訂閱以接收新文章的通知:

2024 年第一季 DDoS 威脅報告

2024-04-16

閱讀時間:9 分鐘
本貼文還提供以下語言版本:EnglishFrançaisDeutsch日本語한국어PortuguêsEspañol简体中文

歡迎閱讀第 17 版 Cloudflare DDoS 威脅報告。本次報告涵蓋 DDoS 威脅情勢以及 2024 年第一季從 Cloudflare 網路中觀察到的主要發現。

DDoS threat report for 2024 Q1

什麼是 DDoS 攻擊?

不過首先,讓我們快速回顧一下。DDoS 攻擊是分散式阻斷服務攻擊的縮寫,這是一種網路攻擊,旨在破壞或中斷網站或行動應用程式等網際網路服務,讓使用者無法使用它們。DDoS 攻擊通常透過向受害者的伺服器注入超出其處理能力的流量來完成。

若要進一步瞭解 DDoS 攻擊和其他類型的攻擊,請造訪我們的學習中心

存取以前的報告

溫馨提示,您可以在 Cloudflare 部落格上存取先前版本的 DDoS 威脅報告,也可以在我們的互動中心 Cloudflare Radar 上找到這些報告。在 Radar 上,您可以找到全球網際網路流量、攻擊以及技術趨勢和見解,並具有深入剖析和篩選功能,因此您可以放大特定國家、產業和網路。還有一個免費的 API,允許學者、資料偵探和其他 Web 愛好者調查全球網際網路趨勢。

要瞭解我們準備此報告的過程,請參閱我們的方法

2024 年第一季主要見解

2024 年第一季的主要見解包括:

  • 2024 年從一開始便令人震驚。Cloudflare 的防禦系統在第一季自動緩解了 450 萬次 DDoS 攻擊,比去年同期 (YoY) 增長了 50%。

  • DNS 型 DDoS 攻擊較去年同期增長 80%,且仍是最主要的攻擊手段。

  • 在瑞典加入北約聯盟後,針對瑞典的 DDoS 攻擊激增了 466%,與芬蘭 2023 年加入北約期間觀察到的模式類似。

2024 年從一開始便令人震驚

2024 年第一季剛剛結束,我們的自動化防禦已經緩解了 450 萬次 DDoS 攻擊,這一數量相當於我們 2023 年緩解的所有 DDoS 攻擊的 32%。

按攻擊類型進行細分,HTTP DDoS 攻擊較去年同期增長 93%,較上一季增長 51%。網路層 DDoS 攻擊也稱為第 3/4 層 DDoS 攻擊,較去年同期增長 28%,較上一季增長 5%。

2024 年第一季:Cloudflare 緩解了 450 萬次 DDoS 攻擊

在比較 HTTP DDoS 攻擊和第 3/4 層 DDoS 攻擊的總數時,我們可以看到,總體而言,2024 年第一季的數量較去年同期增長 50%,較上一季增長 18%。

依年份和季劃分的 DDoS 攻擊分佈情況

DDoS attacks by year and quarter

總體而言,第一季我們的系統緩解了 10.5 萬億個 HTTP DDoS 攻擊請求。我們的系統還緩解了超過 59 PB 的 DDoS 攻擊流量(僅在網路層上)。

在這些網路層 DDoS 攻擊中,許多攻擊的速率超過了每秒 1 TB——幾乎每週一次。2024 年迄今為止我們緩解的最大規模攻擊是由 Mirai 變體殭屍網路發起的。這次攻擊達到了 2 Tbps,針對的是由 Cloudflare Magic Transit 提供保護的一家亞洲託管服務提供者。Cloudflare 的系統自動偵測並緩解了這起攻擊。

Mirai 殭屍網路因其大規模 DDoS 攻擊而臭名昭著,其主要由受感染的物聯網裝置組成。2016 年,它以 DNS 服務提供者為目標,嚴重擾亂了美國各地的網際網路存取。差不多八年後,Mirai 攻擊仍然很常見。每 100 起 HTTP DDoS 攻擊中就有 4 起,每 100 起 L3/4 DDoS 攻擊中就有 2 起是由 Mirai 變體殭屍網路發動的。我們之所以說「變體」,是因為 Mirai 原始程式碼是公開的,多年來,原始程式碼出現了許多排列。

Mirai 殭屍網路針對一家亞洲託管服務提供者發起 2 Tbps 的 DDoS 攻擊

Mirai botnet targets Asian hosting provider with 2 Tbps DDoS attack

DNS 攻擊激增 80%

2024 年 3 月,我們推出了一款最新的 DDoS 防禦系統——Advanced DNS Protection 系統。該系統是對我們現有系統的補充,旨在防禦最複雜的 DNS 型 DDoS 攻擊。

我們決定投資這個新系統並非出於意外。DNS 型 DDoS 攻擊已成為最主要的攻擊手段,其在所有網路層攻擊中的份額持續成長。2024 年第一季,DNS 型 DDoS 攻擊佔比年增率達 80%,成長至約 54%。

依年份和季劃分的 DNS 型 DDoS 攻擊分佈情況

DNS-based DDoS attacks by year and quarter

儘管 DNS 攻擊激增,但值得注意的是,由於所有類型的 DDoS 攻擊總體都增加了,因此每種攻擊類型的份額與我們之前的 2023 年第四季報告中所見保持相同。HTTP DDoS 攻擊仍佔所有 DDoS 攻擊的 37%,DNS DDoS 攻擊佔 33%,剩下的 30% 則是所有其他類型的第 3/4 層攻擊,例如 SYN 洪水攻擊UDP 洪水攻擊

攻擊類型分佈

Attack type distribution

事實上,SYN 洪水攻擊是第二常見的第 3/4 層攻擊。第三種是 RST 洪水攻擊,這是另一種基於 TCP 的 DDoS 攻擊。UDP 洪水攻擊以 6% 的份額位居第四。

最常見的攻擊手段

Top attack vectors

在分析最常見的攻擊手段時,我們也會查看成長最大但不一定進入前十名的攻擊手段。在成長最快的攻擊手段(新興威脅)中,Jenkins 洪水攻擊的成長幅度最大,較上季成長超過 826%。

Jenkins 洪水攻擊是一種 DDoS 攻擊,它利用 Jenkins 自動化伺服器中的漏洞,特別是透過 UDP 多點傳送/廣播和 DNS 多點傳送服務。攻擊者可以向 Jenkins 伺服器上面向公眾的 UDP 連接埠傳送小型的特製請求,導致它們以不成比例的大量資料回應。這會顯著增加流量,使目標網路不堪重負並導致服務中斷。Jenkins 在 2020 年開始的後續版本中預設停用這些服務,解決了此漏洞 (CVE-2020-2100)。然而,正如我們所看到的,即使 4 年過去了,這個漏洞仍然被廣泛用來發動 DDoS 攻擊。

較上一季成長最大的攻擊手段

Attack vectors that experienced the largest growth QoQ

HTTP/2 Continuation Flood

另一個值得討論的攻擊手段是 HTTP/2 Continuation Flood。這種攻擊手段利用了研究人員 Bartek Nowotarski 於 2024 年 4 月 3 日發現並公開報告的漏洞。

HTTP/2 Continuation Flood 漏洞針對的是未正確處理 HEADERS 和多個 CONTINUATION 框的 HTTP/2 通訊協定實作。威脅行為者傳送一系列不帶 END_HEADERS 標誌的 CONTINUATION 框,從而導致潛在的伺服器問題,例如記憶體不足崩潰或 CPU 耗盡。HTTP/2 Continuation Flood 甚至允許單一機器使用 HTTP/2 中斷網站和 API,由於 HTTP 存取記錄中沒有可見的請求,因此增加了偵測難度。

此漏洞構成了潛在嚴重威脅,可比先前已知的漏洞造成更大的破壞力 HTTP/2 Rapid Reset 導致了一起歷史上最大規模的 HTTP/2 DDoS 攻擊活動。在該攻擊活動期間,有數千次超大容量 DDoS 攻擊針對 Cloudflare。這些攻擊每秒鐘有數百萬個請求。根據 Cloudflare 的記錄,這次攻擊活動的平均攻擊速率為 30M rps。大約 89 次攻擊的峰值超過 100M rps,我們看到的最大一次攻擊達到 201M rps。在我們的 2023 年第三季 DDoS 威脅報告中發布了更多相關資訊。

2023 年第三季 HTTP/2 Rapid Reset 的超流量 DDoS 攻擊活動

HTTP/2 Rapid Reset campaign of hyper-volumetric DDoS attacks in 2023 Q3

Cloudflare 的網路、其 HTTP/2 實作以及使用我們 WAF/CDN 服務的客戶不受此漏洞的影響。此外,我們目前沒有得知有任何威脅行為者在利用此漏洞。

已向受此漏洞影響的 HTTP/2 的各種實作指派了多個 CVE。卡內基美隆大學 Christopher Cullen 發布的 CERT 警報(由 Bleeping Computer 報導)列出了各種 CVE:

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Affected service CVE Details
Node.js HTTP/2 server CVE-2024-27983 Sending a few HTTP/2 frames can cause a race condition and memory leak, leading to a potential denial of service event.
Envoy's oghttp codec CVE-2024-27919 Not resetting a request when header map limits are exceeded can cause unlimited memory consumption which can potentially lead to a denial of service event.
Tempesta FW CVE-2024-2758 Its rate limits are not entirely effective against empty CONTINUATION frames flood, potentially leading to a denial of service event.
amphp/http CVE-2024-2653 It collects CONTINUATION frames in an unbounded buffer, risking an out of memory (OOM) crash if the header size limit is exceeded, potentially resulting in a denial of service event.
Go's net/http and net/http2 packages CVE-2023-45288 Allows an attacker to send an arbitrarily large set of headers, causing excessive CPU consumption, potentially leading to a denial of service event.
nghttp2 library CVE-2024-28182 Involves an implementation using nghttp2 library, which continues to receive CONTINUATION frames, potentially leading to a denial of service event without proper stream reset callback.
Apache Httpd CVE-2024-27316 A flood of CONTINUATION frames without the END_HEADERS flag set can be sent, resulting in the improper termination of requests, potentially leading to a denial of service event.
Apache Traffic Server CVE-2024-31309 HTTP/2 CONTINUATION floods can cause excessive resource consumption on the server, potentially leading to a denial of service event.
Envoy versions 1.29.2 or earlier CVE-2024-30255 Consumption of significant server resources can lead to CPU exhaustion during a flood of CONTINUATION frames, which can potentially lead to a denial of service event.

受影響的服務

CVE

Top attacked industries by HTTP DDoS attacks, by region

細節

Node.js HTTP/2 伺服器

Top attacked industries by HTTP DDoS attacks

CVE-2024-27983

傳送少量 HTTP/2 框可能會導致競爭條件和記憶體洩漏,從而導致潛在的阻斷服務事件。

Top attacked industries by L3/4 DDoS attacks

Envoy 的 oghttp 轉碼器

CVE-2024-27919

Top attacked industries by HTTP DDoS attacks (normalized)

在超過標頭對應限制的情況下,不重設要求可能會導致無限的記憶體消耗,這可能會導致阻斷服務事件。

Tempesta FW

Top attacked industries by L3/4 DDoS attacks (normalized)

CVE-2024-2758

它的速率限制對於空 CONTINUATION 框氾濫並不完全有效,可能導致阻斷服務事件。

amphp/http

CVE-2024-2653

The top sources of HTTP DDoS attacks

它將 CONTINUATION 框收集到無界緩衝區中,如果超出標頭大小限制,則存在記憶體不足 (OOM) 崩潰的風險,可能導致阻斷服務事件。

Go 的 net/http 和 net/http2 套件

CVE-2023-45288

The top sources of L3/4 DDoS attacks

允許攻擊者傳送任意大的標頭集,從而導致 CPU 消耗過多,可能導致阻斷服務事件。

nghttp2 程式庫

The top sources of HTTP DDoS attacks (normalized)

CVE-2024-28182

涉及使用 nghttp2 程式庫的實作,該程式庫會繼續接收 CONTINUATION 框,從而可能在沒有正確串流重設回呼的情況下導致阻斷服務事件。

The top sources of L3/4 DDoS attacks (normalized)

Apache Httpd

CVE-2024-27316

可能會傳送未設定 END_HEADERS 標誌的大量 CONTINUATION 框,導致請求不當終止,進而可能導致阻斷服務事件。

Top attacked countries and regions by HTTP DDoS attacks

Apache 流量伺服器

CVE-2024-31309

Top attacked countries and regions by HTTP DDoS attacks (normalized)

HTTP/2 Continuation Flood 可能會導致伺服器上的資源消耗過多,進而可能導致阻斷服務事件。

Envoy v1.29.2 或更早版本

Top attacked countries and regions by L3/4 DDoS attacks

CVE-2024-30255

大量伺服器資源的消耗可能會導致在 CONTINUATION 框氾濫期間 CPU 耗盡,進而可能導致阻斷服務事件。

Top attacked countries and regions by L3/4 DDoS attacks (normalized)

遭受攻擊最多的產業

在分析攻擊統計資料時,我們使用系統中記錄的客戶產業來確定受攻擊最多的產業。2024 年第一季,北美受 HTTP DDoS 攻擊最多的產業是行銷和廣告。在非洲和歐洲,資訊科技和網際網路產業遭受了最多攻擊。在中東,遭受攻擊最多的產業是電腦軟體。在亞洲,遭受攻擊最多的產業是遊戲和博彩業。在南美洲,是銀行、金融服務和保險 (BFSI) 業。最後,在大洋洲,遭受攻擊最多的產業是電信業。

受 HTTP DDoS 攻擊最多的產業(按地區)

在全球範圍內,游戲和博彩業是 HTTP DDoS 攻擊的最大目標。在 Cloudflare 緩解的每 100 個 DDoS 請求中,就有超過 7 個針對遊戲和博彩業。資訊科技和網際網路產業排名第二,行銷和廣告業排名第三。

受 HTTP DDoS 攻擊最多的產業

資訊科技和網際網路產業在所有網路層 DDoS 攻擊位元組中所佔比例為 75%,因此是網路層 DDoS 攻擊的首要目標。這一巨大份額的一個可能原因是,資訊技術和網際網路公司可能是攻擊的「超級聚合者」,他們所受到的 DDoS 攻擊實際上是以其終端客戶為目標。電信業、銀行、金融服務和保險業 (BFSI)、遊戲和博彩業以及電腦軟體產業佔了接下來的 3%。

受第 3/4 層 DDoS 攻擊最多的產業

如果我們將資料標準化,將給定產業的攻擊流量除以該產業的總流量,我們會得到一個完全不同的結果。在 HTTP 方面,律師事務所和法律服務是受攻擊最嚴重的產業,其流量中超過 40% 是 HTTP DDoS 攻擊流量。生物技術產業位居第二,HTTP DDoS 攻擊流量的份額為 20%。位居第三的是非營利組織,HTTP DDoS 攻擊份額為 13%。航空航天排名第四,運輸、批發、政府關係、動畫和電影、公共政策和成人娛樂佔據了前十名中的剩餘位置。

遭受 HTTP DDoS 攻擊最多的產業(標準化)

回到網路層,標準化後,資訊技術和網際網路仍然是第 3/4 層 DDoS 攻擊最大的目標產業,因為幾乎三分之一的流量都是攻擊。位列第二的是紡織業,攻擊份額為 4%。位列第三的是土木工程,在前十名中,其後依次為銀行、金融服務和保險業 (BFSI)、軍事、建築、醫療裝置、國防和太空、遊戲和博彩業、零售業。

遭受第 3/4 層 DDoS 攻擊最多的產業(標準化)

DDoS 攻擊的最大來源

在分析 HTTP DDoS 攻擊的來源時,我們會查看來源 IP 位址以確定這些攻擊的來源位置。如果一個國家/地區是大量攻擊的來源,表明虛擬私人網路 (VPN) 或代理端點後面很可能存在大量殭屍網路節點,攻擊者可能會利用這些節點來混淆其來源。

2024 年第一季,美國是最大的 HTTP DDoS 攻擊流量來源,因為所有 DDoS 攻擊請求中有五分之一來自美國 IP 位址。中國位居第二,然後依次為德國、印尼、巴西、俄羅斯、伊朗、新加坡、印度和阿根廷。

HTTP DDoS 攻擊的主要來源

在網路層,可以偽造來源 IP 位址。因此我們不依賴 IP 位址來理解來源,而是使用擷取了攻擊流量的資料中心的位置。由於 Cloudflare 在全球 310 多個城市進行廣泛的全球覆蓋,我們可以獲得地理準確性。

利用我們資料中心的位置,我們可以看到,2024 年第一季,超過 40% 的第 3/4 層 DDoS 攻擊流量由我們的美國資料中心擷取,使美國成為最大的第 3/4 層攻擊來源。位居第二的是德國,其份額遠遠落後,僅佔 6%,其次是巴西、新加坡、俄羅斯、韓國、中國香港、英國、荷蘭和日本。

第 3/4 層 DDoS 攻擊的主要來源

如果將資料標準化,將每個國家/地區的攻擊流量除以該國家/地區的總流量,我們會得到一個完全不同的結果。在源自直布羅陀的 HTTP 流量中,將近三分之一是 DDoS 攻擊流量,使其成為最大來源。聖赫勒拿位居第二,然後依次為英屬維京群島、利比亞、巴拉圭、馬約特島、赤道幾內亞、阿根廷和安哥拉。

HTTP DDoS 攻擊的主要來源(標準化)

回到網路層,標準化後,情況看起來也大不一樣。在我們位於津巴布韋的資料中心擷取的流量中,將近 89% 為第 3/4 層 DDoS 攻擊。巴拉圭的攻擊份額超過 56%,其次是蒙古,攻擊份額接近 35%。其他主要地點包括摩爾多瓦、剛果民主共和國、厄瓜多爾、吉布提、亞塞拜然、海地和多米尼加共和國。

第 3/4 層 DDoS 攻擊的主要來源(標準化)

遭受攻擊最多的地點

在分析針對我們客戶的 DDoS 攻擊時,我們會使用其帳單國家/地區來確定「受攻擊的國家或地區」。2024 年第一季,美國是遭受 HTTP DDoS 攻擊最多的國家。在 Cloudflare 緩解的每 10 個 DDoS 請求中,就有一個針對美國。位列第二的是中國大陸,然後依次為加拿大、越南、印尼、新加坡、中國香港、中國台灣、賽普勒斯和德國。

遭受 HTTP DDoS 攻擊最多的國家和地區

如果將資料標準化,將每個國家/地區的攻擊流量除以該國家/地區的總流量,清單發生了巨大變化。在前往尼加拉瓜的 HTTP 流量中,超過 63% 是 DDoS 攻擊流量,使其成為遭受攻擊最多的地點。位列第二的是阿爾巴尼亞,然後依次為約旦、幾內亞、聖馬利諾、格魯吉亞、印尼、柬埔寨、孟加拉和阿富汗。

遭受 HTTP DDoS 攻擊最多的國家和地區(標準化)

在網路層,中國大陸是遭受攻擊最多的地點,因為在 2024 年第一季 Cloudflare 緩解的所有 DDoS 位元組中,有 39% 是針對 Cloudflare 的中國客戶。中國香港位居第二,然後依次為中國台灣、美國和巴西。

遭受第 3/4 層 DDoS 攻擊最多的國家和地區

回到網路層,標準化後,中國香港成為遭受攻擊最多的地點。第 3/4 層 DDoS 攻擊流量在前往香港的所有流量中佔比超過 78%。位居第二的是中國大陸,其 DDoS 份額為 75%,其次是哈薩克、泰國、聖文森和格林納丁斯、挪威、中國台灣、土耳其、新加坡和巴西。

遭受第 3/4 層 DDoS 攻擊最多的國家和地區(標準化)

不論攻擊類型、規模或持續時間如何,Cloudflare 都能助您一臂之力

Cloudflare 的使命是幫助建立更好的網際網路,這是一個保持網際網路安全、高效且可供所有人存取的願景。每 10 次 HTTP DDoS 攻擊中,就有 4 次持續超過 10 分鐘,大約十分之三的攻擊持續時間超過 1 小時,因此挑戰是巨大的。然而,無論是每秒超過 10 萬個請求的攻擊(每 10 次攻擊中就會有一次),還是每秒超過 100 萬個請求的攻擊(每 1,000 次攻擊中只有 4 次),Cloudflare 的防禦始終堅不可摧。

自 2017 年率先推出不計量 DDoS 防護以來,Cloudflare 堅定不移地兌現其承諾,為所有組織免費提供企業級 DDoS 防護,確保我們的進階技術和強大的網路架構不僅能夠抵禦攻擊,而且還能毫不妥協地保持效能。

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
DDoS ReportsMiraiCloudflare RadarDDoSAttacksDNS FloodTrends

在 X 上進行關注

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

相關貼文