2024 年第二季 DDoS 威脅報告

歡迎閱讀第 18 版《Cloudflare DDoS 威脅報告》。這些報告每季發布一次，提供對 Cloudflare 網路中觀察到的 DDoS 威脅情勢的深入分析。本版重點關注 2024 年第二季。

Cloudflare 擁有覆蓋全球 230 多座城市的每秒 280 TB 的網路，為 19% 的網站提供服務，因此具有獨特的優勢，使我們能夠向更廣泛的網際網路社群提供有價值的見解和趨勢。

2024 年第二季主要見解

Cloudflare 記錄的 DDoS 攻擊年增率為 20%。
每 25 名調查受訪者中就有 1 人表示，針對他們的 DDoS 攻擊是由國家級或國家支援的威脅執行者發起的。
威脅執行者的能力空前高漲，我們的自動防禦產生了 10 倍以上的指紋來應對和緩解超複雜的 DDoS 攻擊。

在 Cloudflare Radar 上檢視本報告的互動版本

快速回顧：什麼是 DDoS 攻擊？

在深入探討之前，我們先回顧一下什麼是 DDoS 攻擊。DDoS 攻擊是分散式阻斷服務的縮寫，是一種網路攻擊，旨在關閉或中斷網際網路服務（例如網站或行動應用程式），讓使用者無法使用它們。這通常透過使用超過受害者伺服器處理能力的流量壓垮受害者伺服器來完成。這些流量通常來自網際網路上的多個來源，導致受害者的伺服器無法處理合法的使用者流量。

要瞭解有關 DDoS 攻擊和其他類型網路威脅的更多資訊，請造訪我們的學習中心、存取 Cloudflare 部落格上以前的 DDoS 威脅報告或造訪我們的互動中心 Cloudflare Radar。還提供一個免費的 API，可供有興趣研究這些報告和其他網際網路趨勢的人員使用。

要瞭解我們準備此報告的過程，請參閱我們的方法。

威脅執行者的複雜性助長了 DDoS 攻擊的持續增長

2024 年上半年，我們緩解了 850 萬次 DDoS 攻擊：第一季 450 萬次，第二季 400 萬次。整體而言，第二季 DDoS 攻擊數量較上季下降 11%，但年增 20%。

Distribution of DDoS attacks by types and vectors — DDoS 攻擊類型和手段分佈情況

需要指出的是，在 2023 年全年，我們緩解了 1,400 萬次 DDoS 攻擊，到 2024 年中，我們已經緩解了去年數字的 60%。

Cloudflare 成功緩解了 10.2 萬億個 HTTP DDoS 請求和 57 PB 的網路層 DDoS 攻擊流量，阻止其到達我們客戶的來源伺服器。

DDoS attacks stats for 2024 Q2 — 2024 年第二季 DDoS 攻擊統計資料

進一步進行細分，這 400 萬次 DDoS 攻擊包括 220 萬次網路層 DDoS 攻擊和 180 萬次 HTTP DDoS 攻擊。180 萬次 HTTP DDoS 攻擊的數量已標準化，以抵消複雜和隨機 HTTP DDoS 攻擊的爆炸性增長。我們的自動緩解系統會產生 DDoS 攻擊的即時指紋，並且由於這些複雜攻擊的隨機性，我們觀察到為單一攻擊產生了許多指紋。實際產生的指紋數量接近 1,900 萬，比標準化後的數字 180 萬多十倍以上。為處理隨機化而產生的數百萬個指紋源自於一些單一規則。這些規則起到了阻止攻擊的作用，但它們誇大了數字，因此我們將它們排除在計算之外。

HTTP DDoS attacks by quarter, with the excluded fingerprints — HTTP DDoS 攻擊情況（依季，含已排除的指紋）

這種十倍的差異凸顯了威脅情勢的巨大變化。過去，讓威脅執行者可以發動此類隨機、複雜攻擊的工具和能力，與國家級執行者和國家支援的執行者的能力息息相關。但是，隨著生成式 AI 和自動駕駛系統的興起，它們可以幫助威脅執行者更快速地編寫更優質的程式碼，因此，普通網路罪犯也掌握了這些能力。

DDoS 勒索攻擊

2024 年 5 月，報告受到 DDoS 攻擊者威脅或遭受勒索 DDoS 攻擊的受攻擊 Cloudflare 客戶的百分比達到 16%，這是過去 12 個月以來的最高水準。本季開局相對較低，只有 7% 的客戶報告受到威脅或勒索攻擊。5 月這一比例迅速躍升至 16%，6 月略有下降，為 14%。

Percentage of customers reporting DDoS threats or ransom extortion (by month) — 報告 DDoS 威脅或勒索攻擊的客戶百分比（依月份）

總體而言，過去一年勒索 DDoS 攻擊逐季增加。2024 年第二季，報告受到威脅或勒索的客戶比例為 12.3%，略高於上一季 (10.2%)，但與去年同期比例（同樣為 12.0%）相當。

Percentage of customers reporting DDoS threats or ransom extortion (by quarter) — 報告 DDoS 威脅或勒索攻擊的客戶百分比（依季）

威脅執行者

75% 的受訪者表示，他們不知道誰攻擊了他們，也不知道為什麼攻擊他們。這些受訪者是成為 HTTP DDoS 攻擊目標的 Cloudflare 客戶。

在聲稱知道的受訪者中，59% 的人表示是競爭對手攻擊了他們。另有 21% 的受訪者表示，DDoS 攻擊是由心懷不滿的客戶或使用者發起的，另有 17% 的受訪者表示，攻擊是由國家級或國家支援的威脅執行者發起的。剩下的 3% 報告稱這是一次自己造成的 DDoS 攻擊。

Percentage of threat actor type reported by Cloudflare customers, excluding unknown attackers and outliers — Cloudflare 客戶報告的威脅執行者類型的百分比，不包括未知攻擊者和異常值

遭受攻擊最多的國家和地區

2024 年第二季，中國是全球遭受攻擊最嚴重的國家。此排名考慮了 HTTP DDoS 攻擊、網路層 DDoS 攻擊、DDoS 攻擊流量總量以及佔總流量的百分比，並且此圖表顯示了每個國家或地區的整體 DDoS 攻擊活動。圖表中的長條越長意味著攻擊活動越多。

在中國之後，土耳其位居第二，其次是新加坡、中國香港、俄羅斯、巴西和泰國。下圖列出了受攻擊最嚴重的 15 個國家/地區中的其餘國家和地區。

15 most attacked countries and regions in 2024 Q2 — 2024 年第二季遭受攻擊最多的 15 個國家和地區

遭受攻擊最多的產業

資訊科技和服務位居 2024 年第二季遭受攻擊最多的目標產業榜首。我們在此處使用的排名方法遵循前面所述的相同原則，即將 HTTP 和網路層 DDoS 攻擊的總量和相對攻擊流量提取為一個 DDoS 攻擊活動排名。

電信、服務提供者和電信業者排名第二。消費品位居第三。

15 most attacked industries in 2024 Q2 — 2024 年第二季遭受攻擊最多的 15 個產業

當僅分析 HTTP DDoS 攻擊時，我們看到了不同的情況。就 HTTP DDoS 攻擊請求量而言，遊戲和博彩業遭受的攻擊最多。下面提供了每個區域的細分。

Top attacked industries by region (HTTP DDoS attacks) — 依地區劃分的遭受攻擊最多的產業（HTTP DDoS 攻擊）

DDoS 攻擊的最大來源

在 2024 年第二季，阿根廷是 DDoS 攻擊的最大來源。我們在此處使用的排名方法遵循前面所述的相同原則，即將 HTTP 和網路層 DDoS 攻擊的總量和相對攻擊流量提取為一個 DDoS 攻擊活動排名。

印度尼西亞緊隨其後，排名第二，荷蘭排名第三。

15 largest sources of DDoS attacks in 2024 Q2 — 2024 年第二季 15 大 DDoS 攻擊來源

DDoS 攻擊特徵

網路層 DDoS 攻擊手段

儘管季增率下降了 49%，但基於 DNS 的 DDoS 攻擊仍然是最常見的攻擊手段，DNS 洪水攻擊和 DNS 放大攻擊的總佔比為 37%。SYN 洪水攻擊位居第二，佔比為 23%，其次是 RST 洪水攻擊，佔比略高於 10%。SYN 洪水攻擊和 RST 洪水攻擊都是基於 TCP 的 DDoS 攻擊。總體而言，所有類型的基於 TCP 的 DDoS 攻擊佔所有網路層 DDoS 攻擊的 38%。

Top attack vectors (network-layer) — 主要攻擊手段（網路層）

HTTP DDoS 攻擊手段

營運大型網路的優勢之一是我們會看到大量的流量和攻擊。這有助於我們改進偵測和緩解系統以保護我們的客戶。在上一季，我們透過針對 Cloudflare 已知殭屍網路的專有啟發式方法緩解了一半的 HTTP DDoS 攻擊。這些啟發式方法指導我們的系統如何產生即時指紋以匹配攻擊。

另外 29% 是使用虛假使用者代理、冒充瀏覽器或來自無頭瀏覽器的 HTTP DDoS 攻擊。還有 13% 具有可疑的 HTTP 屬性，觸發了我們的自動化系統，7% 被標記為一般洪水攻擊。需要注意的一件事是，這些攻擊手段或攻擊群組不一定是排他性的。例如，已知的殭屍網路也會冒充瀏覽器並具有可疑的 HTTP 屬性，但這種細分是我們對 HTTP DDoS 攻擊進行分類的初步嘗試。

Top attack vectors (HTTP) — 主要攻擊手段 (HTTP)

DDoS 攻擊中使用的 HTTP 版本

在第二季，大約一半的 Web 流量使用 HTTP/2，29% 使用 HTTP/1.1，另外五分之一使用 HTTP/3，近 0.62% 使用 HTTP/1.0，0.01% 使用 HTTP/1.2。

Distribution of web traffic by HTTP version — 依 HTTP 版本的 Web 流量分佈情況

HTTP DDoS 攻擊在版本採用上遵循類似的模式，但更偏向 HTTP/2。76% 的 HTTP DDoS 攻擊流量使用 HTTP/2 版本，近 22% 使用 HTTP/1.1。HTTP/3 的使用量則小得多。只有 0.86% 的 HTTP DDoS 攻擊流量使用 HTTP/3，與此形成鮮明對比的是，有 20% 的 Web 流量使用 HTTP/3。

Distribution of HTTP DDoS attack traffic by HTTP version — 依 HTTP 版本的 HTTP DDoS 攻擊流量分佈情況

DDoS 攻擊持續時間

絕大多數 DDoS 攻擊都是短暫的。超過 57% 的 HTTP DDoS 攻擊和 88% 的網路層 DDoS 攻擊在 10 分鐘或更短時間內結束。這強調了對自動化內嵌偵測和緩解系統的需求。對於人類回應警示、分析流量和套用手動緩解措施來說，十分鐘的時間根本不夠。

在圖表的另一側，我們可以看到大約四分之一的 HTTP DDoS 攻擊持續超過一個小時，幾乎五分之一持續超過一天。在網路層，時間較長的攻擊明顯較不常見。只有 1% 的網路層 DDoS 攻擊持續時間超過 3 小時。

HTTP DDoS attacks: distribution by duration — HTTP DDoS 攻擊：持續時間分佈情況

Network-layer DDoS attacks: distribution by duration — 網路層 DDoS 攻擊：持續時間分佈

DDoS 攻擊規模

大多數 DDoS 攻擊規模相對較小。超過 95% 的網路層 DDoS 攻擊保持在每秒 500 MB 以下，86% 的攻擊保持在每秒 50,000 個封包以下。

Distribution of network-layer DDoS attacks by bit rate — 網路層 DDoS 攻擊位元速率分佈情況

Distribution of network-layer DDoS attacks by packet rate — 網路層 DDoS 攻擊封包速率分佈情況

同樣，81% 的 HTTP DDoS 攻擊保持在每秒 50,000 個請求以下。儘管與 Cloudflare 的規模相比，這些速率很小，但對於不習慣這種流量水平且未受保護的網站來說，它們仍然可能是毀滅性的。

Distribution of HTTP DDoS attacks by request rate — HTTP DDoS 攻擊請求速率分佈情況

儘管大多數攻擊規模都較小，但巨流量攻擊的數量有所增加。每 100 次網路層 DDoS 攻擊中，就有 1 次超過每秒 100 萬個封包 (pps)，以及每 100 次網路層 DDoS 攻擊中，就有 2 次超過每秒 500 GB。在應用程式層，每 1,000 次 HTTP DDoS 攻擊中，就有 4 次超過每秒 100 萬次請求。

重點

大多數 DDoS 攻擊規模較小且持續時間很短。然而，即使這些攻擊也可能會破壞不遵循 DDoS 防禦最佳做法的線上服務。

此外，威脅執行者的複雜性也在不斷增加，這可能是由於生成式 AI 和開發人員輔助工具的出現，讓攻擊者能夠編寫出更強大的攻擊程式碼，發動更難以防禦的 DDoS 攻擊。甚至在攻擊複雜性提高之前，許多組織就已經難以自行防禦這些威脅。但他們也不需要這樣做。Cloudflare 隨時為您提供協助。我們投入了大量資源（因此您無需再投入資源），來確保我們的自動化防禦以及整個 Cloudflare 安全性產品組合足以防禦現有和新興威脅。

Cloudflare 部落格