4.2 Tbps 的攻击以及丰富内容，尽在 Cloudflare 第三季度 DDoS 报告

欢迎阅读 Cloudflare DDoS 威胁报告第十九版。本报告每季度发布，对 Cloudflare 网络上观察到的 DDoS 威胁形势进行深入分析。本版专注于 2024 年第三季度。

Cloudflare 网络覆盖全球超过 330 个城市，容量达到 296 TB/秒 (Tbps)，被接近 20% 的网站用作反向代理。Cloudflare 拥有独特的优势，可为更广泛的互联网社区提供有价值的洞察和趋势分析。

• 2024 年第三季度 DDoS 攻击数量出现激增。期间，Cloudflare 缓解了近 600 万 DDoS 攻击，环比增长 49%，同比增长 55%。

• 在这 600 万次攻击中，Cloudflare 的自主 DDoS 防御系统检测并缓解了 200 多次速率超过 3 TB/秒（Tbps）和 20 亿数据包/秒（Bpps）的超大规模 DDoS 攻击。最大的攻击峰值速率达到 4.2 Tbps，仅持续了一分钟。

• 银行和金融服务行业受到最多 DDoS 攻击。中国是 DDoS 攻击的最大目标国家，而印度尼西亚是最大的 DDoS 攻击来源。

如要进一步了解 DDoS 攻击和其他类型的网络威胁，请访问我们的学习中心、查看 Cloudflare 博客上的往期 DDoS 威胁报告，或访问我们的互动中心 Cloudflare Radar 。对于那些有兴趣调查以上和其他互联网趋势的人，还可以使用这个免费的API 。您还可以进一步了解在准备这些报告时所使用的方法。

在 2024 年上半年，Cloudflare 的自主 DDoS 防御系统自动检测并缓解了 850 万次 DDoS 攻击，其中第一季度为 450 万次，第二季度为 400 万次。在第三季度，我们的系统缓解了近 600 万次 DDoS 攻击，使年初至今缓解的 DDoS 攻击总数达到 1450 万次。这相当于平均每小时约 2200 次 DDoS 攻击。

以上攻击中， Cloudflare 缓解了 200 多次超过 1 Tbps 或 1 Bpps 的超大规模网络层 DDoS 攻击。最大的攻击峰值分别为 3.8 Tbps 和 2.2 Bpps。进一步阅读以了解这些攻击以及我们的 DDoS 防御系统如何缓解这些攻击。

^{超大规模 DDoS 攻击随时间分布}

在我们撰写这篇博客文章时，我们的系统继续检测和缓解这些大规模攻击，一个新的记录刚刚再次被打破，距离我们上次披露才过去三周。2024 年 10 月 21 日，Cloudflare 的系统自主检测并缓解了一次持续约一分钟、 4.2 Tbps 的 DDoS 攻击。

^{Cloudflare 系统自主缓解的 4.2 Tbps DDoS 攻击}

在上述 600 万次 DDoS 攻击中，一半是 HTTP（应用层） DDoS 攻击，另一半是网络层 DDoS 攻击。网络层 DDoS 攻击环比增长 51%，同比增长 45%，HTTP DDoS 攻击环比增长 61%，同比增长 68%。

90% 的DDoS攻击，包括最大规模的攻击，持续时间非常短。然而，我们确实看到持续时间超过 1 小时的攻击略有增加（7％）。这些持续时间较长的攻击占所有攻击的 3%。

在第三季度，网络层 DDoS 攻击与 HTTP DDoS 攻击的数量相对均匀分布。在网络层 DDoS 攻击中， SYN 洪水是最主要的攻击手段，其次是 DNS 洪水攻击、 UDP 洪水、 SSDP 反射攻击和ICMP 反射攻击。

在应用层，72% 的 HTTP DDoS 攻击是由已知僵尸网络发起的，并被我们的专有启发式方法自动缓解。我们自主开发的启发式方法缓解了 72% 的 DDoS攻击这一事实显示了运营大型网络的优势。鉴于我们观察到的流量和攻击规模，我们能够针对僵尸网络设计、测试和部署强大的防御措施。

另有 13% 的 HTTP DDoS 攻击因可疑或异常的 HTTP 属性而被缓解，另外 9% 的 HTTP DDoS 攻击是由虚假浏览器或浏览器冒充者发起的。余下的 6% 为“其他攻击“，包括针对登录端点的攻击和缓存破坏攻击。

需要注意的一点是，这些攻击手段或攻击组别不一定是互相排斥的。例如，已知的僵尸网络也会伪装成浏览器，并具有可疑的 HTTP 属性，但这个细分是我们试图以有意义的方式对 HTTP DDoS 攻击进行归类。

^{2024 年第三季度 DDoS 攻击分布}

在第三季度，我们观察到 SSDP 放大攻击与上一季度相比增长了 4000%。SSDP（简单服务发现协议）攻击是一种反射放大 DDoS 攻击，利用 UPnP（通用即插即用） 协议。攻击者将 SSDP 请求发送到脆弱 UPnP 设备（例如路由器、打印机和 IP 摄像头），并将源 IP 地址伪造为受害者的 IP 地址。这些设备以大量流量作为响应发送到受害者的 IP 地址，使受害者的基础设施不堪重负。这种放大效应允许攻击者通过很小的请求产生巨大的流量，导致受害者的服务下线。在不必要的设备上禁用 UPnP 并使用 DDoS 缓解策略有助于防御这种攻击。

^{SSDP 放大攻击示意图}

在发动 HTTP DDoS 攻击时，威胁行为者希望隐藏起来以避免检测。实现这一点的一种策略是伪造用户代理。如果完成，这可以让他们显示为合法的浏览器或客户端。

在第三季度，80% 的 HTTP DDoS 攻击流量冒充 Google Chrome 浏览器，这是在攻击中观察到的最常见用户代理。具体而言，Chrome 118、119、120 和 121 是最常见的版本。

第二位是没有用户代理的情况，占 HTTP DDoS 攻击流量的 9%。

第三和第四位是使用 Go-http-client 和 fasthttp 用户代理的攻击。前者是 Go 标准库中的默认 HTTP 客户端，后者是一种高性能替代方案。fasthttp 用于构建快速的 Web 应用程序，但也经常用于 DDoS 攻击和网页抓取。

^{DDoS 攻击使用的主要用户代理}

用户代理 hackney 排在第五位。这是一个适用于 Erlang 的 HTTP 客户端库。它用于发出 HTTP 请求，在 Erlang/Elixir 生态系统中很流行。

一个有趣的用户代理出现在第六位： HITV_ST_PLATFORM 。这个用户代理似乎与智能电视或机顶盒有关。威胁行为者通常会避免使用不常见的用户代理，在网络攻击中经常使用 Chrome 用户代理就是证明。因此， HITV_ST_PLATFORM 的存在很可能表明受攻击设备确实是遭到入侵的智能电视或机顶盒。

排名第七的是 uTorrent 用户代理。该用户代理与用于下载文件的流行 BitTorrent 客户端相关。

最后，尽管 okhttp 是 Java 和 Android 应用的常用 HTTP 客户端，但其却是 DDoS 攻击中使用最少的用户代理。

虽然 89% 的 HTTP DDoS 攻击流量使用了 GET 方法，它也是最常用的 HTTP 方法。因此，当我们通过将攻击请求数除以每种 HTTP 方法的总请求数来对攻击流量进行标准化时，我们看到不同的情况。

使用 DELETE 方法的所有请求中，近 12% 是 HTTP DDoS 攻击的一部分。除了 DELETE 之外，我们看到 HEAD、PATCH 和 GET 是 DDoS 攻击请求中最常用的方法。

虽然 80% 的 DDoS 攻击请求通过 HTTP/2 发出，19% 通过 HTTP/1.1 发出，但按版本根据总流量标准化后，它们所占比例要小得多。如果我们将按版本统计的攻击请求占所有请求的比例标准化，我们会看到截然不同的情况。流向非标准或错误标记的“HTTP/1.2”版本的流量中，超过一半是恶意的，是 DDoS 攻击的一部分。需要注意的是，“HTTP/1.2” 并不是该协议的正式版本。

^{绝大多数（接近 94%） HTTP DDoS 攻击实际上是使用 HTTPS 进行加密的。}

中国是 2024 年第三季度受攻击最多的地区。阿拉伯联合酋长国排名第二，中国香港排名第三，紧随其后的是新加坡、德国和巴西。

加拿大排名第七，其后是韩国、美国，以及排名第 10 的台湾地区。

在 2024 年第三季度，银行和金融服务业是受到最多 DDoS 攻击的行业。位居第二的是信息技术和服务，其后是电信、服务提供商和运营商。

紧随其后分别是加密货币、互联网、泛娱乐/娱乐场和游戏。十大目标行业的最后几个分别是消费电子、建筑与土木工程以及零售。

几年来，我们一直在对遭受 DDoS 攻击的客户进行调查。攻击调查涵盖各种因素，例如攻击的性质和和威胁行为者。对于威胁行为者，80% 的受访者表示不知道是谁攻击了他们，但 20% 的受访者表示知道。其中，32% 的受访者表示威胁行为者是勒索者。另有 25% 的受访者表示，他们受到了竞争对手的攻击，21% 的受访者表示心怀不满的客户或用户是幕后黑手。14% 的受访者表示，这些攻击是由国家或政府支持的组织发动的。最后，7% 的受访者表示，他们错误地攻击了自己。自我 DDoS 攻击的一个例子是，IoT 设备固件更新后，所有设备在同一时间回传数据 ，导致流量泛滥。

^{主要威胁行为者的分布}

勒索者是最常见的威胁行为者，而总体上，勒索 DDoS 攻击报告数量环比减少了 42%，但同比增长了 17%。7% 的受访者报称遭到勒索 DDoS 攻击或被攻击者威胁。然而，在 8 月，这一数字上升到 10%——也就是说每十个中就有一个。

^{勒索 DDoS 攻击的季度分布}

印度尼西亚是 2024 年第三季度的最大 DDoS 攻击来源地。荷兰是第二大来源，其后是德国、阿根廷和哥伦比亚。

接下来的五个最大来源包括新加坡、中国香港、俄罗斯、芬兰和乌克兰。

对于运营自有网络和基础设施的服务提供商，可能很难识别谁在使用其基础设施进行恶意用途，例如产生 DDoS 攻击。因此，我们向网络运营商提供免费的威胁情报源。该情报源向服务提供商有关其网络中参与后续 DDoS 攻击的 IP 地址相关信息。

在这方面，总部位于德国的 IT 提供商 Hetzner (AS24940) 是 2024 年第三季度最大的 HTTP DDoS 攻击来源。2022 年被 Akamai 收购的云计算平台 Linode （AS63949） 是 HTTP DDoS 攻击的第二大来源。位于佛罗里达州的服务提供商Vultr (AS64515)排名第三。

另一家德国 IT 提供商Netcup (AS197540) 排名第四。Google Cloud Platform (AS15169) 紧随其后，排名第五。DigitalOcean (AS14061) 排第六位，其后是法国提供商 OVH (AS16276) 、 Stark Industries (AS44477) 、 Amazon Web Services (AS16509) 和 Microsoft (AS8075) 。

^{2024 年第三季度 HTTP DDoS 攻击的最大来源网络}

该季度期间，我们观察到超大容量 DDoS 攻击空前激增，峰值达到 3.8 Tbps 和 2.2 Bpps。这与去年同期趋势相似，当时 HTTP/2 Rapid Reset 活动中的应用层攻击峰值超过了 2 亿次请求/秒（Mrps）。这些大规模攻击能够压垮互联网资产，特别是那些依赖容量有限的云服务或本地解决方案的互联网资产。

在地缘政治紧张局势和全球事件的推动下，越来越多强大的僵尸网络被使用，扩大了面临风险的组织范围——其中许多过去并不被认为是 DDoS 攻击的主要目标。不幸的是，太多组织在攻击已经造成重大损害后才被动地部署 DDoS 防护。

我们的观察证实，如果企业拥有充分准备、全面的安全策略，在抵御这些网络威胁时的韧性就会强大得多。Cloudflare 致力于保护您的互联网存在。通过积极投资于自动化防御系统和强大的安全产品组合，我们确保积极主动地防范当前和新兴威胁——让您高枕无忧。