4,2 Tbps de pacotes ruins e muito mais: relatório de DDoS do terceiro trimestre da Cloudflare

Boas-vindas à décima oitava edição do Relatório sobre ameaças DDoS da Cloudflare. Lançados trimestralmente, esses relatórios fornecem uma análise aprofundada do cenário de ameaças de DDoS conforme observado em toda a rede da Cloudflare. Esta edição se concentra no terceiro trimestre de 2024.

Com uma rede de 296 Terabits por segundo (Tbps) localizada em mais de 330 cidades em todo o mundo, a Cloudflare é usada como proxy reverso por aproximadamente 20% de todos os sites. A Cloudflare detém um ponto de vantagem exclusivo para fornecer insights e tendências valiosas para a comunidade mais ampla da internet.

• O número de ataques DDoS aumentou no terceiro trimestre de 2024. A Cloudflare mitigou quase 6 milhões de ataques DDoS, representando um aumento de 49% no trimestre e 55% em relação ao ano anterior.

• Desses 6 milhões, os sistemas autônomos de defesa contra DDoS da Cloudflare detectaram e mitigaram mais de 200 ataques DDoS hipervolumétricos que excedem as taxas de 3 terabits por segundo (Tbps) e 2 bilhões de pacotes por segundo (Bpps). O maior ataque atingiu um pico de 4,2 Tbps e durou apenas um minuto.

• O setor bancário e de serviços financeiros foi o que mais sofreu ataques DDoS . A China foi o país mais visado por ataques DDoS e a Indonésia foi a maior fonte de ataques DDoS .

Para saber mais sobre ataques DDoS e outros tipos de ameaças cibernéticas, visite nosso Centro de aprendizagem, acesse relatórios anteriores sobre ameaças de DDoS no blog da Cloudflare ou visite nosso hub interativo, Cloudflare Radar. Há também uma API gratuita para os interessados em investigar essas e outras tendências da internet . Você também pode saber mais sobre as metodologias utilizadas na preparação desses relatórios.

No primeiro semestre de 2024, os sistemas autônomos de defesa contra DDoS da Cloudflare detectaram e mitigaram automaticamente 8,5 milhões de ataques DDoS: 4,5 milhões no primeiro trimestre e 4 milhões no segundo trimestre. No terceiro trimestre, nossos sistemas mitigaram quase 6 milhões de ataques DDoS, totalizando 14,5 milhões de ataques DDoS no acumulado do ano. Isso é uma média de cerca de 2.200 ataques DDoS por hora.

Desses ataques, a Cloudflare mitigou mais de 200 ataques DDoS hipervolumétricos na camada de rede que excederam 1 Tbps ou 1 Bpps. Os maiores ataques atingiram um pico de 3,8 Tbps e 2,2 Bpps. Leia mais sobre esses ataques e como nossos sistemas de defesa contra DDoS os mitigaram de forma autônoma.

^{Distribuição de ataques DDoS hipervolumétricos ao longo do tempo}

Enquanto escrevemos este post no blog, nossos sistemas continuavam a detectar e mitigar esses ataques gigantescos e um novo recorde acaba de ser quebrado, apenas três semanas após a nossa última divulgação. Em 21 de outubro de 2024, os sistemas da Cloudflare detectaram e mitigaram de forma autônoma um ataque DDoS de 4,2 Tbps que durou cerca de um minuto.

^{Ataque DDoS de 4,2 Tbps mitigado de forma autônoma pela Cloudflare}

Dos 6 milhões de ataques DDoS , metade foram ataques DDoS por HTTP (camada de aplicação) e metade foram DDoS na camada de rede. Os ataques DDoS na camada de rede aumentaram 51% no trimestre e 45% em relação ao ano anterior, e os ataques DDoS por HTTP aumentaram 61% no trimestre e 68% no ano.

90% dos ataques DDoS, incluindo o maior dos ataques, tiveram vida muito curta. Vimos, no entanto, um leve aumento (7%) em ataques com duração superior a uma hora. Esses ataques mais longos representaram 3% de todos os ataques.

No terceiro trimestre, vimos uma distribuição uniforme no número de ataques DDoS na camada de rede em comparação com os ataques DDoS por HTTP. Dos ataques DDoS na camada de rede, a inundação SYN foi o principal vetor de ataque, seguida pelos ataques de inundação de DNS, inundações de UDP, ataques de reflexão SSDP e ataques de reflexão ICMP.

Na camada de aplicação, 72% dos ataques DDoS por HTTP foram lançados por botnets conhecidas e mitigados automaticamente por nossas heurísticas proprietárias. O fato de 72% dos ataques DDoS terem sido mitigados por nossas heurísticas desenvolvidas internamente mostra as vantagens de operar uma grande rede. O volume de tráfego e de ataques que vemos nos permite criar, testar e implantar defesas robustas contra botnets.

Outros 13% dos ataques DDoS por HTTP foram mitigados devido aos seus atributos HTTP suspeitos ou incomuns, e outros 9% foram ataques DDoS por HTTP lançados por navegadores falsos ou imitadores de navegadores. Os 6% restantes de "Outros" incluem ataques que visaram endpoints de login e ataques de cache busting.

Algo a ser observado é que esses vetores de ataque, ou grupos de ataque, não são necessariamente exclusivos. Por exemplo, botnets conhecidas também se fazem passar por navegadores e têm atributos HTTP suspeitos, mas este detalhamento é nossa tentativa de categorizar os ataques DDoS por HTTP de uma forma significativa.

^{Distribuição de ataques DDoS no terceiro trimestre de 2024}

No terceiro trimestre, observamos um aumento de 4.000% nos ataques de amplificação SSDP em comparação com o trimestre anterior. Um ataque SSDP (Simple Service Discovery Protocol) é um tipo de ataque DDoS de reflexão e amplificação que explora o protocolo UPnP (Universal Plug and Play). Os invasores enviam solicitações de SSDP para dispositivos vulneráveis habilitados para UPnP, como roteadores, impressoras e câmeras habilitadas para IP, e falsificam o endereço de IP de origem para ser o endereço de IP da vítima. Estes dispositivos respondem ao endereço de IP da vítima com grandes quantidades de tráfego, sobrecarregando a infraestrutura da vítima. O efeito de amplificação permite que os invasores gerem tráfego massivo a partir de pequenas solicitações, fazendo com que o serviço da vítima fique off-line. Desativar o UPnP em dispositivos desnecessários e usar estratégias de mitigação de DDoS pode ajudar na defensa contra esse ataque.

^{Ilustração de um ataque de amplificação SSDP}

Ao lançar ataques DDoS por HTTP, os agentes de ameaça querem se misturar para evitar a detecção. Uma tática para conseguir isso é falsificar o agente de usuário. Isso permite que ele apareça como um navegador ou cliente legítimo, se feito com sucesso.

No terceiro trimestre, 80% do tráfego de ataques DDoS por HTTP se fizeram passar pelo navegador Google Chrome , que foi o agente de usuário mais comum observado nos ataques. Mais especificamente, as versões mais comuns foram as Chrome 118, 119, 120 e 121.

Em segundo lugar, nenhum agente de usuário foi visto em 9% do tráfego de ataques DDoS por HTTP.

Em terceiro e quarto lugares, foram observados ataques usando agentes de usuário Go-http-client e fasthttp . O primeiro é o cliente HTTP padrão na biblioteca padrão do Go e o segundo é uma alternativa de alto desempenho. O fasthttp é usado para construir aplicativos web rápidos, mas também é frequentemente usado para ataques DDoS e raspagem da web .

^{Principais agentes de usuários usados em ataques DDoS}

O agente de usuário hackney ficou em quinto lugar. É uma biblioteca de cliente HTTP para Erlang. É usado para fazer solicitações HTTP e é popular em ecossistemas Erlang/Elixir.

Um agente de usuário interessante aparece em sexto lugar: HITV_ST_PLATFORM. Este agente de usuário parece estar associado a TVs inteligentes ou decodificadores. Os agentes de ameaças normalmente evitam o uso de agentes de usuários incomuns, conforme evidenciado pelo uso frequente de agentes de usuários do Chrome em ataques cibernéticos. Portanto, a presença de HITV_ST_PLATFORM provavelmente sugere que os dispositivos em questão são, de fato, TVs inteligentes ou decodificadores comprometidos.

Em sétimo lugar, vimos o agente de usuário uTorrent sendo usado em ataques. Esse agente de usuário está associado a um cliente BitTorrent popular usado para baixar arquivos.

Por fim, o okhttp foi o agente de usuário menos comum nos ataques DDoS , apesar de sua popularidade como cliente HTTP para aplicativos Java e Android. 

Embora 89% do tráfego de ataques DDoS por HTTP tenha usado o método GET, esse também é o método HTTP mais comumente usado. Portanto, quando normalizamos o tráfego de ataque dividindo o número de solicitações de ataque pelo total de solicitações por método HTTP, obtemos uma imagem diferente.

Quase 12% de todas as solicitações que usaram o método DELETE foram parte de um ataque DDoS por HTTP. Após DELETE, vemos que HEAD, PATCH e GET são os métodos mais usados em solicitações de ataques DDoS .

Embora 80% das solicitações de ataques DDoS tenham sido por HTTP/2 e 19% por HTTP/1.1, elas representaram uma parte muito menor quando normalizado pelo tráfego total por versão. Quando normalizamos as solicitações de ataque por todas as solicitações por versão, vemos uma imagem diferente. Mais da metade do tráfego para a versão não padrão ou rotulada incorretamente como “HTTP/1.2” era malicioso e fazia parte de ataques DDoS. É importante observar que "HTTP/1.2" não é uma versão oficial do protocolo.

^{A grande maioria dos ataques DDoS por HTTP são realmente criptografados, quase 94%, usando HTTPS.}

A China foi o local mais atacado no terceiro trimestre de 2024. Os Emirados Árabes Unidos ficaram em segundo lugar, com Hong Kong em terceiro lugar, seguidos de perto por Cingapura, Alemanha e Brasil.

O Canadá ficou em sétimo, seguido pela Coreia do Sul, pelos Estados Unidos e por Taiwan no décimo lugar.

No terceiro trimestre de 2024, serviços bancários e financeiros foram os mais visados pelos ataques DDoS . Tecnologia da informação e serviços ficou em segundo lugar, seguido pelo setor de Telecomunicações, Provedores de Serviços e Operadoras.

Criptomoedas, internet, apostas e cassinos, e jogos seguiram de perto como os próximos setores mais visados. Os setores de eletrônicos de consumo, construção e engenharia civil, e varejo completaram os dez setores mais atacados.

Fazemos uma pesquisa com nossos clientes que receberam ataques DDoS há alguns anos. A pesquisa abrange vários fatores, como a natureza do ataque e os agentes da ameaça. No caso dos agentes de ameaça, enquanto 80% dos entrevistados disseram que não sabem quem os atacou, 20% disseram que sim. Desses, 32% disseram que os agentes das ameaça eram extorsionários. Outros 25% disseram que um concorrente os atacou e outros 21% disseram que um cliente ou usuário insatisfeito estava por trás do ataque. 14% dos entrevistados disseram que os ataques foram realizados por um estado ou um grupo patrocinado por um estado. Por fim, 7% disseram que eles próprios se atacaram por engano. Um exemplo de quando ocorre um ataque DDoS é uma atualização pós-firmware para dispositivos de IoT que faz com que todos os dispositivos liguem para casa ao mesmo tempo, resultando em uma inundação de tráfego.

^{Distribuição dos principais agentes de ameaça}

Embora os extorsionários tenham sido os agentes de ameaça mais comuns, em geral, os relatos de ataques DDoS com pedido de resgate diminuíram 42% no trimestre, mas aumentaram 17% em relação ao ano anterior. Um total de 7% dos entrevistados relataram ter sido submetidos a um ataque DDoS com pedido de resgate ou ameaçados pelo invasor. Em agosto, porém, esse número aumentou para 10%, ou seja, um em cada dez.

^{Relatórios de ataques DDoS com pedido de resgate por trimestre}

A Indonésia foi a maior origem de ataques DDoS no terceiro trimestre de 2024. Os Países Baixos foram a segunda maior origem, seguidos pela Alemanha, Argentina e Colômbia.

As próximas cinco maiores origens incluem Cingapura, Hong Kong, Rússia, Finlândia e Ucrânia.

Para provedores de serviços que operam suas próprias redes e infraestrutura, pode ser difícil identificar quem está usando sua infraestrutura para intenções maliciosas, como gerar ataques DDoS. Por esse motivo, fornecemos um feed de inteligência contra ameaças gratuito para operadoras de rede. Esse feed fornece aos provedores de serviços informações sobre endereços de IP de dentro de suas redes que vimos participar de ataques DDoS subsequentes.

Nessa observação, a Hetzner (AS24940), uma provedora de TI com sede na Alemanha, foi a maior origem de ataques DDoS por HTTP no terceiro trimestre de 2024. A Linode (AS63949), uma plataforma de computação em nuvem adquirida pela Akamai em 2022, foi a segunda maior fonte de ataques DDoS por HTTP. A Vultr (AS64515), uma provedora de serviços com sede na Flórida, ficou em terceiro lugar.

A Netcup (AS197540), outra provedora de TI com sede na Alemanha, ficou em quarto lugar. A Google Cloud Platform (AS15169) seguiu em quinto lugar. A DigitalOcean (AS14061) ficou em sexto lugar, seguida pela fornecedora francesa OVH (AS16276), Stark Industries (AS44477), Amazon Web Services (AS16509) e Microsoft (AS8075).

^{Redes que foram as maiores origens de ataques DDoS por HTTP no terceiro trimestre de 2024}

Neste trimestre, observamos um aumento sem precedentes nos ataques DDoS hipervolumétricos, com picos atingindo 3,8 Tbps e 2,2 Bpps. Isso reflete uma tendência semelhante do mesmo período do ano passado, quando os ataques à camada de aplicação na campanha HTTP/2 Rapid Reset excederam 200 milhões de solicitações por segundo (Mrps). Esses ataques massivos são capazes de sobrecarregar ativos da internet, especialmente aqueles que dependem de serviços em nuvem com capacidade limitada ou de soluções no local .

O uso crescente de botnets poderosas, alimentadas por tensões geopolíticas e eventos globais, está ampliando o espectro de organizações em risco, muitas das quais tradicionalmente não eram consideradas os principais alvos de ataques DDoS. Infelizmente, muitas organizações implantam proteções contra DDoS reativamente depois que um ataque já causou danos significativos.

Nossas observações confirmam que as empresas com estratégias de segurança abrangentes e bem preparadas são muito mais resilientes contra essas ameaças cibernéticas. Na Cloudflare, estamos empenhados em proteger sua presença na internet. Por meio de investimentos significativos em nossas defesas automatizadas e de um portfólio robusto de produtos de segurança, garantimos proteção proativa contra ameaças atuais e emergentes, para que você não precise fazer isso.