欢迎阅读 Cloudflare 的第 20 版 DDoS 威胁报告,这标志着我们自 2020 年首次发布报告以来已经走过五年。
本报告每季度发布一次,根据来自 Cloudflare 网络的数据,对不断演变的分布式拒绝服务( DDoS )攻击威胁形势进行全面分析。本版报告重点关注 2024 年第四季度,并总结全年的情况。
Cloudflare 的独特地位
当我们发布首份报告时, Cloudflare 的全球网络容量为 35 TB/秒 (Tbps)。自那以来,我们的网络容量已经增长了 817%,达到 321 Tbps。我们的全球覆盖范围也显著扩大了,从 2020 年初的 200 个城市增加到 2024 年底的 330 个城市,增幅达到 65%。
依托这个庞大网络,我们目前服务和保护近 20% 的全球网站,以及接近 1.8 万个唯一的 Cloudflare 客户 IP 网络。这个庞大的基础设施和客户群体为我们提供了独特的地位,使我们能够提供有益于更广泛的互联网社区的关键洞察和趋势。
关于 DDoS 攻击的主要洞察
2024年,Cloudflare 的自主 DDoS 防御系统阻止了约 2130 万次 DDoS 攻击,相比 2023 年增长了 53%。平均而言,2024 年 Cloudflare 每小时阻止 4870 次 DDoS 攻击。
在第四季度,超过 420 次为超大容量攻击,速率超过每秒 10 亿数据包(pps)和 1 Tbps。此外,超过 1 Tbps 的攻击数量较前一个季度增长了惊人的 1885%。
2024 年万圣节当周,Cloudflare 的 DDoS 防御系统成功自主检测并阻止了一次 5.6 Tbps 的 DDoS 攻击 —— 这是有史以来最大规模的攻击。
如要进一步了解 DDoS 攻击和其他类型的网络威胁,请访问我们的学习中心、查看 Cloudflare 博客上的往期 DDoS 威胁报告,或访问我们的互动中心 Cloudflare Radar 。对于那些有兴趣调查以上和其他互联网趋势的人,还可以使用这个免费的API 。您还可以进一步了解在准备这些报告时所使用的方法。
DDoS 攻击剖析
仅在 2024 年第四季度, Cloudflare 就缓解了 690 万次 DDoS 攻击。这相当于环比增长 16%,同比增长 83%。
2024 年第四季度的 DDoS 攻击中,49%(340 万次)为 L3/L4 DDoS 攻击,51%(350 万次)为 HTTP DDoS 攻击。
690 万次 DDoS 攻击分布情况(2024 年第四季度)
HTTP DDoS 攻击
大部分(73%) HTTP DDoS 攻击由已知僵尸网络发起。鉴于我们运营一个庞大的网络并见证过多种不同类型的攻击和僵尸网络,我们能够快速检测并阻止这些攻击。这进而使得我们的安全工程师和研究人员能够设计启发式规则,以增强对这些攻击的缓解效果。
另外 11% 为伪装成合法浏览器的 HTTP DDoS 攻击。还有 10% 是包含可疑或异常 HTTP 属性的攻击。余下 8% 的“其他攻击”是一般 HTTP 洪水 、容量耗尽型缓存破坏攻击和针对登录端点的攻击。
HTTP DDoS 攻击的主要手段(2024 年第四季度)
这些攻击手段或攻击组别不一定是互相排斥的。例如,已知的僵尸网络也会伪装成浏览器,并具有可疑的 HTTP 属性,但这个细分是我们试图以有意义的方式对 HTTP DDoS 攻击进行归类。
最常见的用户代理
截至本报告发布时,根据 Google 的发行说明,Chrome 在 Windows、Mac、iOS 和 Android 平台的当前稳定版本为 132。然而,威胁行为者似乎仍处于落后状态,因为在 DDoS 攻击中出现最频繁的 13 个用户代理是介于 118 到 129 版的 Chrome 浏览器。
HITV_ST_PLATFORM 用户代理在 DDoS 攻击请求中的占比高达 99.9%,成为几乎专门用于 DDoS 攻击的用户代理。换句话说,如果您看到来自 HITV_ST_PLATFORM 用户代理的流量,则其是合法流量的可能性是 0.1%。
威胁参与者通常会避免使用不常见的用户代理,而是倾向于使用更常见的 Chrome 等,以融入正常流量。HITV_ST_PLATFORM 用户代理与智能电视和机顶盒相关,这表明参与某些网络攻击的设备可能是被入侵的智能电视或机顶盒。这一观察结果凸显了保护所有互联网连接设备(包括智能电视和机顶盒)的重要性,以防止它们被用于网络攻击。
DDoS 攻击中最常用的用户代理(2024 年第四季度)
位居第二的用户代理是 hackney,包含该用户代理的请求中, 93% 是 DDoS 攻击的一部分。如果遇到来自 hackney 用户代理的流量,那么有 7% 的概率是合法流量。Hackney 是一个 Erlang 中的 HTTP 客户端库,用于发送 HTTP 请求,在 Erlang/Elixir 生态系统中非常流行。
DDoS 攻击中使用的其他用户代理为 uTorrent ,其与一个流行的 BitTorrent 客户端相关,用于下载文件。Go-http-client 和 fasthttp 也是 DDoS 攻击中的常见用户代理。前者是 Go 标准库中的默认 HTTP 客户端,后者是一种高性能替代方案。fasthttp 用于构建快速的 Web 应用,但也经常被利用进行 DDoS 攻击和 Web 抓取。
DDoS 攻击中常用的 HTTP 属性
HTTP 方法
HTTP 方法(也称为 HTTP 动词)定义要对服务器资源执行的操作。它们是 HTTP 协议的一部分,允许客户端(如浏览器)和服务器之间进行通信。
GET 最常用的方法。接近 70% 的合法 HTTP 请求使用了 GET 方法。第二位是 POST 方法,占比为 27%。
对于 DDoS 攻击,情况则有所不同。尽管 HEAD 方法在合法的 HTTP 请求中只占 0.75%,但在 DDoS 攻击中使用 HEAD 方法的请求却高达14%。DELETE 方法排在第二位,大约 7% 用于进行 DDoS 攻击。
DDoS 攻击中的常见方法与合法流量中的攻击方法所占比例存在明显差异。安全管理员可以利用这些信息来优化其安全防御能力。
DDoS 攻击和合法流量中的 HTTP 方法分布(2024 年第四季度)
HTTP 路径
HTTP 路径描述特定的服务器资源。结合 HTTP 方法,服务器将对资源执行响应操作。
例如,GET https://developers.cloudflare.com/ddos-protection/将指示服务器检索资源 /ddos-protection/ 的内容。
DDoS 攻击的目标通常是网站的根目录(“/”),但在其他情况下,它们也可以针对特定的路径。在 2024 年第四季度,针对 /wp-admin/ 路径的 HTTP 请求中,98% 属于 DDoS 攻击。/wp-admin/ 路径是 WordPress 网站的默认管理员仪表板 。
显然,许多路径是特定网站独有的,但在下图中,我们列出了受攻击最多的通用路径。安全管理员可以使用这些数据来加强对这些端点的保护(如适用)。
HTTP DDoS 攻击针对的最常见 HTTP 路径(2024 年第四季度)
HTTP 与 HTTPS 对比情况
在第四季度,接近 94% 的合法流量是 HTTPS 。只有 6% 是明文 HTTP(未加密)。就 DDoS 攻击流量而言,大约 92% 的 HTTP DDoS 攻击请求通过 HTTPS 发送,近 8% 通过纯文本 HTTP 发送。
合法流量和 DDoS 攻击中的 HTTP 与 HTTPS 占比(2024 年第四季度)
第 3 层/第 4 层 DDoS 攻击
最常见的三种第 3 层/第 4 层(网络层)攻击手段是 SYN 洪水攻击 (38%)、 DNS 洪水攻击 (16%)和 UDP 洪水攻击 (14%)。
最常见的 L3/4 DDoS 攻击手段(2024 年第四季度)
另一种常见攻击手段(即僵尸网络类型)是 Mirai 。Mirai 攻击占所有网络层 DDoS 攻击的 6% ,环比增长 131%。2024 年第四季度,一个 Mirai 变种僵尸网络被用于发动有记录以来最大规模的 DDoS 攻击,我们将在下一节 详细介绍。
新兴攻击手段
在进入下一节之前,需要讨论一下本季度观察到的其他攻击手段的增长情况。
主要新兴威胁(2024 年第四季度)
Memcached DDoS 攻击增长最快,环比增长 314%。Memcached 是一种数据库缓存系统,用于加速网站和网络。支持 UDP 的 Memcached 服务器可被滥用来发起放大或反射 DDoS 攻击。在这种情况下,攻击者会从缓存系统请求内容,并将受害者的 IP 地址伪造成 UDP 数据包中的源 IP 。受害者将被 Memcache 响应淹没,这些响应的数量可能相当于初始请求的 51200 倍。
本季度期间,BitTorrent DDoS 攻击也同比激增 304%。BitTorrent 协议是一种用于点对点文件共享的通信协议。为了帮助 BitTorrent 客户端以有效的方式找到和下载文件,BitTorrent 客户端可以使用 BitTorrent Trackers 或分布式哈希表(DHT)来识别为目标下载文件做种的点。这个概念可被滥用来发动 DDoS 攻击。恶意行为者可伪造受害者的 IP 地址为 Trackers 和 DHT 系统中的种子 IP 地址。然后客户端会从这些 IP 请求文件。如果有足够多的客户端请求该文件,就有可能导致流量超出受害者的处理能力。
有记录以来规模最大的 DDoS 攻击
10 月 29 日,一个 Mirai 变种僵尸网络发起了一次 5.6 Tbps UDP DDoS攻击,目标是一家 Cloudflare Magic Transit 客户——东亚地区的互联网服务提供商(ISP)。这次攻击仅持续了 80 秒,源于超过 1.3 万个 IoT 设备。Cloudflare 的分布式防御系统完全自主进行了检测和缓解。它不需要人工干预,不会触发任何警报,也不会导致任何性能下降。系统按预期工作。
Cloudflare 的自主 DDoS 防御系统在无需人工干预的情况下缓解了一次 5.6 Tbps 的Mirai DDoS 攻击
唯一源 IP 地址总数达到约 1.3 万个,平均每秒 5500 个。每秒唯一源端口数也相近。在下图中,每条线代表 1.3 万个唯一源 IP 地址之一;如图所示,每个贡献的带宽不到每秒 8 Gbps 。每个 IP 地址平均每秒贡献约 1 Gbps(约 5.6 Tbps 的 0.012%)。
1.3 万个源 IP 地址发起了这次 5.6 Tbps 的 DDoS 攻击
超大容量 DDoS 攻击
2024 年第三季度,我们开始发现超大规模网络层 DDoS 攻击出现增加。2024 年第四季度,超过 1 Tbps 的攻击环比增长 1885%,超过 1 亿 pps 的攻击环比增长 175%。在超过 1 亿 pps 的攻击中,16% 也超过 10 亿 pps。
超大规模 L3/4 DDoS攻击分布(2024 年第四季度)
攻击规模
大部分 HTTP DDoS攻击(63%)的速率不超过每秒 5 万个请求。另一方面,3% 的 HTTP DDoS 攻击超过每秒 1 亿次请求。
同样,大多数网络层 DDoS 攻击规模也不大。93% 不超过 500 Mbps,87% 不超过 5 万 pps。
攻击规模数据包速率分布环比变化(2024 年第四季度)
攻击规模的比特率分布环比变化(2024 年第四季度)
攻击持续时间
大部分 HTTP DDoS 攻击 (72%) 在 10 分钟内结束。大约 22% 的 HTTP DDoS 攻击持续超过一小时,11% 超过 24 小时。
同样,91% 的网络层 DDoS 攻击也在 10 分钟内结束。只有 2% 持续时间超过一小时。
总体而言, DDoS攻击的持续时间较前一个季度大幅缩短了。由于大多数攻击的持续时间很短,因此在大多数情况下,人类无法响应警报、分析流量并应用缓解措施。攻击持续时间短,凸显了采用内联、始终在线、自动化 DDoS 防护服务的必要性。
攻击持续时间环比变化: 2024 年第四季度
攻击来源
在 2024 年最后一个季度,印度尼西亚连续第二个季度成为 全球最大的 DDoS 攻击来源地区。为解析攻击来源,对于 HTTP DDoS 攻击,我们映射无法伪造的源 IP 地址;而对于第3 层/第4 层 DDoS 攻击,我们使用接收 DDoS 数据包的数据中心所在位置。这让我们能够克服第 3 层/第 4 层中可能存在的欺骗性。我们拥有覆盖全球 330 多个城市的庞大网络,从而能够实现准确的地理定位。
香港排名第二,比上一季度上升了五个位次。新加坡上升了一位,达到第三位。
十大 DDoS 攻击来源:2024 年第四季度
主要来源网络
自治系统(AS)是一个具有统一路由策略的大型网络或一组网络。连接到互联网的每台计算机或设备都连接到一个 AS。如要了解您的 AS 是什么,请访问 https://radar.cloudflare.com/ip 。
在分析 DDoS 攻击的来源,特别是 HTTP DDoS 攻击时,有几个自治系统非常突出。
2024 年第四季度期间,我们观察到 HTTP DDoS 攻击流量最多的自治系统是德国的 Hetzner (AS24940) 。在所有 HTTP DDoS 请求中,接近 5% 的请求来自 Hetzer 的网络,也就是说, Cloudflare 阻止的每 100 个 HTTP DDoS请求中,有 5 个来自 Hetzer。
排在第二位的是美国的 Digital Ocean (AS14061) ,第三位是法国的 OVH (AS16276) 。
十大 DDoS 攻击来源网络(2024 年第四季度)
对于类似上述所列的众多网络运营商而言,识别并追踪那些滥用其基础设施发起攻击的恶意行为者往往颇为棘手。为帮助网络运营商和服务提供商打击滥用行为,我们提供免费的 DDoS 僵尸网络威胁情报源,让自治系统所有者能够获取一份 IP 地址列表,包含根据我们观察参与了 DDoS 攻击的 IP 地址。
主要威胁行为者
在对受到 DDoS 攻击的 Cloudflare 客户进行调查时,大多数人表示不知道是谁在攻击他们。在了解攻击来源的受访者中,有 40% 指出其竞争对手是攻击的首要威胁行为者。另有 17% 的受访者表示,国家级或政府支持的威胁行为者是攻击的幕后黑手;类似比例的受访者表示,心怀不满的用户或客户是攻击的幕后黑手。
另有 14% 的受访者表示,攻击是由勒索者策划的。7% 的受访者声称这是一次自己造成的 DDoS,2% 的受访者表示黑客行为是攻击的原因,另有 2% 的受访者表示攻击是由离职员工发起的。
主要威胁行为者(2024 年第四季度)
DDoS 勒索攻击
在 2024 年最后一个季度,一如预期,我们观察到 勒索 DDoS攻击出现激增 。攻击激增在预料之中,因为第四季度网上购物、旅行安排和节日活动增多,成为网络犯罪分子的黄金时间。在高峰时段干扰这些服务可能会严重影响组织的收入,并造成现实世界活动中断,例如航班延误和取消。
在第四季度,受到 DDoS 攻击的Cloudflare 客户中,有 12% 报称遭到威胁或要求支付赎金。这个比例环比增长 78%,同比增长 25%。
报告勒索 DDoS 攻击季度分布(2024 年)
回顾 2024 年全年, Cloudflare 在 5 月收到最多有关勒索 DDoS 攻击的报告。在第四季度,我们观察到逐月上升趋势:10 月(10%)、11 月(13%)和 12 月(14%)——达到七个月最高水平。
报告的勒索 DDoS 攻击月度分布(2024 年)
攻击目标
在 2024 年第四季度,中国依然是 受到最多攻击的国家 。为了解哪些国家/地区受到更多攻击,我们按客户的账单国家/地区对 DDoS 攻击进行分组。
菲律宾首次进入遭到最多 DDoS 攻击的前十个国家/地区行列,位居第二。台湾地区跃居第三,与上一季度相比上升了七个位次。
在下面的地图中,您可以看到遭到攻击最多的前十个国家/地区以及与上一季度相比的排名变化。
受到最多 DDoS 攻击的前十个国家/地区( 2024 年第四季度)
受攻击最多的行业
在 2024 年第四季度,电信、服务提供商和运营商从(上一季度的)第三位跃升至第一位,成为 受攻击最多的行业 。为了解哪些行业遭受更多攻击,我们按照客户所属行业对 DDoS 攻击进行分组。互联网行业排名第二,其后是市场营销和广告行业,排名第三。
银行和金融服务行业排名第八,较 2024 年第三季度的第一位下降了七个位次。
受到最多 DDoS 攻击的前十行业(2024 年第四季度)
我们对不计量 DDoS 防护的承诺
2024 年第四季度,超大规模的第 3 层/第 4 层 DDoS 攻击激增,其中最大的一次攻击打破了我们之前的记录,峰值达到 5.6 Tbps。随着攻击规模的增长,容量有限的云 DDoS 防护服务或本地 DDoS 设备已不再足够。
地缘政治因素驱动下,强大的僵尸网络使用日益增长,扩大了易受攻击目标的范围。勒索 DDoS 攻击的增加也日益令人担忧。
太多组织仅在遭受攻击后才部署 DDoS 防护。我们的观察表明,拥有主动安全策略的组织更具韧性。Cloudflare 投资于自动化防御和全面的安全解决方案,提供针对当前和新兴威胁的主动防护。
凭借我们覆盖全球 330 个城市、容量高达 321 Tbps 的网络,无论攻击的规模、持续时间和数量如何,我们都始终承诺提供不计量、无限制的 DDoS 防护。