订阅以接收新文章的通知:

Mantis - 迄今最强大的僵尸网络

2022-07-14

3 分钟阅读时间
这篇博文也有 EnglishEspañolРyсскийPolski繁體中文版本。

2022 年 6 月,我们报告了我们缓解过的最大 HTTPS DDoS 攻击 — 每秒 2600 万个请求的攻击 - 有记录以来最大的攻击。我们的系统自动检测并缓解了此攻击以及其他许多攻击。自那以来,我们一直在跟踪这个僵尸网络,我们称之为“Mantis”,并且跟踪了它对近千名 Cloudflare 客户发起的攻击。

Mantis - the most powerful botnet to date

Cloudflare WAF/CDN 客户可抵御 HTTP DDoS 攻击,包括 Mantis 攻击。请参阅本博客底部,详细了解如何让您的互联网资产最好地抵御 DDoS 攻击。

您见识过 Mantis 吗?

我们将发起每秒 2600 万个请求 DDoS 攻击的僵尸网络命名为“Mantis”,因为它就像螳螂虾那样,个头虽小却很强悍。螳螂虾又称为“拇指切割机”,个体非常小,体长不到 10 厘米,但双钳强而有力,能够从立姿开始以 83 千米/时的速度产生力度高达 1500 牛顿的冲击波。类似地,Mantis 僵尸网络运行大约由 5000 个机器人组成的小群体,但却能利用这些机器人产生巨大的冲击 — 造成了我们所观察到的最大 HTTP DDoS 攻击。

螳螂虾。资料来源:Wikipedia

Image of the Mantis shrimp from Wikipedia

Mantis 僵尸网络能够使用 5000 个机器人生成每秒 2600 万个 HTTPS 请求。我再说一遍:使用 5000 个机器人生成每秒 2600 万个 HTTPS 请求,也就是平均每个机器人生成每秒 5200 个 HTTPS 请求。要生成 2600 万个 HTTP 请求而不造成建立安全连接的额外开销已经很难做到了,但 Mantis 竟然通过 HTTPS 做到了。HTTPS DDoS 攻击需要耗费更多计算资源,因为建立安全的 TLS 加密连接代价更高。这一点突显了该僵尸网络独特的强大能力。

不同于由 DVR、CC 摄像机或烟雾报警器等物联网 (IoT) 设备组成的“传统”僵尸网络,Mantis 利用被劫持的虚拟机和功能强大的服务器。这意味着,每个机器人拥有的计算资源都多得多,因而能够带来这种联合式的“拇指切割”能力。

Graph of the 26 million requests per second DDoS attack

Mantis 是从 Meris 僵尸网络演化而来的。Meris 僵尸网络依赖于 MikroTik 设备,但 Mantis 进行了扩展,包含各种各样的虚拟机平台,并支持运行各类 HTTP 代理来发起攻击。Mantis 这个名称类似于“Meris”,也是为了体现这一渊源,还因为这一演化带来了猛烈冲击。过去几周以来,Mantis 尤其活跃,将魔爪伸向了近 1000 名 Cloudflare 客户。

Mantis 在攻击谁?

Graphic design of a botnet

在我们最近的 DDoS 攻击趋势报告中,我们谈到了日益增加的 HTTP DDoS 攻击。上一季度,HTTP DDoS 攻击增加了 72%,而这里面肯定有 Mantis 的“功劳”。上个月,Mantis 针对 Cloudflare 客户发起了 3000 多次 HTTP DDoS 攻击。

考察 Mantis 的目标,我们可以发现,受到最多攻击的行业是互联网和电信行业,占 36% 的攻击比例。排第二位的是新闻、媒体和出版行业,紧随其后的是游戏和金融行业。

考察这些公司所在的位置,我们可以发现,超过 20% 的 DDoS 攻击瞄准美国公司,超过 15% 的 DDoS 攻击瞄准俄罗斯公司,而瞄准土耳其、法国、波兰、乌克兰等国家的 DDoS 攻击不到 5%。

如何防御 Mantis 和其他 DDoS 攻击

Cloudflare 的自动 DDoS 保护系统利用动态指纹来检测并缓解 DDoS 攻击。该系统作为 HTTP DDoS 托管规则集公开给客户。默认情况下,该规则集处于启用状态并会实施缓解措施,因此,如果您不进行任何更改,也就无需执行任何操作,因为您已受到保护。您还可以查看我们的指南最佳实践:DoS 预防措施响应 DDoS 攻击,了解关于如何优化 Cloudflare 配置的更多小技巧和建议。如果您仅使用了 Magic TransitSpectrum,但同时运行不受 Cloudflare 保护的 HTTP 应用程序,我们建议您将其上线到 Cloudflare 的 WAF/CDN 服务,以从 L7 保护中获益。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
BotnetDDoSTrends

在 X 上关注

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

相关帖子

2024年11月20日 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

2024年11月06日 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....