歡迎瀏覽我們 2022 年第四季度(即最後一個季度)的 DDoS 威脅報告。本報告包括有關 DDoS 威脅情勢的深入解析和趨勢,這些資訊從 Cloudflare 全球網路中觀察所得。
今年最後一個季度,隨著全世界數十億人慶祝感恩節、聖誕節、光明節、黑色星期五、光棍節和新年等節日和活動,DDoS 攻擊不僅沒有消失,甚至其規模、頻率和複雜程度都進一步增長,同時試圖擾亂我們的生活方式。
Cloudflare 的自動化 DDoS 防禦能力仍然固若磐石,僅在最後一個季度就緩解了數百萬個攻擊。我們對所有這些攻擊進行了彙總、分析並擬定了最終報告,幫助您深入瞭解威脅情勢。
全球 DDoS 深入解析
今年最後一個季度,儘管一整年都呈下降趨勢,HTTP DDoS 攻擊流量同比增長還是達到了 79%。雖然這些攻擊大多規模較小,但 Cloudflare 卻不斷地遇到 TB 強度的攻擊,每秒數億個封包的 DDoS 攻擊,以及由複雜機器人網路發起的最高每秒數千萬個要求的 HTTP DDoS 攻擊。
巨流量攻擊急劇上升;速率超過 100 GB/秒 (Gbps) 的攻擊數季增率為 67%,持續時間超過三小時的攻擊數季增率為 87%。
今年,DDoS 勒索攻擊穩步增長。第四季度,超過 16% 的受訪者回報稱,他們在其網際網路資產受到 DDos 攻擊的同時,還收到了威脅或索要贖金的勒索信。
DDoS 攻擊的主要目標產業
HTTP DDoS 攻擊佔航空和太空網際網路資產所有流量的 35%。
同樣,在遊戲/博彩業和金融業的所有流量中,三分之一以上為網路層 DDoS 攻擊流量。
高達 92% 的教育管理公司流量屬於網路層 DDoS 攻擊。同樣,73% 的資訊技術和服務業以及公關和通訊業流量也是網路層 DDoS 攻擊。
DDoS 攻擊的來源和目標
第四季度,在受 Cloudflare 保護的中國網際網路資產的網路層流量中,93% 屬於網路層 DDoS 攻擊。同樣,立陶宛 86% 以上的 Cloudflare 客戶流量和芬蘭 80% 的 Cloudflare 客戶流量均為攻擊流量。
在應用程式層,受 Cloudflare 保護的格魯吉亞網際網路資產的所有流量中,超過 42% 屬於 HTTP DDoS 攻擊,緊隨其後的貝里斯為 28%,而位列第三的聖馬利諾則略低於 20%。Cloudflare 發現,在源於利比亞的所有流量中,將近 20% 為應用程式層 DDoS 攻擊流量。
在 Cloudflare 位於波札那的資料中心所記錄的所有流量中,超過 52% 是網路層 DDoS 攻擊流量。同樣,在 Cloudflare 位於亞塞拜然、巴拉圭和巴勒斯坦的資料中心,網路層 DDoS 攻擊流量約佔所有流量的 40%。
快速提醒:本季度,我們對演算法進行了變更以改進資料的準確性,這意味著上述部分資料點無法與前幾個季度作比較。若要深入瞭解這些變更,請閱讀下一節_報告方法變更_。
若要跳到該報告,請按一下這裡。
報名參加 DDoS 趨勢網路研討會,以深入瞭解新興威脅以及如何防禦。
報告方法變更
自我們於 2020 年發佈第一份報告以來,我們一直使用百分比來表示攻擊流量,即攻擊流量佔所有流量(包括合法/使用流量)的百分比。我們這樣做是為了正規化資料,避免產生資料偏差,並且更加靈活地將新的緩解系統資料納入報告。
在本報告中,我們對依某些_維度_(例如,目標國家/地區、來源國家/地區_或_目標產業)分組攻擊時,用於計算上述部分百分比的方法進行了變更。在_應用程式層_部分,我們之前用指定維度的攻擊 HTTP/S 要求數量除以所有維度的所有 HTTP/S 要求數。在_網路層_部分,特別是在_目標產業_和_目標國家/地區_中,我們過去用指定維度的攻擊 IP 封包數量除以所有維度的攻擊封包總數。
從本報告開始,我們用指定維度的攻擊要求(或封包)數除以該指定維度的要求(或封包)總數。我們之所以做出這些變更,是為了調整整個報告的計算方法並改進資料準確性,從而更完美地呈現攻擊情勢。
例如,使用之前的方法,受應用程式層 DDoS 攻擊最嚴重的產業是遊戲和博彩業。針對該產業的攻擊要求數佔所有產業所有流量(攻擊和非攻擊)的 0.084%。使用同樣的舊方法,航空和太空業位列第十二。針對航空和太空業的攻擊流量佔所有產業所有流量(攻擊和非攻擊)的 0.0065%。而使用新方法,航空和太空業成為受攻擊最嚴重的產業 — 攻擊流量佔該產業所有流量(攻擊和非攻擊)的 35%。再次使用新方法,遊戲和博彩業位列第十四 — 攻擊流量佔其流量的 2.4%。
以前報告中用於計算每個維度攻擊流量百分比的舊計算方法如下:
從本報告開始使用的新計算方法如下:
這些變更適用於以下計量:
應用程式層 DDoS 攻擊的目標產業
應用程式層 DDoS 攻擊的目標國家/地區
應用程式層 DDoS 攻擊的來源
網路層 DDoS 攻擊的目標產業
網路層 DDoS 攻擊的目標國家/地區
報告中未作其他變更。自第一份報告以來,_網路層 DDoS 攻擊的來源_計量就已使用此方法。此外,DDoS 勒索攻擊、DDoS 攻擊速率、_DDoS 攻擊持續時間、DDoS 攻擊手段_和_主要新興威脅_部分也未作變更。這些計量並未考量合法流量,因此,無需調整方法。
有鑑於此,我們來深入探討一下這些解析和趨勢。您也可以在 Cloudflare Radar 上檢視本報告的互動版本。
With that in mind, let’s dive in deeper and explore these insights and trends. You can also view an interactive version of this report on Cloudflare Radar.DDoS 勒索攻擊
勒索軟體攻擊會誘騙受害者下載檔案或按一下電子郵件連結,然後加密並鎖定其電腦檔案,直到他們支付贖金,與此相反,發起 DDoS 勒索攻擊對於攻擊者來說要容易得多。DDoS 勒索攻擊不必誘騙受害者開啟電子郵件或按一下連結,也不需要執行網路入侵或取得立足點。
在 DDoS 勒索攻擊中,攻擊者不必存取受害者的電腦,只需讓足夠的流量湧入其電腦,即可對其網際網路服務造成負面影響。攻擊者會要求支付贖金(通常是以比特幣的形式),以停止及/或避免進一步攻擊。
2022 年最後一個季度,在回覆我們調查的 Cloudflare 客戶中,有 16% 回報稱正在遭受附有威脅或勒索信的 HTTP DDoS 攻擊。這表示所回報的 DDoS 勒索攻擊較上一季度增長了 14%,但同比下降了 16%。
2021 年和 2022 年 DDoS 勒索攻擊季度分佈(每個直條代表回報勒索攻擊的使用者百分比)
我們如何計算 DDoS 勒索攻擊趨勢Cloudflare 的系統會不斷地分析流量,並在偵測到 DDoS 攻擊時自動套用緩解措施。每個受到 DDoS 攻擊的客戶都會收到提示,邀請他們參與一項自動化調查,以幫助我們更好地瞭解該攻擊的性質以及緩解措施的成功率。兩年多以來,Cloudflare 一直在對受到攻擊的客戶進行調查。調查中的一個問題是問受訪者是否收到過威脅或勒索信。在過去兩年間,我們平均每個季度收集了 187 份回覆。此調查的回覆會用於計算 DDoS 勒索攻擊的百分比。
應用程式層 DDoS 攻擊情勢
應用程式層 DDoS 攻擊(具體而言,即 HTTP/S DDoS 攻擊)是一種網路攻擊,通常旨在中斷網頁伺服器,使其無法處理合法使用者要求。如果伺服器收到的要求數量遠遠超過其處理能力,伺服器即會丟棄合法要求,在某些情況下會當機,導致合法使用者的效能下降或服務中斷。
應用程式層 DDoS 攻擊趨勢
觀察下方示意圖,我們可以看到今年每個季度的攻擊都呈現明顯的下降趨勢。然而,儘管呈現下降趨勢,但和去年同期相比,HTTP DDoS 攻擊還是增長了 79%。
過去一年間 HTTP DDoS 攻擊季度分佈
應用程式層 DDoS 攻擊的目標產業
在很多人旅遊度假的季度中,航空和太空業是遭受攻擊最多的產業。該產業大約 35% 的流量屬於 HTTP DDoS 攻擊。位列第二的是活動服務業,HTTP DDoS 攻擊流量佔比超過 16%。
排在後面的依次為媒體和出版、無線、政府關係和非營利產業。若要深入瞭解 Cloudflare 如何保護非營利和人權組織,請閱讀我們最新的影響力報告。
2022 年第四季度 HTTP DDoS 攻擊的主要目標產業
當我們依地區進行細分並在排除_網際網路_和_軟體等一般產業值區後,_我們可以看到,在北美洲和大洋洲,受到最多攻擊的產業為電信業。在南美洲和非洲,受到最多攻擊的產業為旅遊服務業。在歐洲和亞洲,受到最多攻擊的產業為遊戲和博彩業。而在中東,教育產業受到的攻擊最多。
2022 年第四季度 HTTP DDoS 攻擊的主要目標產業(依地區)
應用程式層 DDoS 攻擊的目標國家/地區
依我們客戶的帳單地址分組攻擊,可協助我們瞭解哪些國家/地區最常受到攻擊。第四季度,在受 Cloudflare 保護的格魯吉亞 HTTP 應用程式的所有流量中,超過 42% 為 DDoS 攻擊流量。
位列第二的是總部位於貝里斯的公司,近三分之一的流量為 DDoS 攻擊,然後是位列第三的聖馬利諾,DDoS 攻擊流量佔比略低於 20%。
2022 年第四季度 HTTP DDoS 攻擊的主要目標國家/地區
應用程式層 DDoS 攻擊的來源
在深入探討之前快速提醒一下。如果發現一個國家/地區是 DDoS 攻擊的主要來源,並不一定意味著就是該國家/地區發起的這些攻擊。通常來說,DDoS 攻擊的攻擊者會在遠端發起攻擊,以試圖隱藏其真實的位置。主要來源國家/地區通常表示有機器人網路節點從該國家/地區內運作,可能是遭劫持的伺服器或 IoT 裝置。
第四季度,在源於利比亞的所有 HTTP 流量中,將近 20% 屬於 HTTP DDoS 攻擊。同樣,在源於東帝汶(澳大利亞以北的一個東南亞島國)的流量中,有 18% 是攻擊流量。此外,DDoS 攻擊流量在源於英屬維京群島的所有流量中佔 17%,在源於阿富汗的所有流量中佔 14%。
2022 年第四季度 HTTP DDoS 攻擊的主要來源國家/地區
網路層 DDoS 攻擊
應用程式層攻擊的目標是終端使用者嘗試存取的服務(本例中為 HTTP/S)所在的應用程式(OSI 模型的第 7 層),而網路層 DDoS 攻擊以網路基礎結構(例如內嵌路由器和伺服器)和網際網路連結本身為目標。
網路層 DDoS 攻擊趨勢
在網路層 DDoS 攻擊穩步增長一年後,今年第四季度(即最後一個季度),攻擊數量竟然較上一季度下降了 14%,同比下降了 13%。
過去一年間網路層 DDoS 攻擊季度分佈
現在,我們來更深入地瞭解各種攻擊屬性,例如,攻擊巨流量速率、持續時間、攻擊手段和新興威脅。
DDoS 攻擊速率雖然絕大多數攻擊持續時間相對較短,規模相對較小,但在本季度,我們確實看到持續時間更長且規模更大的攻擊數量達到了峰值。速率超過 100 Gbps 的巨流量網路層 DDoS 攻擊數量季增率為 67%。同樣,介於 1-100 Gbps 之間的攻擊數季增率為大約 20%,而介於 500 Mbps 與 1 Gbps 之間的攻擊數季增率為 108%。
2022 年第四季度 DDoS 攻擊速率季度環比變化
下面是一個在感恩節後一週發生的超過 100 Gbps 的攻擊範例。這是一起針對總部位於韓國的代管提供者發起的 1 Tbps 的 DDoS 攻擊。這起特定的攻擊是一次 ACK 洪水,持續了大約一分鐘。由於該代管提供者使用了 Magic Transit(Cloudflare 的第 3 層 DDoS 保護服務),該服務自動偵測並緩解了這起攻擊。
1 Tbps DDoS 攻擊示意圖
高流量攻擊通常旨在堵塞網際網路連線以造成阻斷服務事件,而高封包量攻擊卻試圖讓內嵌裝置當機。如果一起攻擊傳送的封包數超出您的處理能力,則伺服器和其他內嵌設備可能無法處理合法使用者流量,甚至會完全當機。
DDoS 攻擊持續時間第四季度,持續時間不足 10 分鐘的較短攻擊數量較上一季度下降了 76%,而持續時間較長的攻擊數量則有所增長。最值得注意的是,持續 1-3 小時的攻擊季增率為 349%,而持續超過三小時的攻擊數量季增率為 87%。大多數(67% 以上)攻擊持續時間為 10-20 分鐘。
2022 年第四季度 DDoS 攻擊持續時間季度環比變化
DDoS 攻擊手段攻擊手段是用於描述攻擊方法的術語。第四季度,SYN 洪水仍是攻擊者的首選方法 — 實際上,將近一半的網路層 DDoS 攻擊是 SYN 洪水。
簡而言之,SYN 洪水就是大量的 SYN 封包(開啟_同步_旗標,即位元設為 1 的 TCP 封包數)。SYN 洪水利用三向 TCP 交握(這是在伺服器和用戶端之間建立連線的方式)的可設定狀態性。
三向 TCP 交握
用戶端先傳送一個 SYN 封包,伺服器會使用一個同步確認 (SYN/ACK) 封包來回應,並等待用戶端的確認 (ACK) 封包。針對每一個連線,會分配一定數量的記憶體。在 SYN 洪水中,攻擊者可偽裝(變更)來源 IP 位址,導致伺服器使用 SYN/ACK 封包來回應偽裝 IP 位址 — 這樣最有可能忽略封包。然後,伺服器就會天真地等待從未到達的 ACK 封包來完成交握。一段時間後,伺服器會逾時並釋放那些資源。然而,鑒於大量的 SYN 封包在較短的時間內湧現,它們足以耗盡伺服器的資源,並使其無法處理合法使用者連線,甚至完全當機。
在 SYN 洪水後,位列第二的是 DNS 洪水和放大攻擊,但其佔比大幅下降,僅佔所有網路層 DDoS 攻擊的 15% 左右。位列第三的是以 UDP 為基礎的 DDoS 攻擊和洪水,佔比為 9%。
2022 年第四季度主要攻擊手段
新興 DDoS 威脅第四季度,基於 Memcached 的 DDoS 攻擊增幅最大 — 季增率為 1,338%。Memcached 是一個資料庫快取系統,可用於加速網站和網路。支援 UDP 的 Memcached 伺服器可能會被濫用,以發起放大/反射 DDoS 攻擊。在這種情況下,攻擊者會從快取系統要求內容,並將受害者的 IP 位址偽裝為 UDP 封包中的來源 IP。Memcached 回應可放大最高 51,200 倍,因此會淹沒受害者。
位列第二的是以 SNMP 為基礎的 DDoS 攻擊,季增率為 709%。簡單網路管理通訊協定 (SNMP) 是一種基於 UDP 的通訊協定,通常用於在 UDP 知名連接埠 161 上探索和管理家庭或企業網路中的印表機、交換器、路由器和防火牆等網路裝置。在 SNMP 反射攻擊中,攻擊者會將封包中的來源 IP 位址偽裝為目標,將大量 SNMP 查詢傳送給網路上的裝置,這些裝置反過來會回覆該目標的位址。來自網路上裝置的大量回應會導致目標網路受到 DDoS 攻擊。
位列第三的是以 VxWorks 為基礎的 DDoS 攻擊,季增率為 566%。VxWorks 是一種即時作業系統 (RTOS),通常用於物聯網 (IoT) 裝置等內嵌系統。它還用在網路和安全裝置中,例如,交換器、路由器和防火牆。依預設,它啟用了偵錯服務,不僅可讓任何人對那些系統執行幾乎任何作業,也可用於 DDoS 放大攻擊。這一惡意探索 (CVE-2010-2965) 早在 2010 年就已公開,正如我們所看到的,現在仍廣泛地用於產生 DDoS 攻擊。
2022 年第四季度主要新興威脅
網路層 DDoS 攻擊的目標產業
第四季度,教育管理產業在網路層 DDoS 攻擊流量中所佔百分比最高 — 在路由至該產業的所有流量中,92% 是網路層 DDoS 攻擊流量。
資訊技術和服務業以及公關和通訊業不甘落後,分別位列第二和第三,這些產業的大量流量 (~73%) 都來自網路層 DDoS 攻擊。金融、遊戲/博彩以及醫療實踐產業憑藉較大的領先優勢緊隨其後,其中大約三分之一的流量為攻擊流量。
2022 年第四季度網路層 DDoS 攻擊的主要目標產業
網路層 DDoS 攻擊的目標國家/地區
依我們客戶的帳單國家/地區將攻擊分組後,即可瞭解哪些國家/地區受到的攻擊更多。第四季度,在受 Cloudflare 保護的中國網際網路資產的流量中,網路層 DDoS 攻擊流量佔比高達 93%。
在受 Cloudflare 保護的立陶宛網際網路資產的流量中,有 87% 屬於網路層 DDoS 攻擊流量,位列第二。接下來,攻擊流量所佔百分比最高的依次為芬蘭、新加坡和台灣。
2022 年第四季度網路層 DDoS 攻擊的主要目標國家/地區
網路層 DDoS 攻擊的來源
在應用程式層,我們使用發起攻擊的 IP 位址來瞭解攻擊的來源國家/地區。這是因為在該層,無法偽裝(即變更)IP 位址。然而,在網路層,_可以_偽裝來源 IP 位址。因此,我們不依賴 IP 位址來瞭解來源,而是使用擷取攻擊封包的資料中心的位置。由於我們的網路涵蓋了全世界超過 275 個位置,因此能夠獲得準確的地理位置。
第四季度,我們在位於波扎那的資料中心擷取的流量中,超過 52% 是攻擊流量。亞塞拜然也不甘落後,超過 43% 的流量是攻擊流量,然後依次為巴拉圭、巴勒斯坦、寮國和尼泊爾。
2022 年第四季度 DDoS 攻擊流量佔比最高的主要 Cloudflare 資料中心位置
請注意:有時網際網路服務提供者可能會以不同的方式路由流量,這會讓結果產生偏差。例如,出於各種各樣的作業考量,來自中國的流量可能會經過加州。
瞭解 DDoS 威脅情勢
本季度,持續時間更長且規模更大的攻擊變得更加頻繁。攻擊持續時間全面增加,巨流量攻擊急劇上升,DDoS 勒索攻擊繼續攀升。在 2022 年聖誕節假期中,應用程式層 DDoS 攻擊的主要目標產業為航空/太空和活動服務。網路層 DDoS 攻擊目標則為遊戲/博彩、金融和教育管理公司。我們還看到主要新興威脅發生變化,以 Memcashed 基礎的 DDoS 攻擊熱度繼續攀升。
抵禦 DDoS 攻擊對各種規模的組織而言都至關重要。雖然攻擊可能由人類發起,但其執行者為機器人 — 而且為了打場勝戰,您必須利用機器人對抗機器人。請務必盡可能自動化執行偵測與緩解作業,因為只依賴人類的話,防禦者會因此屈居下風。Cloudflare 的自動化系統不斷為我們客戶偵測並緩解 DDoS 攻擊,因此他們就不必費事了。
多年來,攻擊者和雇佣攻擊者在發動 DDoS 攻擊上更加輕鬆、成本低廉且方便存取。但是,既然攻擊者變得越來越輕鬆,我們也想確保任何規模之組織的防禦者也能夠更輕鬆(並免費)地保護自身免於任何規模的 DDoS 攻擊。自 2017 年以來,我們一直免費向所有客戶提供非計量且無限制的 DDoS 保護 — 當時我們是開創此概念的先鋒。Cloudflare 的使命就是協助建置更好的網際網路,而更好的網際網路就是對每個人來說更安全、更快速且更可靠的環境 - 即使面臨 DDoS 攻擊也一樣。
報名參加 DDoS 趨勢網路研討會,以深入瞭解新興威脅以及如何防禦。