欢迎阅读 Cloudflare DDoS 威胁报告第十九版。本报告每季度发布,对 Cloudflare 网络上观察到的 DDoS 威胁形势进行深入分析。本版专注于 2024 年第三季度。
Cloudflare 网络覆盖全球超过 330 个城市,容量达到 296 TB/秒 (Tbps),被接近 20% 的网站用作反向代理。Cloudflare 拥有独特的优势,可为更广泛的互联网社区提供有价值的洞察和趋势分析。
关键洞察
2024 年第三季度 DDoS 攻击数量出现激增。期间,Cloudflare 缓解了近 600 万 DDoS 攻击,环比增长 49%,同比增长 55%。
在这 600 万次攻击中,Cloudflare 的自主 DDoS 防御系统检测并缓解了 200 多次速率超过 3 TB/秒(Tbps)和 20 亿数据包/秒(Bpps)的超大规模 DDoS 攻击。最大的攻击峰值速率达到 4.2 Tbps,仅持续了一分钟。
银行和金融服务行业受到最多 DDoS 攻击。中国是 DDoS 攻击的最大目标国家,而印度尼西亚是最大的 DDoS 攻击来源。
如要进一步了解 DDoS 攻击和其他类型的网络威胁,请访问我们的学习中心、查看 Cloudflare 博客上的往期 DDoS 威胁报告,或访问我们的互动中心 Cloudflare Radar 。对于那些有兴趣调查以上和其他互联网趋势的人,还可以使用这个免费的API 。您还可以进一步了解在准备这些报告时所使用的方法。
超大规模攻击活动
在 2024 年上半年,Cloudflare 的自主 DDoS 防御系统自动检测并缓解了 850 万次 DDoS 攻击,其中第一季度为 450 万次,第二季度为 400 万次。在第三季度,我们的系统缓解了近 600 万次 DDoS 攻击,使年初至今缓解的 DDoS 攻击总数达到 1450 万次。这相当于平均每小时约 2200 次 DDoS 攻击。
以上攻击中, Cloudflare 缓解了 200 多次超过 1 Tbps 或 1 Bpps 的超大规模网络层 DDoS 攻击。最大的攻击峰值分别为 3.8 Tbps 和 2.2 Bpps。进一步阅读以了解这些攻击以及我们的 DDoS 防御系统如何缓解这些攻击。
超大规模 DDoS 攻击随时间分布
在我们撰写这篇博客文章时,我们的系统继续检测和缓解这些大规模攻击,一个新的记录刚刚再次被打破,距离我们上次披露才过去三周。2024 年 10 月 21 日,Cloudflare 的系统自主检测并缓解了一次持续约一分钟、 4.2 Tbps 的 DDoS 攻击。
Cloudflare 系统自主缓解的 4.2 Tbps DDoS 攻击
DDoS 攻击类型和特征
在上述 600 万次 DDoS 攻击中,一半是 HTTP(应用层) DDoS 攻击,另一半是网络层 DDoS 攻击。网络层 DDoS 攻击环比增长 51%,同比增长 45%,HTTP DDoS 攻击环比增长 61%,同比增长 68%。
攻击持续时间
90% 的DDoS攻击,包括最大规模的攻击,持续时间非常短。然而,我们确实看到持续时间超过 1 小时的攻击略有增加(7%)。这些持续时间较长的攻击占所有攻击的 3%。
攻击手段
在第三季度,网络层 DDoS 攻击与 HTTP DDoS 攻击的数量相对均匀分布。在网络层 DDoS 攻击中, SYN 洪水是最主要的攻击手段,其次是 DNS 洪水攻击、 UDP 洪水、 SSDP 反射攻击和ICMP 反射攻击。
在应用层,72% 的 HTTP DDoS 攻击是由已知僵尸网络发起的,并被我们的专有启发式方法自动缓解。我们自主开发的启发式方法缓解了 72% 的 DDoS攻击这一事实显示了运营大型网络的优势。鉴于我们观察到的流量和攻击规模,我们能够针对僵尸网络设计、测试和部署强大的防御措施。
另有 13% 的 HTTP DDoS 攻击因可疑或异常的 HTTP 属性而被缓解,另外 9% 的 HTTP DDoS 攻击是由虚假浏览器或浏览器冒充者发起的。余下的 6% 为“其他攻击“,包括针对登录端点的攻击和缓存破坏攻击。
需要注意的一点是,这些攻击手段或攻击组别不一定是互相排斥的。例如,已知的僵尸网络也会伪装成浏览器,并具有可疑的 HTTP 属性,但这个细分是我们试图以有意义的方式对 HTTP DDoS 攻击进行归类。
2024 年第三季度 DDoS 攻击分布
在第三季度,我们观察到 SSDP 放大攻击与上一季度相比增长了 4000%。SSDP(简单服务发现协议)攻击是一种反射放大 DDoS 攻击,利用 UPnP(通用即插即用) 协议。攻击者将 SSDP 请求发送到脆弱 UPnP 设备(例如路由器、打印机和 IP 摄像头),并将源 IP 地址伪造为受害者的 IP 地址。这些设备以大量流量作为响应发送到受害者的 IP 地址,使受害者的基础设施不堪重负。这种放大效应允许攻击者通过很小的请求产生巨大的流量,导致受害者的服务下线。在不必要的设备上禁用 UPnP 并使用 DDoS 缓解策略有助于防御这种攻击。
SSDP 放大攻击示意图
HTTP DDoS 攻击中使用的用户代理
在发动 HTTP DDoS 攻击时,威胁行为者希望隐藏起来以避免检测。实现这一点的一种策略是伪造用户代理。如果完成,这可以让他们显示为合法的浏览器或客户端。
在第三季度,80% 的 HTTP DDoS 攻击流量冒充 Google Chrome 浏览器,这是在攻击中观察到的最常见用户代理。具体而言,Chrome 118、119、120 和 121 是最常见的版本。
第二位是没有用户代理的情况,占 HTTP DDoS 攻击流量的 9%。
第三和第四位是使用 Go-http-client 和 fasthttp 用户代理的攻击。前者是 Go 标准库中的默认 HTTP 客户端,后者是一种高性能替代方案。fasthttp 用于构建快速的 Web 应用程序,但也经常用于 DDoS 攻击和网页抓取。
DDoS 攻击使用的主要用户代理
用户代理 hackney 排在第五位。这是一个适用于 Erlang 的 HTTP 客户端库。它用于发出 HTTP 请求,在 Erlang/Elixir 生态系统中很流行。
一个有趣的用户代理出现在第六位: HITV_ST_PLATFORM 。这个用户代理似乎与智能电视或机顶盒有关。威胁行为者通常会避免使用不常见的用户代理,在网络攻击中经常使用 Chrome 用户代理就是证明。因此, HITV_ST_PLATFORM 的存在很可能表明受攻击设备确实是遭到入侵的智能电视或机顶盒。
排名第七的是 uTorrent 用户代理。该用户代理与用于下载文件的流行 BitTorrent 客户端相关。
最后,尽管 okhttp 是 Java 和 Android 应用的常用 HTTP 客户端,但其却是 DDoS 攻击中使用最少的用户代理。
HTTP 攻击属性
虽然 89% 的 HTTP DDoS 攻击流量使用了 GET 方法,它也是最常用的 HTTP 方法。因此,当我们通过将攻击请求数除以每种 HTTP 方法的总请求数来对攻击流量进行标准化时,我们看到不同的情况。
使用 DELETE 方法的所有请求中,近 12% 是 HTTP DDoS 攻击的一部分。除了 DELETE 之外,我们看到 HEAD、PATCH 和 GET 是 DDoS 攻击请求中最常用的方法。
虽然 80% 的 DDoS 攻击请求通过 HTTP/2 发出,19% 通过 HTTP/1.1 发出,但按版本根据总流量标准化后,它们所占比例要小得多。如果我们将按版本统计的攻击请求占所有请求的比例标准化,我们会看到截然不同的情况。流向非标准或错误标记的“HTTP/1.2”版本的流量中,超过一半是恶意的,是 DDoS 攻击的一部分。需要注意的是,“HTTP/1.2” 并不是该协议的正式版本。
绝大多数(接近 94%) HTTP DDoS 攻击实际上是使用 HTTPS 进行加密的。
DDoS 攻击的目标
受攻击最多的国家/地区
中国是 2024 年第三季度受攻击最多的地区。阿拉伯联合酋长国排名第二,中国香港排名第三,紧随其后的是新加坡、德国和巴西。
加拿大排名第七,其后是韩国、美国,以及排名第 10 的台湾地区。
受攻击最多的行业
在 2024 年第三季度,银行和金融服务业是受到最多 DDoS 攻击的行业。位居第二的是信息技术和服务,其后是电信、服务提供商和运营商。
紧随其后分别是加密货币、互联网、泛娱乐/娱乐场和游戏。十大目标行业的最后几个分别是消费电子、建筑与土木工程以及零售。
DDoS 攻击的来源
威胁行为者
几年来,我们一直在对遭受 DDoS 攻击的客户进行调查。攻击调查涵盖各种因素,例如攻击的性质和和威胁行为者。对于威胁行为者,80% 的受访者表示不知道是谁攻击了他们,但 20% 的受访者表示知道。其中,32% 的受访者表示威胁行为者是勒索者。另有 25% 的受访者表示,他们受到了竞争对手的攻击,21% 的受访者表示心怀不满的客户或用户是幕后黑手。14% 的受访者表示,这些攻击是由国家或政府支持的组织发动的。最后,7% 的受访者表示,他们错误地攻击了自己。自我 DDoS 攻击的一个例子是,IoT 设备固件更新后,所有设备在同一时间回传数据 ,导致流量泛滥。
主要威胁行为者的分布
勒索者是最常见的威胁行为者,而总体上,勒索 DDoS 攻击报告数量环比减少了 42%,但同比增长了 17%。7% 的受访者报称遭到勒索 DDoS 攻击或被攻击者威胁。然而,在 8 月,这一数字上升到 10%——也就是说每十个中就有一个。
勒索 DDoS 攻击的季度分布
DDoS 攻击的主要来源
印度尼西亚是 2024 年第三季度的最大 DDoS 攻击来源地。荷兰是第二大来源,其后是德国、阿根廷和哥伦比亚。
接下来的五个最大来源包括新加坡、中国香港、俄罗斯、芬兰和乌克兰。
主要 DDoS 攻击来源网络
对于运营自有网络和基础设施的服务提供商,可能很难识别谁在使用其基础设施进行恶意用途,例如产生 DDoS 攻击。因此,我们向网络运营商提供免费的威胁情报源。该情报源向服务提供商有关其网络中参与后续 DDoS 攻击的 IP 地址相关信息。
在这方面,总部位于德国的 IT 提供商 Hetzner (AS24940) 是 2024 年第三季度最大的 HTTP DDoS 攻击来源。2022 年被 Akamai 收购的云计算平台 Linode (AS63949) 是 HTTP DDoS 攻击的第二大来源。位于佛罗里达州的服务提供商Vultr (AS64515)排名第三。
另一家德国 IT 提供商Netcup (AS197540) 排名第四。Google Cloud Platform (AS15169) 紧随其后,排名第五。DigitalOcean (AS14061) 排第六位,其后是法国提供商 OVH (AS16276) 、 Stark Industries (AS44477) 、 Amazon Web Services (AS16509) 和 Microsoft (AS8075) 。
2024 年第三季度 HTTP DDoS 攻击的最大来源网络
关键要点
该季度期间,我们观察到超大容量 DDoS 攻击空前激增,峰值达到 3.8 Tbps 和 2.2 Bpps。这与去年同期趋势相似,当时 HTTP/2 Rapid Reset 活动中的应用层攻击峰值超过了 2 亿次请求/秒(Mrps)。这些大规模攻击能够压垮互联网资产,特别是那些依赖容量有限的云服务或本地解决方案的互联网资产。
在地缘政治紧张局势和全球事件的推动下,越来越多强大的僵尸网络被使用,扩大了面临风险的组织范围——其中许多过去并不被认为是 DDoS 攻击的主要目标。不幸的是,太多组织在攻击已经造成重大损害后才被动地部署 DDoS 防护。
我们的观察证实,如果企业拥有充分准备、全面的安全策略,在抵御这些网络威胁时的韧性就会强大得多。Cloudflare 致力于保护您的互联网存在。通过积极投资于自动化防御系统和强大的安全产品组合,我们确保积极主动地防范当前和新兴威胁——让您高枕无忧。