歡迎閱讀第十六版《Cloudflare DDoS 威脅報告》。本版涵蓋 2023 年第四季即最後一個季度的 DDoS 趨勢和主要調查結果,並對全年主要趨勢進行了回顧。
什麼是 DDoS 攻擊?
DDoS 攻擊全稱為分散式阻斷服務攻擊,是一種網路攻擊,旨在利用超過網站處理能力的大量流量使網站不堪重負,中斷使用者的網站和線上服務,使其無法存取。它們類似於堵塞道路的汽車堵塞,導致駕駛員無法到達目的地。
我們將在本報告中介紹三種主要類型的 DDoS 攻擊。第一種是 HTTP 請求密集型 DDoS 攻擊,旨在以超出 HTTP 伺服器處理能力的請求壓垮 HTTP 伺服器,導致拒絕服務事件。第二種是 IP 封包密集型 DDoS 攻擊,旨在使用超出其處理能力的封包壓垮路由器、防火牆和伺服器等內嵌設備。第三種是位元密集型攻擊,旨在飽和並阻塞網際網路連結,從而導致我們討論的「堵塞」。在本報告中,我們將重點介紹有關這三種類型攻擊的各種技術和見解。
您可以在此處找到該報告的先前版本,也可以在我們的互動中心 Cloudflare Radar 上找到這些版本。Cloudflare Radar 展示了全球網際網路流量、攻擊以及技術趨勢和見解,具有深入分析和篩選功能,可放大有關特定國家、產業和服務提供者的見解。Cloudflare Radar 還提供免費 API,讓學者、資料偵探和其他 Web 愛好者調查全球網際網路使用情況。
要瞭解我們準備此報告的過程,請參閱我們的方法。
主要調查結果
第四季度,我們觀察到網路層 DDoS 攻擊同比增長 117%,黑色星期五和節慶期間及前後針對零售、貨運和公共關係網站的 DDoS 活動總體有所增加。
第四季度,由於大選即將到來以及與大陸的緊張關係,針對台灣地區的 DDoS 攻擊流量較去年成長了 3,370%。隨著以色列和哈馬斯之間的軍事衝突持續,針對以色列網站的 DDoS 攻擊流量百分比環比增長 27%,針對巴勒斯坦網站的 DDoS 攻擊流量百分比環比增長 1,126%。
第四季度,針對環境服務網站的 DDoS 攻擊流量與前一年相比激增了 61,839%,恰逢第 28 屆聯合國氣候變遷大會 (COP 28) 召開。
如需對這些主要調查結果的深入分析,以及可能重新定義您對當前網路安全挑戰的瞭解的其他見解,請繼續閱讀!
DDoS 攻擊的圖例
超流量 HTTP DDoS 攻擊
2023 年是未知領域的一年。DDoS 攻擊在規模和複雜性方面達到了新的高度。包括 Cloudflare 在內的更廣泛的網際網路社群面臨著一場持續且蓄意設計的活動,其中包括數千次超流量 DDoS 攻擊,其速度之快前所未有。
這些攻擊非常複雜,並且利用了一個 HTTP/2 漏洞。Cloudflare 開發了專門建構的技術來減輕該漏洞的影響,並與業內其他公司合作,以負責任的方式揭露該漏洞。
作為這起 DDoS 攻擊活動的一部分,我們的系統在第三季度緩解了我們所見過的最大規模的攻擊——每秒 2.01 億個請求 (rps)。與我們之前在 2022 年記錄的 2,600 萬 rps 的攻擊相比,這次的規模幾乎高達其 8 倍。
Cloudflare 發現的最大規模 HTTP DDoS 攻擊(按年份)
網路層 DDoS 攻擊的成長
在這場超流量活動平息後,我們發現 HTTP DDoS 攻擊意外下降。總體而言,2023 年,我們的自動化防禦緩解了超過 520 萬次 HTTP DDoS 攻擊,其中包含超過 26 萬億個請求。平均每小時發生 594 起 HTTP DDoS 攻擊並緩解 30 億個請求。
儘管這些數據看起來十分龐大,但與 2022 年相比,HTTP DDoS 攻擊請求量實際上下降了 20%。這種下降不僅是年度下降,而且在 2023 年第四季也出現了這種下降,其中 HTTP DDoS 攻擊請求數量同比下降了 7%,環比下降了 18%。
在網路層上,我們看到了完全不同的趨勢。2023 年,我們的自動化防禦緩解了 870 萬次網路層 DDoS 攻擊。這意味著比 2022 年增長了 85%。
2023 年第四季度,Cloudflare 的自動防禦緩解了超過 80 PB 的網路層攻擊。平均而言,我們的系統每小時自動緩解 996 次網路層 DDoS 攻擊和 27 TB 攻擊。2023 年第四季網路層 DDoS 攻擊數量同比增長 175%,環比增長 25%。
按季度劃分的 HTTP 和網路層 DDoS 攻擊
DDoS 攻擊在 COP 28 期間及前後有所增加
2023 年最後一個季度,網路威脅格局發生了重大轉變。雖然加密貨幣產業一開始在 HTTP DDoS 攻擊請求量方面處於領先地位,但一個新的目標成為主要受害者。環境服務產業經歷了前所未有的 HTTP DDoS 攻擊激增,這些攻擊佔其所有 HTTP 流量的一半。與前一年相比,這一數字驚人地增長了 618 倍,突顯了網路威脅情勢中令人不安的趨勢。
網路攻擊的激增恰逢 2023 年 11 月 30 日至 12 月 12 日舉行的第 28 屆聯合國氣候變遷大會 (COP 28)。這次會議是一次關鍵事件,標誌著許多人認為化石燃料時代「終結的開始」。據觀察,在 COP 28 之前的一段時間內,針對環境服務網站的 HTTP 攻擊明顯激增。這種模式不僅與該事件有關。
回顧歷史資料,尤其是 COP 26 和 COP 27 期間,以及在發佈其他與聯合國環境相關的決議或公告時,都出現了類似的模式。每一次事件都伴隨著針對環境服務網站的網路攻擊的相應增加。
2023 年 2 月和 3 月,聯合國關於氣候正義的決議和聯合國環境規劃署淡水挑戰的啟動等重大環境事件可能提高了環境網站的知名度,這可能與對這些網站的攻擊增加有關。
這種反覆出現的模式凸顯了環境問題與網路安全之間日益增加的交集,而這種聯繫正日益成為數位時代攻擊者的焦點。
DDoS 攻擊與「鐵劍」行動
引發 DDoS 攻擊的不僅是聯合國決議。網路攻擊,尤其是 DDoS 攻擊,長期以來一直是戰爭和破壞的工具。我們之前在烏克蘭與俄羅斯的戰爭中目睹了 DDoS 攻擊活動的增加,現在我們在以色列域哈馬斯的戰爭中也目睹了這種情況。我們首先在《以色列與哈馬斯戰爭中的網路攻擊》報告中介紹了相關網路活動,並在整個第四季度繼續監控該活動。
「鐵劍」行動是繼 10 月 7 日哈馬斯領導的攻擊之後,以色列針對哈馬斯發起的軍事攻勢。在這場持續的武裝衝突中,我們不斷看到針對雙方的 DDoS 攻擊。
針對以色列和巴勒斯坦網站的 DDoS 攻擊(按產業)
相對於每個地區的流量,巴勒斯坦領土是第四季度遭受 HTTP DDoS 攻擊第二多的地區。在前往巴勒斯坦網站的所有 HTTP 請求中,超過 10% 是 DDoS 攻擊,總共 13 億個 DDoS 請求,環比增長了 1,126%。90% 的 DDoS 攻擊都針對巴勒斯坦銀行網站。另外 8% 針對資訊科技和網際網路平台。
遭受攻擊最多的巴勒斯坦產業
同樣,我們的系統自動緩解了針對以色列網站的超過 22 億個 HTTP DDoS 請求。雖然 22 億這一數據較上一季和去年有所下降,但在前往以色列的總流量中所佔比例確實較高。這一標準化的數字意味著環比增長 27%,但同比下降 92%。儘管攻擊流量較大,但相對於其自身流量而言,以色列在受攻擊最多的地區中排名第 77 位。以攻擊總數計算,該國在受攻擊最多的地區中排名第 33 位,而巴勒斯坦領土排名第 42 位。
在這些受到攻擊的以色列網站中,報紙和媒體是主要目標,承受了以色列境內所有 HTTP DDoS 攻擊的近 40%。在最常受到攻擊的產業中,位列第二的是電腦軟體業。銀行、金融服務和保險業 (BFSI) 排名第三。
遭受攻擊最多的以色列產業
在網路層上,我們看到相同的趨勢。巴勒斯坦網路成為 470 TB 攻擊流量的目標,佔巴勒斯坦網路所有流量的 68% 以上。相對於所有巴勒斯坦領土的流量,這一數字僅次於中國,使巴勒斯坦領土成為世界上受網路層 DDoS 攻擊第二嚴重的地區。按絕對流量計算,它排名第三。這 470 TB 約佔 Cloudflare 緩解的所有 DDoS 流量的 1%。
然而,以色列的網路僅遭受 2.4 TB 的攻擊流量,使其在受網路層 DDoS 攻擊最多的國家/地區中排名第八(經標準化後)。這 2.4 TB 佔了通往以色列網路的所有流量的近 10%。
遭受攻擊最多的國家/地區
換個角度來看,在我們位於以色列的資料中心,接收的所有流量中有 3% 為網路層 DDoS 攻擊。在我們位於巴勒斯坦的資料中心,這個數字明顯更高,大約佔總流量的 17%。
在應用程式層,我們看到來自巴勒斯坦 IP 位址的 HTTP 請求中有 4% 是 DDoS 攻擊,來自以色列 IP 位址的 HTTP 請求中也有近 2% 是 DDoS 攻擊。
DDoS 攻擊的主要來源
2022 年第三季度,中國是最大的 HTTP DDoS 攻擊流量來源。然而,自 2022 年第四季以來,美國成為 HTTP DDoS 攻擊的最大來源,並連續五個季度保持在這個不受歡迎的位置。同樣,我們位於美國的資料中心吸收的網路層 DDoS 攻擊流量最多,佔所有攻擊位元組的 38% 以上。
來自中國和美國的 HTTP DDoS 攻擊(按季度)
中國和美國合計佔全球 HTTP DDoS 攻擊流量的四分之一多一點。巴西、德國、印尼和阿根廷佔據了接下來的 25%。
HTTP DDoS 攻擊的主要來源
這些龐大的數字通常對應著龐大的市場。因此,我們通常會將源自於每個國家/地區的攻擊流量與其總發出流量進行比較來實現標準化。在這樣做的時候,我們常常發現一些小島國或市場較小的國家產生不成比例的攻擊流量。在第四季度,「偏遠的熱帶火山島」——聖赫勒拿的出口流量中有 40% 為 HTTP DDoS 攻擊流量,使其居於首位。利比亞排名第二, 史瓦濟蘭(又稱埃斯瓦蒂尼)排名第三。阿根廷和埃及分別排名第四和第五。
HTTP DDoS 攻擊主要來源(根據佔每個國家/地區流量的比例)
在網路層,津巴布韋排名第一。我們在津巴布韋的資料中心接收到的流量中,近 80% 是惡意的。巴拉圭居第二位,馬達加斯加居第三位。
網路層 DDoS 攻擊的主要來源(根據佔每個國家/地區流量的比例)
遭受攻擊最多的產業
以攻擊流量的數量計算,加密貨幣產業在第四季度遭受了最多的攻擊。超過 3300 億個 HTTP 請求以該產業為目標。這個數字佔該季度所有 HTTP DDoS 流量的 4% 以上。受攻擊第二多的產業是遊戲和博彩業。這些產業眾所周知是令人垂涎的目標,吸引了大量流量和攻擊。
HTTP DDoS 攻擊的主要目標產業
在網路層,資訊科技和網際網路產業受到最多攻擊——超過 45% 的網路層 DDoS 攻擊流量以該產業為目標。其後為銀行、金融服務和保險業 (BFSI)、遊戲與博彩業、電信業,其流量遠遠落後於資訊科技和網際網路產業。
網路層 DDoS 攻擊的主要目標產業
為了改變分析的角度,我們在這裡也透過計算針對特定產業的攻擊流量佔總流量的比例來進行標準化。這樣做之後,我們看到了不同的畫面。
受 HTTP DDoS 攻擊最多的產業(按地區)
在本報告的開始部分,我們已經提到,相對自身流量而言,環境服務產業是遭受最多攻擊的產業。第二位是包裝和貨運行業,鑑於該產業與黑色星期五和冬季節日購物在時間上的相關性,該產業值得關注。人們購買的禮品和商品需要以某種方式送達目的地,似乎攻擊者試圖破壞這個過程。與此相似,零售公司遭遇的 DDoS 攻擊比去年同期增加了 23%。
遭受 HTTP DDoS 攻擊最多的產業(根據佔每個產業流量的比例)
在網路層,公共關係和通訊是遭受最多攻擊的產業,其流量中有 36% 是惡意的。鑑於其時機,這也非常值得注意。公共關係和通訊公司通常與管理公眾感受和溝通有關。幹擾這些公司的營運可能會產生直接且廣泛的聲譽影響,在第四季度的節日季中,情況變得更加嚴重。由於節日、年末總結和新年準備工作,這個季度期間公共關係和通訊活動通常會增加,使其成為關鍵的營運時期,因此有些人可能想要進行破壞。
遭受網路層 DDoS 攻擊最多的產業(根據佔每個產業流量的比例)
遭受攻擊最多的國家和地區
新加坡在第四季度成為 HTTP DDoS 攻擊的主要目標。超過 3170 億個 HTTP 請求以新加坡網站為目標,占全球 DDoS 流量的 4%。美國緊隨其後,居第二位,加拿大排名第三。中國台灣居第四位——適逢即將舉行的選舉活動以及與大陸關係緊張的形勢。第四季度期間,針對台灣地區的攻擊同比增長了 847%,環比增長了 2858%。這種增長不僅僅限於絕對值。標準化後,針對台灣地區的 HTTP DDoS 攻擊流量占前往台灣地區所有流量的百分比也顯著增加:環比增長 624%,同比增長 3370%。
受 HTTP DDoS 攻擊最多的國家/地區
儘管中國在遭受 HTTP DDoS 攻擊最多的國家中排名第九,但其是受到最多網路層攻擊的國家。Cloudflare 在全球範圍內緩解的所有網路層 DDoS 流量中,有 45%是針對中國的。其他國家遠遠落後於中國,幾乎可以忽略不計。
遭受網路層 DDoS 攻擊最多的國家/地區
在資料標準化處理後,根據相對各自總接收流量的比例,伊拉克、巴勒斯坦領土和摩洛哥成為受到最多攻擊的三個地區。值得注意的是,新加坡排名第四。對新加坡而言,不僅遭到最大的 HTTP DDoS 攻擊流量,而且攻擊流量在新加坡接收的總流量中也佔了較大比例。相較之下,根據收到的總攻擊流量,美國排名第二(如上面的應用程式層攻擊圖表所見),但根據攻擊流量在美國總流量中所佔的比例,美國排名第 15。
遭受 HTTP DDoS 攻擊最多的國家/地區(根據佔每個國家/地區流量的比例)
與新加坡類似,但可以說更引人注目的是,無論是根據網路層 DDoS 攻擊流量,還是根據攻擊流量在總流量中的比例,中國都是受網路層攻擊最多的國家。在前往中國的所有流量中,接近 86% 被 Cloudflare 作為網路層 DDoS 攻擊緩解。巴勒斯坦領土、巴西、挪威和(再次出現的)新加坡緊隨其後,攻擊流量均佔較大比例。
遭受網路層 DDoS 攻擊最多的國家/地區(根據佔每個國家/地區流量的比例)
攻擊手段及屬性
相對於 Cloudflare 的規模,大多數 DDoS 攻擊都是短暫且較小的。然而,如果缺乏適當的內嵌自動化保護,未受保護的網站和網路仍然可能受到短小攻擊的干擾,這強調了組織需要積極主動地採用強大的安全態勢。
2023 年第四季度,91% 的攻擊在 10 分鐘內結束,97% 的攻擊峰值低於每秒 500 兆位元 (mbps),88% 的攻擊從未超過每秒 5 萬個封包 (pps)。
每 100 起網路層 DDoS 攻擊就有 2 起持續時間超過一小時,且超過每秒 1 GB 位元 (gbps)。每 100 次攻擊就有 1 次超過每秒 100 萬個封包。此外,超過每秒 1 億個封包的網路層 DDoS 攻擊量環比增長 15%。
需要瞭解的 DDoS 攻擊統計資料
其中一次大規模攻擊是 Mirai 殭屍網路攻擊,峰值達到 1.6 億個封包/秒。其每秒封包速率並不是我們所見過的最高。我們看到過的最大數字是 7.54 億個封包/秒。該攻擊發生於 2020 年,到目前為止我們還沒有看到更大的攻擊。
然而,最近這次攻擊在每秒位元方面是獨特的。這是我們在第四季度看到的最大網路層 DDoS 攻擊,峰值達到 1.9 TB/秒 (Tbps),來自一個 Mirai 殭屍網路。它是多手段攻擊,意味著它結合了多種攻擊方法。其中一些方法包括 UDP 片段洪水攻擊、UDP/Echo 洪水攻擊、SYN 洪水攻擊、ACK 洪水攻擊和TCP 畸形標誌攻擊。
這次攻擊針對一家知名的歐洲雲端服務提供者,源自於超過 1.8 萬個被認為偽造的獨特 IP 位址。Cloudflare 的防禦系統自動偵測並緩解了這次攻擊。
這表明,即使是最大規模的攻擊也會很快結束。我們之前見過的大規模攻擊在幾秒鐘內就結束了,這凸顯了內嵌自動防禦系統的必要性。儘管仍然罕見,但 TB 級的攻擊正越來越突出。
每秒 1.9 TB 的 Mirai DDoS 攻擊
Mirai 變體殭屍網路的使用仍然非常普遍。在第四季度,接近 3% 的攻擊源自 Mirai。然而,在所有攻擊方法中,基於 DNS 的攻擊仍然是攻擊者的首選。在第四季度,DNS 洪水攻擊和 DNS 放大攻擊佔所有攻擊的 53%。SYN 洪水攻擊居第二位,UDP 洪水攻擊居第三位。我們將在這裡介紹這兩種 DNS 攻擊,您可以造訪超連結並在我們的學習中心中瞭解更多關於 UDP 和 SYN 洪水攻擊的資訊。
DNS 洪水和放大攻擊
DNS 洪水攻擊和 DNS 放大攻擊都利用網域名稱系統 (DNS),但操作方式不同。DNS 就像網際網路上的電話簿,將「www.cloudfare.com」等人類友善的網域轉換為電腦用來在網路上互相識別的數字 IP 位址。
簡單來說,基於 DNS 的 DDoS 攻擊是指利用電腦和伺服器之間用於相互識別的方法來造成故障或中斷,並非實際導致伺服器「關閉」。例如,伺服器可能已經啟動且正在執行,但 DNS 伺服器已關閉。因此,用戶端將無法連線到伺服器,並體驗到中斷。
DNS 洪水攻擊透過大量 DNS 查詢來使 DNS 伺服器不堪重負。這通常是使用 DDoS 殭屍網路來完成的。大量的查詢可能會壓垮 DNS 伺服器,使其難以或無法回應合法查詢。對於那些嘗試存取依賴目標 DNS 伺服器的網站或服務的人來說,這可能會導致上述服務中斷、延遲甚至關閉。
另一方面,DNS 放大攻擊向 DNS 伺服器傳送一個帶有偽造 IP 位址(受害者的位址)的小查詢。這裡的技巧在於 DNS 回應比請求大得多。然後,伺服器將這個大的回應傳送到受害者的 IP 位址。透過利用開放的 DNS 解析程式,攻擊者可以放大傳送給受害者的流量,從而造成大得多的影響。這種類型的攻擊不僅會幹擾受害者,還可能導致整個網路擁塞。
在這兩種情況下,攻擊都利用了 DNS 在網路運作中的關鍵作用。緩解策略通常包括保護 DNS 伺服器免受濫用、實施速率限制以控制流量,以及篩選 DNS 流量以識別和封鎖惡意請求。
最常見的攻擊手段
在我們追蹤的新興威脅中,與上季度相比,我們記錄到 ACK-RST 洪水攻擊增加了 1,161%,CLDAP 洪水攻擊增加了 515%,SPSS 洪水攻擊增加了 243%。讓我們介紹一下其中一些攻擊以及它們如何造成干擾。
主要新興攻擊手段
ACK-RST 洪水攻擊
ACK-RST 洪水攻擊透過向受害者傳送大量 ACK 和 RST 封包來利用傳輸控制通訊協定 (TCP)。這會壓垮受害者處理和回應這些封包的能力,從而導致服務中斷。這種攻擊是有效的,因為每個 ACK 或 RST 封包都會提示受害者系統做出回應,從而消耗其資源。ACK-RST 洪水攻擊通常難以篩選掉,因為它們模仿合法流量,使得偵測和緩解都極具挑戰性。
CLDAP 洪水攻擊
CLDAP(無連線輕量級目錄存取通訊協定)是 LDAP(輕量級目錄存取通訊協定)的一種變體。它用於查詢和修改在 IP 網路上執行的目錄服務。CLDAP 是無連線的,使用 UDP 而不是 TCP,使其更快但可靠性較低。這種通訊協定使用 UDP,不需要交握,這讓攻擊者可以偽造 IP 位址,將其作為反射手段。這些攻擊傳送帶有偽造來源 IP 位址(受害者的 IP)的小查詢,導致伺服器向受害者傳送大量回應,使後者不堪重負。緩解措施包括篩選和監控異常的 CLDAP 流量。
SPSS 洪水攻擊
濫用 SPSS(來源連接埠服務掃描)通訊協定的洪水攻擊是一種網路攻擊方法,它涉及從眾多隨機或偽造的來源連接埠向目標系統或網路的各個目的地連接埠傳送封包。這種攻擊有雙重目的:第一,壓垮受害者的處理能力,導致服務中斷或網路故障;第二,它可用於掃描開放的連接埠並識別易受攻擊的服務。透過傳送大量封包來實現洪水攻擊,可使受害者的網路資源飽和,並耗盡其防火牆和入侵偵測系統的容量。要緩解這種攻擊,關鍵在於利用內嵌的自動偵測功能。
不論攻擊類型、規模或持續時間如何,Cloudflare 都能助您一臂之力
Cloudflare 的使命是協助建立更好的網際網路,我們相信更好的網際網路應該是安全、高效和對所有人都可用的。無論攻擊類型、規模、持續時間或背後的動機如何,Cloudflare 的防禦都堅如磐石。自從在 2017 年率先提供不計量的 DDoS 防護以來,我們做出承諾並始終堅守,免費向所有組織提供企業級的 DDoS 防護,而且當然不影響效能。這有賴於我們獨特的技術和強健的網路架構。
重要的是要記住,安全是一個過程,而不是單一的產品或開關。除了我們的自動化 DDoS 防護系統之外,我們還提供全面的搭售功能,例如防火牆、傀儡程式偵測、API 保護和快取, 以加強您的防禦能力。我們的多層方法可最佳化您的安全狀態,並最大程度地減少潛在影響。我們還編制了一份建議清單,以幫助您最佳化 DDoS 攻擊防禦措施。您可依照我們的逐步精靈來保護您的應用程式和防止 DDoS 攻擊。如果您想利用我們簡單易用的一流服務來防範 DDoS 攻擊和網際網路上的其他攻擊,歡迎在 cloudflare.com 免費註冊。如果您遭到了攻擊,請註冊或撥打這裡列出的網路緊急熱線號碼以獲得快速回應。