
歡迎瀏覽我們 2022 年第四季度(即最後一個季度)的 DDoS 威脅報告。本報告包括有關 DDoS 威脅情勢的深入解析和趨勢,這些資訊從 Cloudflare 全球網路中觀察所得。
今年最後一個季度,隨著全世界數十億人慶祝感恩節、聖誕節、光明節、黑色星期五、光棍節和新年等節日和活動,DDoS 攻擊不僅沒有消失,甚至其規模、頻率和複雜程度都進一步增長,同時試圖擾亂我們的生活方式。
Cloudflare 的自動化 DDoS 防禦能力仍然固若磐石,僅在最後一個季度就緩解了數百萬個攻擊。我們對所有這些攻擊進行了彙總、分析並擬定了最終報告,幫助您深入瞭解威脅情勢。
全球 DDoS 深入解析
今年最後一個季度,儘管一整年都呈下降趨勢,HTTP DDoS 攻擊流量同比增長還是達到了 79%。雖然這些攻擊大多規模較小,但 Cloudflare 卻不斷地遇到 TB 強度的攻擊,每秒數億個封包的 DDoS 攻擊,以及由複雜機器人網路發起的最高每秒數千萬個要求的 HTTP DDoS 攻擊。
- 巨流量攻擊急劇上升;速率超過 100 GB/秒 (Gbps) 的攻擊數季增率為 67%,持續時間超過三小時的攻擊數季增率為 87%。
- 今年,DDoS 勒索攻擊穩步增長。第四季度,超過 16% 的受訪者回報稱,他們在其網際網路資產受到 DDos 攻擊的同時,還收到了威脅或索要贖金的勒索信。
DDoS 攻擊的主要目標產業
- HTTP DDoS 攻擊佔航空和太空網際網路資產所有流量的 35%。
- 同樣,在遊戲/博彩業和金融業的所有流量中,三分之一以上為網路層 DDoS 攻擊流量。
- 高達 92% 的教育管理公司流量屬於網路層 DDoS 攻擊。同樣,73% 的資訊技術和服務業以及公關和通訊業流量也是網路層 DDoS 攻擊。
DDoS 攻擊的來源和目標
- 第四季度,在受 Cloudflare 保護的中國網際網路資產的網路層流量中,93% 屬於網路層 DDoS 攻擊。同樣,立陶宛 86% 以上的 Cloudflare 客戶流量和芬蘭 80% 的 Cloudflare 客戶流量均為攻擊流量。
- 在應用程式層,受 Cloudflare 保護的格魯吉亞網際網路資產的所有流量中,超過 42% 屬於 HTTP DDoS 攻擊,緊隨其後的貝里斯為 28%,而位列第三的聖馬利諾則略低於 20%。Cloudflare 發現,在源於利比亞的所有流量中,將近 20% 為應用程式層 DDoS 攻擊流量。
- 在 Cloudflare 位於波札那的資料中心所記錄的所有流量中,超過 52% 是網路層 DDoS 攻擊流量。同樣,在 Cloudflare 位於亞塞拜然、巴拉圭和巴勒斯坦的資料中心,網路層 DDoS 攻擊流量約佔所有流量的 40%。
快速提醒:本季度,我們對演算法進行了變更以改進資料的準確性,這意味著上述部分資料點無法與前幾個季度作比較。若要深入瞭解這些變更,請閱讀下一節報告方法變更。
若要跳到該報告,請按一下這裡。
報名參加 DDoS 趨勢網路研討會,以深入瞭解新興威脅以及如何防禦。
報告方法變更
自我們於 2020 年發佈第一份報告以來,我們一直使用百分比來表示攻擊流量,即攻擊流量佔所有流量(包括合法/使用流量)的百分比。我們這樣做是為了正規化資料,避免產生資料偏差,並且更加靈活地將新的緩解系統資料納入報告。
在本報告中,我們對依某些維度(例如,目標國家/地區、來源國家/地區或目標產業)分組攻擊時,用於計算上述部分百分比的方法進行了變更。在應用程式層部分,我們之前用指定維度的攻擊 HTTP/S 要求數量除以所有維度的所有 HTTP/S 要求數。在網路層部分,特別是在目標產業和目標國家/地區中,我們過去用指定維度的攻擊 IP 封包數量除以所有維度的攻擊封包總數。
從本報告開始,我們用指定維度的攻擊要求(或封包)數除以該指定維度的要求(或封包)總數。我們之所以做出這些變更,是為了調整整個報告的計算方法並改進資料準確性,從而更完美地呈現攻擊情勢。
例如,使用之前的方法,受應用程式層 DDoS 攻擊最嚴重的產業是遊戲和博彩業。針對該產業的攻擊要求數佔所有產業所有流量(攻擊和非攻擊)的 0.084%。使用同樣的舊方法,航空和太空業位列第十二。針對航空和太空業的攻擊流量佔所有產業所有流量(攻擊和非攻擊)的 0.0065%。而使用新方法,航空和太空業成為受攻擊最嚴重的產業 — 攻擊流量佔該產業所有流量(攻擊和非攻擊)的 35%。再次使用新方法,遊戲和博彩業位列第十四 — 攻擊流量佔其流量的 2.4%。
以前報告中用於計算每個維度攻擊流量百分比的舊計算方法如下:

從本報告開始使用的新計算方法如下:

這些變更適用於以下計量:
- 應用程式層 DDoS 攻擊的目標產業
- 應用程式層 DDoS 攻擊的目標國家/地區
- 應用程式層 DDoS 攻擊的來源
- 網路層 DDoS 攻擊的目標產業
- 網路層 DDoS 攻擊的目標國家/地區
報告中未作其他變更。自第一份報告以來,網路層 DDoS 攻擊的來源計量就已使用此方法。此外,DDoS 勒索攻擊、DDoS 攻擊速率、DDoS 攻擊持續時間、DDoS 攻擊手段和主要新興威脅部分也未作變更。這些計量並未考量合法流量,因此,無需調整方法。
有鑑於此,我們來深入探討一下這些解析和趨勢。您也可以在 Cloudflare Radar 上檢視本報告的互動版本。DDoS 勒索攻擊
勒索軟體攻擊會誘騙受害者下載檔案或按一下電子郵件連結,然後加密並鎖定其電腦檔案,直到他們支付贖金,與此相反,發起 DDoS 勒索攻擊對於攻擊者來說要容易得多。DDoS 勒索攻擊不必誘騙受害者開啟電子郵件或按一下連結,也不需要執行網路入侵或取得立足點。
在 DDoS 勒索攻擊中,攻擊者不必存取受害者的電腦,只需讓足夠的流量湧入其電腦,即可對其網際網路服務造成負面影響。攻擊者會要求支付贖金(通常是以比特幣的形式),以停止及/或避免進一步攻擊。
2022 年最後一個季度,在回覆我們調查的 Cloudflare 客戶中,有 16% 回報稱正在遭受附有威脅或勒索信的 HTTP DDoS 攻擊。這表示所回報的 DDoS 勒索攻擊較上一季度增長了 14%,但同比下降了 16%。

我們如何計算 DDoS 勒索攻擊趨勢
Cloudflare 的系統會不斷地分析流量,並在偵測到 DDoS 攻擊時自動套用緩解措施。每個受到 DDoS 攻擊的客戶都會收到提示,邀請他們參與一項自動化調查,以幫助我們更好地瞭解該攻擊的性質以及緩解措施的成功率。兩年多以來,Cloudflare 一直在對受到攻擊的客戶進行調查。調查中的一個問題是問受訪者是否收到過威脅或勒索信。在過去兩年間,我們平均每個季度收集了 187 份回覆。此調查的回覆會用於計算 DDoS 勒索攻擊的百分比。
應用程式層 DDoS 攻擊情勢
應用程式層 DDoS 攻擊(具體而言,即 HTTP/S DDoS 攻擊)是一種網路攻擊,通常旨在中斷網頁伺服器,使其無法處理合法使用者要求。如果伺服器收到的要求數量遠遠超過其處理能力,伺服器即會丟棄合法要求,在某些情況下會當機,導致合法使用者的效能下降或服務中斷。

應用程式層 DDoS 攻擊趨勢
觀察下方示意圖,我們可以看到今年每個季度的攻擊都呈現明顯的下降趨勢。然而,儘管呈現下降趨勢,但和去年同期相比,HTTP DDoS 攻擊還是增長了 79%。

應用程式層 DDoS 攻擊的目標產業
在很多人旅遊度假的季度中,航空和太空業是遭受攻擊最多的產業。該產業大約 35% 的流量屬於 HTTP DDoS 攻擊。位列第二的是活動服務業,HTTP DDoS 攻擊流量佔比超過 16%。
排在後面的依次為媒體和出版、無線、政府關係和非營利產業。若要深入瞭解 Cloudflare 如何保護非營利和人權組織,請閱讀我們最新的影響力報告。

當我們依地區進行細分並在排除網際網路和軟體等一般產業值區後,我們可以看到,在北美洲和大洋洲,受到最多攻擊的產業為電信業。在南美洲和非洲,受到最多攻擊的產業為旅遊服務業。在歐洲和亞洲,受到最多攻擊的產業為遊戲和博彩業。而在中東,教育產業受到的攻擊最多。

應用程式層 DDoS 攻擊的目標國家/地區
依我們客戶的帳單地址分組攻擊,可協助我們瞭解哪些國家/地區最常受到攻擊。第四季度,在受 Cloudflare 保護的格魯吉亞 HTTP 應用程式的所有流量中,超過 42% 為 DDoS 攻擊流量。
位列第二的是總部位於貝里斯的公司,近三分之一的流量為 DDoS 攻擊,然後是位列第三的聖馬利諾,DDoS 攻擊流量佔比略低於 20%。

應用程式層 DDoS 攻擊的來源
在深入探討之前快速提醒一下。如果發現一個國家/地區是 DDoS 攻擊的主要來源,並不一定意味著就是該國家/地區發起的這些攻擊。通常來說,DDoS 攻擊的攻擊者會在遠端發起攻擊,以試圖隱藏其真實的位置。主要來源國家/地區通常表示有機器人網路節點從該國家/地區內運作,可能是遭劫持的伺服器或 IoT 裝置。
第四季度,在源於利比亞的所有 HTTP 流量中,將近 20% 屬於 HTTP DDoS 攻擊。同樣,在源於東帝汶(澳大利亞以北的一個東南亞島國)的流量中,有 18% 是攻擊流量。此外,DDoS 攻擊流量在源於英屬維京群島的所有流量中佔 17%,在源於阿富汗的所有流量中佔 14%。

網路層 DDoS 攻擊
應用程式層攻擊的目標是終端使用者嘗試存取的服務(本例中為 HTTP/S)所在的應用程式(OSI 模型的第 7 層),而網路層 DDoS 攻擊以網路基礎結構(例如內嵌路由器和伺服器)和網際網路連結本身為目標。

網路層 DDoS 攻擊趨勢
在網路層 DDoS 攻擊穩步增長一年後,今年第四季度(即最後一個季度),攻擊數量竟然較上一季度下降了 14%,同比下降了 13%。

現在,我們來更深入地瞭解各種攻擊屬性,例如,攻擊巨流量速率、持續時間、攻擊手段和新興威脅。
DDoS 攻擊速率
雖然絕大多數攻擊持續時間相對較短,規模相對較小,但在本季度,我們確實看到持續時間更長且規模更大的攻擊數量達到了峰值。速率超過 100 Gbps 的巨流量網路層 DDoS 攻擊數量季增率為 67%。同樣,介於 1-100 Gbps 之間的攻擊數季增率為大約 20%,而介於 500 Mbps 與 1 Gbps 之間的攻擊數季增率為 108%。

下面是一個在感恩節後一週發生的超過 100 Gbps 的攻擊範例。這是一起針對總部位於韓國的代管提供者發起的 1 Tbps 的 DDoS 攻擊。這起特定的攻擊是一次 ACK 洪水,持續了大約一分鐘。由於該代管提供者使用了 Magic Transit(Cloudflare 的第 3 層 DDoS 保護服務),該服務自動偵測並緩解了這起攻擊。

高流量攻擊通常旨在堵塞網際網路連線以造成阻斷服務事件,而高封包量攻擊卻試圖讓內嵌裝置當機。如果一起攻擊傳送的封包數超出您的處理能力,則伺服器和其他內嵌設備可能無法處理合法使用者流量,甚至會完全當機。
DDoS 攻擊持續時間
第四季度,持續時間不足 10 分鐘的較短攻擊數量較上一季度下降了 76%,而持續時間較長的攻擊數量則有所增長。最值得注意的是,持續 1-3 小時的攻擊季增率為 349%,而持續超過三小時的攻擊數量季增率為 87%。大多數(67% 以上)攻擊持續時間為 10-20 分鐘。

DDoS 攻擊手段
攻擊手段是用於描述攻擊方法的術語。第四季度,SYN 洪水仍是攻擊者的首選方法 — 實際上,將近一半的網路層 DDoS 攻擊是 SYN 洪水。
簡而言之,SYN 洪水就是大量的 SYN 封包(開啟同步旗標,即位元設為 1 的 TCP 封包數)。SYN 洪水利用三向 TCP 交握(這是在伺服器和用戶端之間建立連線的方式)的可設定狀態性。

用戶端先傳送一個 SYN 封包,伺服器會使用一個同步確認 (SYN/ACK) 封包來回應,並等待用戶端的確認 (ACK) 封包。針對每一個連線,會分配一定數量的記憶體。在 SYN 洪水中,攻擊者可偽裝(變更)來源 IP 位址,導致伺服器使用 SYN/ACK 封包來回應偽裝 IP 位址 — 這樣最有可能忽略封包。然後,伺服器就會天真地等待從未到達的 ACK 封包來完成交握。一段時間後,伺服器會逾時並釋放那些資源。然而,鑒於大量的 SYN 封包在較短的時間內湧現,它們足以耗盡伺服器的資源,並使其無法處理合法使用者連線,甚至完全當機。
在 SYN 洪水後,位列第二的是 DNS 洪水和放大攻擊,但其佔比大幅下降,僅佔所有網路層 DDoS 攻擊的 15% 左右。位列第三的是以 UDP 為基礎的 DDoS 攻擊和洪水,佔比為 9%。

新興 DDoS 威脅
第四季度,基於 Memcached 的 DDoS 攻擊增幅最大 — 季增率為 1,338%。Memcached 是一個資料庫快取系統,可用於加速網站和網路。支援 UDP 的 Memcached 伺服器可能會被濫用,以發起放大/反射 DDoS 攻擊。在這種情況下,攻擊者會從快取系統要求內容,並將受害者的 IP 位址偽裝為 UDP 封包中的來源 IP。Memcached 回應可放大最高 51,200 倍,因此會淹沒受害者。
位列第二的是以 SNMP 為基礎的 DDoS 攻擊,季增率為 709%。簡單網路管理通訊協定 (SNMP) 是一種基於 UDP 的通訊協定,通常用於在 UDP 知名連接埠 161 上探索和管理家庭或企業網路中的印表機、交換器、路由器和防火牆等網路裝置。在 SNMP 反射攻擊中,攻擊者會將封包中的來源 IP 位址偽裝為目標,將大量 SNMP 查詢傳送給網路上的裝置,這些裝置反過來會回覆該目標的位址。來自網路上裝置的大量回應會導致目標網路受到 DDoS 攻擊。
位列第三的是以 VxWorks 為基礎的 DDoS 攻擊,季增率為 566%。VxWorks 是一種即時作業系統 (RTOS),通常用於物聯網 (IoT) 裝置等內嵌系統。它還用在網路和安全裝置中,例如,交換器、路由器和防火牆。依預設,它啟用了偵錯服務,不僅可讓任何人對那些系統執行幾乎任何作業,也可用於 DDoS 放大攻擊。這一惡意探索 (CVE-2010-2965) 早在 2010 年就已公開,正如我們所看到的,現在仍廣泛地用於產生 DDoS 攻擊。

網路層 DDoS 攻擊的目標產業
第四季度,教育管理產業在網路層 DDoS 攻擊流量中所佔百分比最高 — 在路由至該產業的所有流量中,92% 是網路層 DDoS 攻擊流量。
資訊技術和服務業以及公關和通訊業不甘落後,分別位列第二和第三,這些產業的大量流量 (~73%) 都來自網路層 DDoS 攻擊。金融、遊戲/博彩以及醫療實踐產業憑藉較大的領先優勢緊隨其後,其中大約三分之一的流量為攻擊流量。

網路層 DDoS 攻擊的目標國家/地區
依我們客戶的帳單國家/地區將攻擊分組後,即可瞭解哪些國家/地區受到的攻擊更多。第四季度,在受 Cloudflare 保護的中國網際網路資產的流量中,網路層 DDoS 攻擊流量佔比高達 93%。
在受 Cloudflare 保護的立陶宛網際網路資產的流量中,有 87% 屬於網路層 DDoS 攻擊流量,位列第二。接下來,攻擊流量所佔百分比最高的依次為芬蘭、新加坡和台灣。

網路層 DDoS 攻擊的來源
在應用程式層,我們使用發起攻擊的 IP 位址來瞭解攻擊的來源國家/地區。這是因為在該層,無法偽裝(即變更)IP 位址。然而,在網路層,可以偽裝來源 IP 位址。因此,我們不依賴 IP 位址來瞭解來源,而是使用擷取攻擊封包的資料中心的位置。由於我們的網路涵蓋了全世界超過 275 個位置,因此能夠獲得準確的地理位置。
第四季度,我們在位於波扎那的資料中心擷取的流量中,超過 52% 是攻擊流量。亞塞拜然也不甘落後,超過 43% 的流量是攻擊流量,然後依次為巴拉圭、巴勒斯坦、寮國和尼泊爾。

請注意:有時網際網路服務提供者可能會以不同的方式路由流量,這會讓結果產生偏差。例如,出於各種各樣的作業考量,來自中國的流量可能會經過加州。
瞭解 DDoS 威脅情勢
本季度,持續時間更長且規模更大的攻擊變得更加頻繁。攻擊持續時間全面增加,巨流量攻擊急劇上升,DDoS 勒索攻擊繼續攀升。在 2022 年聖誕節假期中,應用程式層 DDoS 攻擊的主要目標產業為航空/太空和活動服務。網路層 DDoS 攻擊目標則為遊戲/博彩、金融和教育管理公司。我們還看到主要新興威脅發生變化,以 Memcashed 基礎的 DDoS 攻擊熱度繼續攀升。
抵禦 DDoS 攻擊對各種規模的組織而言都至關重要。雖然攻擊可能由人類發起,但其執行者為機器人 — 而且為了打場勝戰,您必須利用機器人對抗機器人。請務必盡可能自動化執行偵測與緩解作業,因為只依賴人類的話,防禦者會因此屈居下風。Cloudflare 的自動化系統不斷為我們客戶偵測並緩解 DDoS 攻擊,因此他們就不必費事了。
多年來,攻擊者和雇佣攻擊者在發動 DDoS 攻擊上更加輕鬆、成本低廉且方便存取。但是,既然攻擊者變得越來越輕鬆,我們也想確保任何規模之組織的防禦者也能夠更輕鬆(並免費)地保護自身免於任何規模的 DDoS 攻擊。自 2017 年以來,我們一直免費向所有客戶提供非計量且無限制的 DDoS 保護 — 當時我們是開創此概念的先鋒。Cloudflare 的使命就是協助建置更好的網際網路,而更好的網際網路就是對每個人來說更安全、更快速且更可靠的環境 - 即使面臨 DDoS 攻擊也一樣。
報名參加 DDoS 趨勢網路研討會,以深入瞭解新興威脅以及如何防禦。