歡迎閱讀第 20 期《Cloudflare DDoS 威脅報告》,自我們於 2020 年發佈第一份報告以來,已經過去五年了。
本報告每季發佈一次,基於 Cloudflare 網路的資料,對分散式阻斷服務 (DDoS) 攻擊不斷演變的威脅情勢進行全面分析。在本期中,我們將聚焦於 2024 年第四季,並回顧全年。
在我們發佈第一份報告時,Cloudflare 的全球網路處理能力為 35 TB/秒 (Tbps)。時至今日,我們網路的容量成長了 817%,達到 321 Tbps。我們的全球覆蓋範圍也大幅擴展,從 2020 年初的 200 座城市增加到 2024 年底的 330 座城市,成長了 65%。
利用這個龐大的網絡,我們現在為近 20% 的網站和近 18,000 個不重複 Cloudflare 客戶 IP 網路提供服務和保護。這種廣泛的基礎架構和客戶群使我們能夠提供有利於更廣泛的網際網路社群的關鍵見解和趨勢。
2024 年,Cloudflare 的自主 DDoS 防禦系統封鎖了約 2130 萬次 DDoS 攻擊,比 2023 年增長了 53%。2024 年,Cloudflare 平均每小時封鎖 4,870 次 DDoS 攻擊。
在第四季,有超過 420 起攻擊屬於超容量攻擊,速率超過每秒 10 億封包 (pps) 和 1 Tbps。此外,超過 1 Tbps 的攻擊數量較前一季增長了 1,885%,漲幅驚人。
在 2024 年萬聖夜期間,Cloudflare 的 DDoS 防禦系統成功自主偵測並封鎖了一起每秒 5.6 TB (Tbps) 的 DDoS 攻擊,這是有史以來規模最大的攻擊。
若要進一步瞭解 DDoS 攻擊和其他類型的網路威脅,請造訪學習中心、存取 Cloudflare 部落格上先前的 DDoS 威脅報告,或造訪我們的互動中心 Cloudflare Radar。還提供一個免費的 API,可供有興趣研究這些報告和其他網際網路趨勢的人員使用。您還可以進一步瞭解準備這些報告所使用的方法。
僅在 2024 年第四季,Cloudflare 就緩解了 690 萬起 DDoS 攻擊。這代表季增率 (QoQ) 為 16%,年增率 (YoY) 為 83%。
在 2024 年第四季的 DDoS 攻擊中,49%(340 萬起)為第 3 層/第 4 層 DDoS 攻擊,51%(350 萬起)為 HTTP DDoS 攻擊。
690 萬起 DDoS 攻擊的分佈情況:2024 年第四季
大多數 HTTP DDoS 攻擊 (73%) 都是由已知的殭屍網路發起的。我們運作著龐大的網路且能夠看到多種類型的攻擊和殭屍網路,因而能夠快速偵測和封鎖這些攻擊。反過來,這使我們的安全工程師和研究人員能夠設計啟發式方法,來提高對這些攻擊的緩解效果。
另外 11% 是偽裝成合法瀏覽器的 HTTP DDoS 攻擊。還有 10% 是包含可疑或異常 HTTP 屬性的攻擊。其餘 8% 屬於「其他」類別,包含一般 HTTP 洪水攻擊、巨流量快取破壞攻擊以及針對登入端點的巨流量攻擊。
主要 HTTP DDoS 攻擊手段:2024 年第四季
這些攻擊手段或攻擊群組不一定是排他的。例如,已知殭屍網路也會冒充瀏覽器並具有可疑的 HTTP 屬性,但此細分是我們嘗試以有意義的方式對 HTTP DDoS 攻擊進行分類的嘗試。
根據 Google 的發行說明,截至本報告發佈時,Windows、Mac、iOS 和 Android 版 Chrome 的當前穩定版本為 132。然而,威脅行為者似乎仍然落後,因為在 DDoS 攻擊中最常出現的前 13 個使用者代理程式是從 118 到 129 的 Chrome 版本。
HITV_ST_PLATFORM 使用者代理的 DDoS 要求在總要求中佔比最高 (99.9%),這使其成為幾乎專門用於 DDoS 攻擊的使用者代理程式。換句話說,如果您看到來自 HITV_ST_PLATFORM 使用者代理程式的流量,那麼它是合法流量的可能性為 0.1%。
威脅行為者通常避免使用不常見的使用者代理程式,而傾向於使用 Chrome 等更常見的使用者代理程式來融入常規流量。與智慧電視和機上盒相關的 HITV_ST_PLATFORM 使用者代理程式的存在表明,某些網路攻擊涉及的裝置是遭到入侵的智慧電視或機上盒。這一觀察結果強調了保護所有網際網路連線裝置(包括智慧電視和機上盒)以防止其遭受網路攻擊的重要性。
DDoS 攻擊中被濫用最多的使用者代理程式:2024 年第四季
使用者代理程式 hackney 位居第二,包含此使用者代理程式的要求中,有 93% 是 DDoS 攻擊的一部分。如果您遇到來自 hackney 使用者代理程式的流量,則有 7% 的機會是合法流量。Hackney 是 Erlang 的 HTTP 用戶端程式庫,用於發出 HTTP 要求,在 Erlang/Elixir 生態系統中很流行。
DDoS 攻擊中使用的另一個使用者代理程式是 uTorrent,它與用於下載檔案的流行 BitTorrent 用戶端相關聯。Go-http-client 和 fasthttp 也常被用於 DDoS 攻擊。前者是 Go 標準庫中的預設 HTTP 用戶端,後者是高效能替代方案。fasthttp 用於構建快速的 Web 應用程式,但也經常被用於 DDoS 攻擊和 Web 剽竊。
HTTP 方法(也稱為 HTTP 動詞)定義要對伺服器上的資源執行的動作。它們是 HTTP 通訊協定的一部分,允許用戶端(例如瀏覽器)和伺服器之間進行通訊。
GET 方法是最常用的。幾乎 70% 的合法 HTTP 要求都使用 GET 方法。位居第二的是 POST 方法,佔比為 27%。
DDoS 攻擊的情況與此不同。使用 HEAD 方法的 HTTP 要求中幾乎有 14% 是 DDoS 攻擊的一部分,儘管這種方法幾乎不存在於合法的 HTTP 要求中(佔所有要求的 0.75%)。DELETE 方法位居第二,約 7% 的要求用於 DDoS 目的。
DDoS 攻擊中常見的方法與其在合法流量中佔比之間的不平衡顯然十分突出。安全性管理員可以利用這些資訊,基於這些標頭最佳化其安全狀態。
DDoS 攻擊和合法流量中的 HTTP 方法分佈情況:2024 年第四季
HTTP 路徑描述特定的伺服器資源。當其與 HTTP 方法結合在一起時,將指示伺服器對資源執行動作。
例如,GET https://developers.cloudflare.com/ddos-protection/ 將指示伺服器擷取資源 /ddos-protection/ 的內容。
DDoS 攻擊通常以網站的根(「/」)為目標,但在一些情況下,它們可能以特定路徑為目標。在 2024 年第四季,前往 /wp-admin/ 路徑的 HTTP 要求中有 98% 屬於 DDoS 攻擊。/wp-admin/ 路徑是 WordPress 網站的預設管理員儀表板。
顯然,許多路徑對於特定網站來說都是獨一無二的,但在下圖中,我們提供了受攻擊最多的通用路徑。如果適用,安全性管理員可以使用這些資料來加強對這些端點的保護。
HTTP DDoS 攻擊針對的主要 HTTP 路徑:2024 年第四季
在第四季,幾乎 94% 的合法流量是 HTTPS 流量。只有 6% 是純文字 HTTP(未加密)流量。從 DDoS 攻擊流量來看,大約 92% 的 HTTP DDoS 攻擊要求是透過 HTTPS 發出的,將近 8% 是透過純文字 HTTP 發出的。
合法流量和 DDoS 攻擊中的 HTTP 與 HTTPS:2024 年第四季
前三種最常見的第 3 層/第 4 層(網路層)攻擊手段為 SYN 洪水攻擊 (38%)、DNS 洪水攻擊 (16%) 和UDP 洪水攻擊 (14%)。
主要第 3/4 層 DDoS 攻擊手段:2024 年第四季
另一種常見的攻擊手段(或者更確切地說,是殭屍網路類型)是 Mirai。Mirai 攻擊佔所有網路層 DDoS 攻擊的 6%,較上一季增加 131%。2024 年第四季,Mirai 變體殭屍網路造成了有史以來最大的 DDoS 攻擊,我們將在下一節中進一步討論。
在繼續下一節之前,有必要討論一下這一季觀察到的其他攻擊手段的成長情況。
主要新興威脅:2024 年第四季
Memcached DDoS 攻擊增幅最大,季增率為 314%。Memcached 是一個用於加速網站和網路的資料庫快取系統。支援 UDP 的 Memcached 伺服器可能被濫用來發動放大或反射 DDoS 攻擊。在這種情況下,攻擊者會從快取系統要求內容,並將受害者的 IP 位址偽裝為 UDP 封包中的來源 IP。Memcache 回應的大小可能比初始要求大 51,200 倍,導致受害者被大量 Memcache 回應淹沒。
BitTorrent DDoS 攻擊本季也激增了 304%。BitTorrent 通訊協定是用於點對點檔案共用的通訊協定。為了協助 BitTorrent 客戶高效尋找並下載檔案,BitTorrent 用戶端可以利用 BitTorrent 追蹤器或分散式雜湊表 (DHT) 來識別正在播種所需檔案的對等點。此概念可被濫用來發動 DDoS 攻擊。惡意行為者可以將受害者的 IP 位址偽裝成追蹤器和 DHT 系統內的種子 IP 位址。然後用戶端就會從這些 IP 位址要求檔案。如果有足夠數量的用戶端要求該檔案,則可以向受害者傳送超過其處理能力的流量。
10 月 29 日,Mirai 變體殭屍網路發起了一次 5.6 Tbps 的 UDP DDoS 攻擊,針對東亞的一家網際網路服務提供者 (ISP),這家提供者也是 Cloudflare Magic Transit 客戶。這次攻擊僅持續了 80 秒,來自超過 13,000 個 IoT 裝置。Cloudflare 的分散式防禦系統完全自主偵測並緩解了這起攻擊。不需要人工干預,未觸發任何警示,也沒有導致效能下降。系統按預期運作。
Cloudflare 的自主 DDoS 防禦可在無需人工干預的情況下緩解 5.6 Tbps 的 Mirai DDoS 攻擊
雖然不重複來源 IP 位址的總數約為 13,000 個,但每秒平均不重複來源 IP 位址為 5,500 個。我們還看到每秒類似數量的不重複來源連接埠。在下圖中,每條線代表 13,000 個不同來源 IP 位址中的一個,如圖所示,每個位址每秒的貢獻都不到 8 Gbps。每個 IP 位址每秒的平均貢獻約為 1 Gbps(5.6 Tbps 的 ~0.012%)。
發動 5.6 Tbps DDoS 攻擊的 13,000 個來源 IP 位址
2024 年第三季,我們開始看到超流量網路層 DDoS 攻擊有所增加。2024 年第四季,超過 1 Tbps 的攻擊數量較上一季增長 1,885%,超過 1 億 pps(每秒封包數)的攻擊數量較上一季增長 175%。在超過 1 億 pps 的攻擊中,有 16% 的攻擊還超過了 10 億 pps。
超流量第 3/4 層 DDoS 攻擊分佈情況:2024 年第四季
大多數 HTTP DDoS 攻擊 (63%) 的每秒要求數不超過 50,000 個。另一方面,3% 的 HTTP DDoS 攻擊每秒要求數超過 1 億次。
同樣,大多數網路層 DDoS 攻擊的規模也較小。93% 不超過 500 Mbps,87% 不超過每秒 50,000 個封包。
依封包速率劃分的攻擊規模較上季變化情況:2024 年第四季
依位元速率劃分的攻擊規模較上季變化情況:2024 年第四季
大多數 HTTP DDoS 攻擊 (72%) 會在十分鐘內結束。大約 22% 的 HTTP DDoS 攻擊持續超過 1 小時,11% 持續超過 24 小時。
與此類似,91% 的網路層 DDoS 攻擊也會在十分鐘內結束。只有 2% 持續一個小時以上。
總體而言,DDoS 攻擊的持續時間較上一季顯著減少。由於大多數攻擊的持續時間很短,因此在大多數情況下,讓人類回應警示、分析流量並套用緩解措施是不可行的。攻擊持續時間短,凸顯了對嵌入式、始終開啟且自動化的 DDoS 防護服務的需求。
攻擊持續時間較上季變化情況:2024 年第四季
在 2024 年最後一個季,印尼連續第二季成為全球最大的 DDoS 攻擊來源。為了瞭解攻擊來源,我們對應了發動 HTTP DDoS 攻擊的來源 IP 位址,因為它們無法偽造,而對於第 3 層/第 4 層 DDoS 攻擊,我們使用了接收 DDoS 封包的資料中心的位置。這讓我們能夠克服第 3 層/第 4 層中可能存在的詐欺。由於我們的廣泛網路遍佈全球 330 多座城市,我們能夠實現地理準確性。
中國香港位居第二,排名較上一季上升了五位。新加坡排名上升三位,位居第三。
十大 DDoS 攻擊來源:2024 年第四季
自發系統 (AS) 是具有統一路由原則的大型網路或網路群組。連接到網際網路的每台電腦或裝置都連接到 AS。若要瞭解您的 AS,請造訪 https://radar.cloudflare.com/ip。
當查看 DDoS 攻擊(特別是 HTTP DDoS 攻擊)的來源時,有幾個自發系統特別顯眼。
2024 年第四季,我們看到的 HTTP DDoS 攻擊流量最多的 AS 是德國的 Hetzner (AS24940)。在所有 HTTP DDoS 請求中,將近 5% 來自 Hetzer 的網路,換句話說,在 Cloudflare 封鎖的每 100 個 HTTP DDoS 要求中,就有 5 個來自 Hetzner。
位居第二的是美國的 Digital Ocean (AS14061),法國的 OVH (AS16276) 則排名第三。
十大 DDoS 攻擊來源網路:2024 年第四季
對於許多網路營運商(例如上面列出的網路營運商)來說,識別濫用其基礎架構發動攻擊的惡意行為者可能很困難。為了幫助網路營運商和服務提供者打擊濫用行為,我們提供免費的 DDoS 殭屍網路威脅情報摘要,向 ASN 擁有者提供我們發現的參與 DDoS 攻擊的 IP 位址清單。
在對遭受 DDoS 攻擊的 Cloudflare 客戶進行調查時,大多數人表示他們不知道是誰攻擊了他們。而知道的人則表示,他們的競爭對手應對攻擊負主要責任 (40%)。另有 17% 的受訪者表示,攻擊是由國家級或國家支援的威脅執行者發起的。還有差不多比例的受訪者表示,心懷不滿的使用者或客戶是攻擊的幕後黑手。
另有 14% 的受訪者報告稱,攻擊的幕後人士是勒索者。7% 的受訪者稱這是自己造成的 DDoS,2% 的受訪者稱駭客行為是攻擊的起因,另有 2% 的受訪者稱這些攻擊是由前僱員發起的。
主要威脅執行者:2024 年第四季
正如預期的那樣,在 2024 年最後一季,我們觀察到勒索型 DDoS 攻擊激增。隨著線上購物、旅行安排和假日活動的增加,第四季可以說是網路犯罪分子的黃金時段,因此這一峰值是可以預測的。在流量峰值期間中斷服務會嚴重影響組織的收入,並影響現實生活,例如航班延誤和取消。
第四季,在遭受 DDoS 攻擊的 Cloudflare 客戶中,有 12% 報告稱受到威脅或被勒索贖金。該數據較上一季增長 78%,較 2023 年第四季增長 25%。
每季報告的勒索型 DDoS 攻擊:2024 年
回顧 2024 年全年,Cloudflare 在 5 月收到的勒索型 DDoS 攻擊報告最多。在第四季,我們可以看到攻擊在 10 月 (10%)、11 月 (13%) 和 12 月 (14%) 逐漸增加,在 12 月達到七個月以來的最高水準。
每月報告的勒索型 DDoS 攻擊:2024 年
2024 年第四季,中國繼續成為遭受攻擊最多的國家/地區。為了瞭解哪些國家/地區受到的攻擊更多,我們按客戶的帳單國家/地區對 DDoS 攻擊進行了分組。
菲律賓首次出現在前十名中,成為受攻擊次數第二多的國家/地區。台灣地區躍升至第三位,較上一季上升七位。
在下面的地圖中,您可以看到前 10 個最常受到攻擊的位置,以及與上一季相比的排名變化。
最常受到 DDoS 攻擊的 10 個位置:2024 年第四季
2024 年第四季,電信、服務提供者和電信業者產業從第三位(上一季)躍升至第一位,成為受攻擊最多的產業。為了瞭解哪些產業受到的攻擊更多,我們按客戶的產業對 DDoS 攻擊進行了分組。網際網路產業排名第二,然後是行銷和廣告業,排名第三。
銀行與金融服務業從 2024 年第三季的第一名下降了七位,在第四季位於第八位。
最常受到 DDoS 攻擊的 10 個產業:2024 年第四季
2024 年第四季,超容量第 3 層/第 4 層 DDoS 攻擊激增,其中最大的一次攻擊打破了我們先前的記錄,峰值達到 5.6 Tbps。攻擊規模的增加使得容量有限的雲端 DDoS 防護服務或內部部署 DDoS 設備變得過時。
受地緣政治因素的推動,強大殭屍網路的使用日益增多,擴大了易受攻擊的目標範圍。勒索型 DDoS 攻擊的增加也越來越令人擔憂。
太多組織僅在遭受攻擊後才實施 DDoS 防護。我們的觀察表明,擁有主動安全性策略的組織更具復原能力。在 Cloudflare,我們投資於自動防禦和全面的安全產品組合,以針對當前和新出現的威脅提供主動防護。
我們具有 321 Tbps 容量的網路遍及全球 330 座城市,無論攻擊的規模、持續時間和數量如何,我們都致力於提供非計量和無限的 DDoS 防護。