歡迎瀏覽我們在 2022 年第三季度的 DDoS 威脅報告。本報告包括 DDoS 威脅狀況的深入解析和趨勢 - 正如 Cloudflare 全球網路中觀察到的那樣。
多 TB 強大的 DDoS 攻擊變得越來越頻繁。在第三季度中,Cloudflare 自動偵測並緩解了超過 1 Tbps 多次攻擊。最大規模的攻擊是由 Mirai 殭屍網路變體發起的 2.5 Tbps DDoS 攻擊,目標鎖定 Minecraft 伺服器 Wynncraft。從位元速率角度來看,這是我們遇過最大型的攻擊。
它是由 UDP 和 TCP 洪水攻擊組成的多手段攻擊。但是,當數十萬使用者在大型多人線上角色扮演遊戲 Minecraft 伺服器 Wynncraft 透過同一部伺服器遊玩時,也並未注意到攻擊,這是因為 Cloudflare 將其篩選掉了。
一般 DDoS 攻擊趨勢
整體來說,我們在本季度看到以下情況:
- 與去年相比,DDoS 攻擊有所增加。
- 持續的巨流量攻擊,由 Mirai 殭屍網路及其變體產生的攻擊激增。
- 鎖定台灣和日本的攻擊激增。
應用程式層 DDoS 攻擊
- HTTP DDoS 攻擊較去年同期增加 111%,但較上一季度減少 10%。
- 鎖定台灣的 HTTP DDoS 攻擊較上一季度增加 200%;鎖定日本的攻擊較上一季度增加 105%。
- DDoS 勒索攻擊較去年同期增加 67%,較上一季度增加 15%。
網路層 DDoS 攻擊
- 第 3 層/第 4 層 DDoS 攻擊較去年同期增加 97%,較上一季度增加 24%。
- 由 Mirai 殭屍網路發起的第 3 層/第 4 層 DDoS 攻擊較上一季度增加 405%。
- 第 3 層/第 4 層 DDoS 攻擊最常鎖定遊戲/博弈產業,包括大型 2.5 Tbps DDoS 攻擊。
本報告基於 Cloudflare 的 DDoS 保護系統自動偵測和緩解的 DDoS 攻擊數。如需深入瞭解該系統的運作方式,請查閱這篇深度剖析部落格貼文。
於 Cloudflare Radar 查看互動式 DDoS 報告。
勒索攻擊
DDoS 勒索攻擊是攻擊者要求支付贖金的攻擊手段,通常是使用比特幣才能阻止/避免攻擊。在第三季度中,回應調查的 Cloudflare 客戶中有 15% 回報曾遭受伴隨著威脅或贖金信的 HTTP DDoS 攻擊鎖定。這表示回報的 DDoS 勒索攻擊較上一季度增加 15%,較去年同期增加 67%。
深入探討第三季度後,我們可看到自 2022 年 6 月以來,勒索攻擊報告已有穩定的下降。但在 9 月時,勒索攻擊報告再次激增。9 月份,幾乎是每四名受訪者就有一人回報收到 DDoS 勒索攻擊或威脅 — 這是自 2022 年以來最告的月份。
我們如何計算 DDoS 勒索攻擊趨勢
我們的系統會持續分析流量,並在偵測到 DDoS 攻擊時自動套用緩解措施。每個受到 DDoS 攻擊的客戶都會收到提示,請求參與一個自動化調查,以幫助我們更好地瞭解該攻擊的性質以及緩解措施的成功率。兩年多以來,Cloudflare 一直在對受到攻擊的客戶進行調查。調查中的一個問題是,受訪者是否收到威脅或勒索信,要求付款以換得停止 DDoS 攻擊。過去一年以來,我們在每個季度平均收集了 174 個回應。此調查的回應會用於計算 DDoS 勒索攻擊的百分比。
應用程式層 DDoS 攻擊
應用程式層 DDoS 攻擊,特別是 HTTP DDoS 攻擊,旨在透過讓網頁伺服器無法處理合法使用者要求加以破壞。如果伺服器收到的要求數量超過其處理能力,伺服器即會丟棄合法要求或在某些情況下當機,導致對合法使用者的服務效能下降或服務中斷。
應用程式層 DDoS 攻擊趨勢
觀察下方示意圖時,我們可以清楚看到自 2022 年第一季度以來每個季度大約增加 10% 攻擊的趨勢。但即使出現下降趨勢,在比較 2022 年第三季度和 2021 年第三季度時,我們可以看到 HTTP DDoS 攻擊較去年同期仍增加 111%。
當我們深入探討每季度的月份時,9 月和 8 月的攻擊分佈較為平均;分別是 36% 和 35%。7 月份,攻擊量為該季度最低 (29%)。
應用程式層 DDoS 攻擊:行業分佈
依我們客戶的營運產業將攻擊分組,即可看到由網際網路公司營運的 HTTP 應用程式在第三季度的被攻擊次數最高。對網際網路產業的攻擊較上一季度增加 131%,較去年同期增加 300%。
最常受到攻擊的第二名產業是電信業,較上一季度增加 93%,較去年同期增加 2,317%(相當驚人)。第三名則是遊戲/博弈產業,增加情形較為保守,較上一季度增加 17%,較去年同期增加 36%。
應用程式層 DDoS 攻擊:目標國家/地區分佈
依我們客戶的帳單地址分組攻擊後,即可瞭解哪個國家/地區最常受到攻擊。在第三季度最常受到攻擊的是由美國公司營運的 HTTP 應用程式。在攻擊鎖定方面,美國地區的網站較上一季度增加 60%,較去年同期增加 105%。排在美國之後的是中國,較上一季度增加 332%,較去年同期增加 800%。
在烏克蘭方面,我們可以看到鎖定烏克蘭網站的攻擊較上一季度增加 67%,但較去年同期減少 50%。而且,鎖定俄羅斯網站的攻擊較上一季度增加 31%,較去年同期增加 2,400%(相當驚人)。
在東亞方面,我們可以看到鎖定台灣公司的攻擊較上一季度增加 200%,較去年同期增加 60%;鎖定日本公司的攻擊較上一季度增加 105%。
當我們針對特定國家/地區時,我們可在下方識別可能顯示與烏克蘭戰爭及東亞地緣政治事件相關的有趣深入解析:
在烏克蘭方面,我們可以看到受攻擊產業的異常變化。過去兩個季度以來,廣播、線上媒體及出版公司最常受到鎖定,且似乎在試圖掩蓋資訊並讓市民無法使用。但在這季度中,那些產業掉出了前十名。相反地,行銷和廣告產業領先群雄 (40%),再來是教育機構 (20%),及政府行政 (8%)。
在俄羅斯方面,對銀行、金融服務及保險 (BFSI) 產業的攻擊持續維持 (25%)。即使如此,對 BFSI 產業的攻擊較上一季度仍減少 44%。第二名是賽事服務產業 (20%),再來是加密貨幣 (16%)、廣播媒體 (13%) 及零售業 (11%)。大部分的攻擊流量來自德國地區的 IP 位址,其他的則分散在全球。
在台灣方面,兩個最常受到攻擊的產業是線上媒體 (50%) 和網際網路 (23%)。那些產業的攻擊分散在全球,代表著各項攻擊會使用殭屍網路。
在日本方面,最常受到攻擊的產業是網際網路/媒體和網際網路 (52%)、商業服務 (12%) 及國家政府 (11%)。
依來源國家/地區劃分的應用程式層 DDoS 攻擊流量
深入探討特定來源國家/地區指標前,請務必注意,雖然來源國家/地區很有趣,但不一定代表這就是攻擊者所在位置。DDoS 攻擊發起時經常會採用遠端形式,且攻擊者會不遺餘力地隱藏其實際位置,並試圖逃避追捕。如果有的話,這代表殭屍網路節點的所在位置。也就是說,透過將攻擊 IP 位址對映至其位置,我們即可瞭解攻擊流量的來源位置。
中國連續兩個季度皆取代美國,成為了 HTTP DDoS 攻擊流量的主要來源。中國在第三季度是 HTTP DDoS 攻擊流量的最大來源。源自中國註冊 IP 位址的攻擊流量較去年同期增加 29%,較上一季度增加 19%。在中國後面的是印度,HTTP DDoS 攻擊流量的第二大來源 — 較去年同期增加 61%。印度之後,主要來源是美國和巴西。
在烏克蘭方面,我們可以看到此季度源自烏克蘭和俄羅斯 IP 位址的攻擊流量有所下降 — 較上一季度分別是 29% 和 11%。但是較去年同期,那些國家/地區的攻擊流量仍分別增加 47% 和 18%。
另一項有趣的資料點為源自日本 IP 位址的攻擊流量較去年同期增加 130%。
網路層 DDoS 攻擊
應用程式層攻擊的目標是最終使用者嘗試訪問的服務(本例中為 HTTP/S)所在的應用程式(OSI 模型的第 7 層),而網路層攻擊以網路基礎結構(例如聯網路由器和伺服器)和網際網路鏈路本身為目標。
網路層 DDoS 攻擊趨勢
在第三季度,我們看到第 3 層/第 4 層 DDoS 攻擊出現大流量激增 — 較去年同期增加 97%,較上一季度增加 24%。而且,觀察示意圖時,我們可以清楚看到過去三個季度以來攻擊增加的趨勢。
深入瞭解該季度後,可明顯看到攻擊大部分平均分散在整個季度 — 7 月所佔比例稍高。
網路層 DDoS 攻擊:產業分佈
第 3 層/第 4 層 DDoS 攻擊在第三季度最常攻擊遊戲/博弈產業。在 Cloudflare 針對遊戲/博弈網路擷取的每五個位元中,幾乎就有一個位元是來自 DDoS 攻擊。這代表較上一季度暴增了 381%。
最常受到攻擊的第三名產業為電信業 — 幾乎有 6% 針對電信業網路的位元是來自 DDoS 攻擊。這代表先前季度為最常受到第 3 層/第 4 層 DDoS 攻擊的電信業產業,在本季度下降 58%。
再來是資訊技術和服務產業,以及軟體產業。我們可看到攻擊均大幅成長 — 較上一季度分別是 89% 和 150%。
網路層 DDoS 攻擊:目標國家/地區分佈
在第三季度,新加坡地區公司出現頻率最高的第 3 層/第 4 層 DDoS 攻擊 — 在其網路中超過所有位元的 15% 皆與 DDoS 攻擊相關聯。這代表較上一季度大幅增加 1,175%。
美國為第二名,鎖定美國網路的攻擊流量較上一季度增加 45%。第三名是中國,較上一季度增加 62%。對台灣公司的攻擊較上一季度也增加 200%。
網路層 DDoS 攻擊:輸入國家/地區分佈
在第三季度,Cloudflare 位於亞塞拜然的資料中心出現大比例的攻擊流量。超過所有擷取封包的三分之一皆為第 3 層/第 4 層 DDoS 攻擊。這代表較上一季度增加 44%,較去年同期大幅增加 59 倍。
同樣地,我們在突尼西亞的資料中心大幅增加攻擊封包 - 較去年數量增加 173 倍。辛巴威和德國同樣出現大量的攻擊。
在東亞方面,我們可以看到台灣資料中心的攻擊也有所增加 — 較上一季度增加 207%,較去年同期增加 1,989%。我們發現日本出現類似的數字,攻擊較上一季度增加 278%,較去年同期增加 1,921%。
在烏克蘭方面,實際上可看到我們在烏克蘭和俄羅斯地區資料中心觀察到的攻擊封包量有所下降 — 較上一季度分別是 49% 和 16%。
攻擊手段和新興威脅
攻擊手段是用於發起攻擊,或者試圖達成阻斷服務的方式。共同佔有 71% 的比例,SYN 洪水攻擊和 DNS 攻擊還是第三季度最熱門的 DDoS 攻擊手段。
上一個季度,我們看到濫用 CHARGEN 通訊協定、Ubiquity Discovery 通訊協定的攻擊,以及 Memcached 反射攻擊捲土重來。雖然 Memcached DDoS 攻擊的成長也稍有增加 (48%),但在此季度,濫用 BitTorrent 通訊協定的攻擊 (1,221%),以及由 Mirai 殭屍網路及其變體發起的攻擊,增加幅度更大。
BitTorrent DDoS 攻擊較上一季度增加 1,221%
BitTorrent 通訊協定是用於點對點檔案共用的通訊協定。為了協助 BitTorrent 客戶有效尋找並下載檔案,BitTorrent 客戶可使用 BitTorrent 追蹤器或分散式雜湊表 (DHT)識別為所需檔案製作種子的各個點。此概念可用於發起 DDoS 攻擊。惡意執行者可在追蹤者和 DHT 系統中假裝植入程式 IP 位址欺騙受害者的 IP 位址。接著,客戶就會從那些 IP 要求檔案。只要有足夠數量的客戶要求檔案,即可對客戶發起超過其掌握能力的流量洪水攻擊。
Mirai DDoS 攻擊較上一季度增加 405%
Mirai 惡意軟體會感染在 ARC 處理器上執行的智慧型裝置,並將它們轉換為用於發起 DDoS 攻擊的殭屍網路。此處理器會執行精簡版的 Linux 作業系統。如果預設使用者名稱和密碼組合未變更,Mirai 即可登入裝置、感染並接管。殭屍網路操作員可中斷殭屍網路,以便在受害者 IP 位址發起 UDP 封包的洪水攻擊,對他們進行轟炸。
依攻擊率和持續時間劃分的網路層 DDoS 攻擊
雖然大 TB 型攻擊變得越來越頻繁,他們仍屬於異常狀況。大部分還是小型攻擊(就 Cloudflare 的規模來說)。超過 95% 的攻擊高峰低於 50,000 個每秒封包數 (pps),且超過 97% 低於 500 個每秒兆位元數 (Mbps)。我們稱之為「網路破壞行為」。
什麼是網路破壞行為?與旨在對公共或私人實體財產 — 例如在建築物牆面塗鴉 — 造成蓄意破壞的「經典」破壞行為相反,在網路世界中,網路破壞行為是對網際網路設備造成蓄意傷害的行為。現今,各種殭屍網路的來源程式碼均可在線上使用,且有大量可用於發起封包洪水攻擊的免費工具。只要將那些工具導向網際網路設備,任何指令碼小子都能夠使用那些工具在考試期間對他們的學校,或是他們想打擊或干擾的任何其他網站發起攻擊。這與組織型犯罪、進階持續威脅執行者,以及能夠發起更大規模且複雜攻擊的國家層級執行者相反。
同樣地,大多數攻擊的時間都不長,並會在 20 分鐘內結束 (94%)。我們在此季度看到 1 至 3 小時的攻擊增加 9%、超過 3 小時的攻擊增加 3% — 但那些還是異常狀況。
即使是最大規模的攻擊,例如我們稍早在本季度緩解的 2.5 Tbps 攻擊,以及我們在夏天緩解的每秒 26M 個請求的攻擊,攻擊高峰的持續時間並不長。整個 2.5 Tbps 的攻擊持續了大約 2 分鐘,而每秒 26M 個要求的攻擊只有 15 秒。這突顯了自動化永遠連線解決方案的需求。安全團隊的回應速度不夠快。當安全工程師看到手機上的 PagerDuty 通知時,攻擊早已平息。
概述
攻擊可能會由人類發起,但其執行者為機器人 — 而且為了打場勝戰,您必須利用機器人對抗機器人。請務必自動化執行偵測與緩解作業,因為只依賴人類的話,防禦者會因此屈居下風。Cloudflare 的自動化系統不斷為我們客戶偵測並緩解 DDoS 攻擊,他們就可以省下心力。
多年來,攻擊者和雇佣攻擊者在發動 DDoS 攻擊上更加輕鬆、成本低廉且方便存取。但是,既然攻擊者變得越來越輕鬆,我們也想確保任何規模之組織的防禦者也能夠更輕鬆(並免費)地保護自身免於任何規模的 DDoS 攻擊。自 2017 年以來,我們一直免費向所有客戶提供非計量且無限制的 DDoS 保護 — 當時我們是開創此概念的先鋒。Cloudflare 的使命就是協助建置更好的網際網路,而更好的網際網路就是對每個人來說更安全、更快速且更可靠的環境 - 即使面臨 DDoS 攻擊也一樣。