 37 Tbps,可以轻松阻止任何规模、类型或复杂程度的攻击。Cloudflare 网络的 DDoS 缓解容量高于后四家竞争对手的容量总和。
  • 缓解时间:Cloudflare 可以在不到 10 秒内缓解全球大多数网络层攻击,在预先配置静态规则时可即刻缓解(0 秒)。凭借我们遍及全球的网络,Cloudflare 能以最小的延迟在源头附近缓解攻击。在某些情况下,流量传输速度甚至比在公共互联网上更快。
  • 威胁情报:Cloudflare 的 DDoS 缓解由来自超过 2700 万个互联网资产的威胁情报驱动。此外,威胁情报还集成到面向客户的防火墙和工具中,以增强客户的能力。

由于我们的网络架构,Cloudflare 具有独特优势,能以无与伦比的规模、速度和智能实现 DDoS 缓解。Cloudflare 的网络就像是一个分形 —— 每项服务在遍布全球 200 个城市的每个 Cloudflare 数据中心的每台服务器上运行。这使 Cloudflare 能够在靠近源头的位置检测和缓解攻击,无论攻击的规模、来源或类型如何。

要了解有关 Cloudflare DDoS 解决方案的更多信息,请联系我们开始使用

您还可以参加即将举行的直播网络研讨会,期间我们将讨论这些趋势,以及企业可以实施哪些策略来抵御 DDoS 攻击并保持其网络在线和快速运行。您可以在这里报名

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
简体中文Security (CN)DDoS (CN)

在 X 上关注

Vivek Ganti|@VivekGanti
Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

相关帖子

2024年3月08日 14:05

Log Explorer:在没有第三方存储的情况下监视安全事件

借助 Security Analytics + Log Explorer 的综合功能,安全团队可以在 Cloudflare 中本地分析、调查和监控安全攻击,无需将日志转发给第三方 SIEM,从而缩短解决时间并降低客户的总体拥有成本...