4.2 Tbps 的不良封包以及更多：Cloudflare 的第三季 DDoS 報告

歡迎閱讀第十九期《Cloudflare DDoS 威脅報告》。這些報告每季發佈一次，會對 Cloudflare 網路中觀察到的 DDoS 威脅情勢進行深入分析。本期重點關注 2024 年第三季。

Cloudflare 擁有覆蓋全球 330 多座城市的網路，速率可達每秒 296 TB (Tbps)，被將近 20% 的全球網站用作反向代理，因此具有獨特的優勢，能夠向更廣泛的網際網路社群提供有價值的見解和趨勢。

• DDoS 攻擊數量在 2024 年第三季出現了激增。Cloudflare 緩解了將近 600 萬次 DDoS 攻擊，較上一季增長 49%，較去年同期增長 55%。

• 在這 600 萬次攻擊中，Cloudflare 的自發 DDoS 防禦系統偵測到並緩解了 200 多起超容量 DDoS 攻擊，其速率超過每秒 3 TB (Tbps) 和每秒 20 億個封包 (Bpps)。最大攻擊峰值為 4.2 Tbps，僅持續了一分鐘。

• 銀行與金融服務業遭受的 DDoS 攻擊最多。中國是遭受 DDoS 攻擊最多的國家，印尼是最大的 DDoS 攻擊來源。

若要進一步瞭解 DDoS 攻擊和其他類型的網路威脅，請造訪學習中心、存取 Cloudflare 部落格上先前的 DDoS 威脅報告，或造訪我們的互動中心 Cloudflare Radar。還提供一個免費的 API，可供有興趣研究這些報告和其他網際網路趨勢的人員使用。您還可以進一步瞭解準備這些報告所使用的方法。

2024 年上半年，Cloudflare 的自發 DDoS 防禦系統自動偵測並緩解了 850 萬次 DDoS 攻擊：第一季為 450 萬次，第二季為 400 萬次。第三季，我們的系統緩解了將近 600 萬次 DDoS 攻擊，使今年以來的 DDoS 攻擊總數達到 1450 萬次。平均每小時約有 2,200 次 DDoS 攻擊。

在這些攻擊中，Cloudflare 緩解了 200 多起超過 1 Tbps 或 1 Bpps 的超容量網路層 DDoS 攻擊。最大攻擊峰值分別為 3.8 Tbps 和 2.2 Bpps。進一步瞭解這些攻擊以及我們的 DDoS 防禦系統如何自動緩解這些攻擊。

^{一段時間內的超流量 DDoS 攻擊分佈}

在我們撰寫這篇部落格文章時，我們的系統仍在繼續偵測並緩解這些大規模攻擊，而就在距離我們上次揭露僅僅三週後，新記錄再次被打破。2024 年 10 月 21 日，Cloudflare 的系統自發偵測到並緩解了一起持續約一分鐘的 4.2 Tbps DDoS 攻擊。

^{Cloudflare 自發緩解了一起 4.2 Tbps 的 DDoS 攻擊}

在 600 萬次 DDoS 攻擊中，一半是 HTTP（應用程式層）DDoS 攻擊，一半是網路層 DDoS 攻擊。網路層 DDoS 攻擊較上一季增長 51%，較去年同期增長 45%，HTTP DDoS 攻擊較上一季增長 61%，較去年同期增長 68%。

90% 的 DDoS 攻擊（包括最大的一次攻擊）持續時間都很短。不過，持續一小時以上的攻擊確實有所增長 (7%)。這些持續時間較長的攻擊佔所有攻擊的 3%。

第三季，我們發現網路層 DDoS 攻擊與 HTTP DDoS 攻擊數量分佈較為均勻。在網路層 DDoS 攻擊中，SYN 洪水攻擊是最主要的攻擊手段手段，然後依次為 DNS 洪水攻擊、UDP 洪水攻擊、SSDP 反射攻擊和 ICMP 反射攻擊。

在應用程式層，72% 的 HTTP DDoS 攻擊由已知殭屍網路發起，並由我們專有的啟發式方法自動緩解。我們自製的啟發式方法緩解了 72% 的 DDoS 攻擊，這一事實表明了運作大型網路的優勢。我們根據所觀察到的流量和攻擊量來精心設計、測試和部署強大的殭屍網路防禦措施。

另有 13% 的 HTTP DDoS 攻擊因其可疑或異常的 HTTP 屬性而被緩解，以及另外 9% 是由虛假瀏覽器或瀏覽器冒充者發起的 HTTP DDoS 攻擊。剩餘 6% 的「其他」包括針對登入端點的攻擊和快取破壞攻擊。

需要注意的是，這些攻擊手段或攻擊群組不一定是排他的。例如，已知殭屍網路也會冒充瀏覽器並具有可疑的 HTTP 屬性，但此細分是我們嘗試以有意義的方式對 HTTP DDoS 攻擊進行分類的嘗試。

^{2024 年第三季 DDoS 攻擊分佈}

第三季，我們觀察到 SSDP 放大攻擊比上一季增長了 4000%。SSDP（簡單服務發現通訊協定）攻擊是一種利用 UPnP（通用隨插即用）通訊協定的反射和放大 DDoS 攻擊。攻擊者向啟用 UPnP 的易受攻擊裝置（如路由器、印表機和啟用 IP 的相機）傳送 SSDP 請求，並將來源 IP 位址偽造成受害者的 IP 位址。這些裝置以大量流量回應受害者的 IP 位址，使受害者的基礎架構不堪重負。放大效應使得攻擊者可以透過小請求產生大量流量，導致受害者的服務離線。在不必要的裝置上停用 UPnP 並使用 DDoS 緩解策略有助於抵禦這種攻擊。

^{SSDP 放大攻擊示意圖}

在發起 HTTP DDoS 攻擊時，威脅執行者希望混入其中以避免被發現。實現此目的的一種策略是偽造使用者代理程式。如果操作成功，這會讓它們看起來像合法的瀏覽器或用戶端。

在第三季，80% 的 HTTP DDoS 攻擊流量冒充了 Google Chrome 瀏覽器，這是在攻擊中觀察到的最常見的使用者代理程式。更具體地說，Chrome 118、119、120 和 121 是最常見的版本。

位列第二的是未使用使用者代理程式的攻擊，此類攻擊佔據 9% 的 HTTP DDoS 攻擊流量。

位列第三和第四位的是使用 Go-http-client 和 fasthttp 使用者代理程式的攻擊。前者是 Go 標準庫中的預設 HTTP 用戶端，後者是高效能替代方案。fasthttp 用於構建快速的 Web 應用程式，但也經常被用於 DDoS 攻擊和 Web 剽竊。

^{DDoS 攻擊中使用最多的使用者代理程式}

使用者代理程式 hackney 排名第五。它是 Erlang 的 HTTP 用戶端程式庫。它用於發出 HTTP 請求，在 Erlang/Elixir 生態系統中很流行。

一個有趣的使用者代理程式出現在第六位：HITV_ST_PLATFORM。該使用者代理程式似乎與智慧型電視或機頂盒相關聯。威脅執行者通常會避免使用不常見的使用者代理程式，網路攻擊中頻繁使用 Chrome 使用者代理程式就是明證。因此，HITV_ST_PLATFORM 的存在可能表明相關裝置確實是遭入侵的智慧型電視或機頂盒。

排名第七的是 uTorrent使用者代理程式。該使用者代理程式與一個常用的 BitTorrent 用戶端相關聯，該用戶端用於下載檔案。

最後，儘管 okhttp 作為 Java 和 Android 應用程式的 HTTP 用戶端而廣受歡迎，但在 DDoS 攻擊中它是最不常見的使用者代理程式。

雖然 89% 的 HTTP DDoS 攻擊流量使用 GET 方法，但它也是最常用的 HTTP 方法。因此，當我們透過將每個 HTTP 方法的攻擊請求數除以該方法的總請求數來標準化攻擊流量時，我們會得到不同的結果。

在使用 DELETE 方法的所有請求中，幾乎 12% 是 HTTP DDoS 攻擊的一部分。在 DELETE 之後，我們看到 HEAD、PATCH 和 GET 是 DDoS 攻擊請求中最常用的方法。

雖然 80% 的 DDoS 攻擊請求透過 HTTP/2，19% 的 DDoS 攻擊請求透過 HTTP/1.1，但依版本的總流量進行標準化後，它們所佔比例要小得多。當我們依照版本，將攻擊請求數除以所有請求數以進行標準化後，我們看到了不同的情況。流向非標准或貼錯標籤的「HTTP/1.2」版本的流量中，超過一半的流量是惡意的，並且是 DDoS 攻擊的一部分。需要注意的是，「HTTP/1.2」不是該通訊協定的正式版本。

^{絕大多數 HTTP DDoS 攻擊實際上是使用 HTTPS 進行加密的（幾乎 94%）。}

2024 年第三季，中國是遭受攻擊最多的地點。阿拉伯聯合大公國位居第二，中國香港位居第三，新加坡、德國和巴西緊隨其後。

加拿大排名第七，接下來是韓國、美國，台灣地區排名第十。

2024 年第三季，銀行和金融服務是 DDoS 攻擊的最主要目標。資訊技術和服務排名第二，然後是電信、服務提供者和電信業者。

加密貨幣、網際網路、博彩和賭場以及遊戲緊隨其後，成為接下來遭受最多攻擊的產業。消費電子、建築與土木工程以及零售業成為遭受最多攻擊的十大產業中的最後三位。

幾年來，我們一直在對遭受 DDoS 攻擊的客戶進行調查。該調查涵蓋各種因素，例如攻擊的性質和威脅執行者。對於威脅執行者，雖然 80% 的調查受訪者表示他們不知道是誰攻擊了他們，但 20% 的受訪者表示知道。其中，32% 的受訪者表示威脅行為者是勒索者。另有 25% 的受訪者表示是競爭對手攻擊了他們，以及另外 21% 的受訪者表示心懷不滿的客戶或使用者是攻擊的幕後黑手。14% 的受訪者表示，這些攻擊是由某個國家或國家支援的團體實施的。最後，7% 的受訪者表示是他們錯誤地攻擊了自己。發生自我 DDoS 攻擊的一個範例是 IoT 裝置的韌體更新後，導致所有裝置同時打電話回家，從而產生流量洪水。

^{主要威脅執行者分佈情況}

雖然勒索者是最常見的威脅行為者，但總體而言，DDoS 勒索攻擊的報告較上一季減少了 42%，但較去年同期增加了 17%。共有 7% 的受訪者表示遭受了 DDoS 勒索攻擊或受到攻擊者的威脅。然而，在 8 月，這一數字增加到 10%，相當於十分之一。

^{依季度劃分的 DDoS 勒索攻擊報告}

2024 年第三季，印尼是最大的 DDoS 攻擊來源。荷蘭是第二大來源，德國、阿根廷和哥倫比亞緊隨其後。

接下來是新加坡、中國香港、俄羅斯、芬蘭和烏克蘭。

對於營運自己的網路和基礎架構的服務提供者來說，可能很難確定誰正在使用他們的基礎架構來實現惡意目的，例如產生 DDoS 攻擊。因此，我們向網路營運商提供免費的威脅情報摘要。此摘要為服務提供者提供有關其網路內參與後續 DDoS 攻擊的 IP 位址的資訊。

在這方面，總部位於德國的 IT 提供者 Hetzner (AS24940) 是 2024 年第三季的最大 HTTP DDoS 攻擊來源。Akamai 於 2022 年收購的雲端運算平台 Linode (AS63949) 是第二大 HTTP DDoS 攻擊來源。總部位於佛羅里達州的服務提供者 Vultr (AS64515) 排名第三。

另一家德國 IT 提供者 Netcup (AS197540) 排名第四。Google Cloud Platform (AS15169) 位居第五。DigitalOcean (AS14061) 排名第六，然後依次為法國提供者 OVH (AS16276)、Stark Industries (AS44477)、Amazon Web Services (AS16509) 和 Microsoft (AS8075)。

^{作為 2024 年第三季最大 HTTP DDoS 攻擊來源的網路}

在這一季，我們觀察到超流量 DDoS 攻擊出現前所未有的激增，峰值達到 3.8 Tbps 和 2.2 Bpps。這反映了與去年同期類似的趨勢，當時 HTTP/2 Rapid Reset 活動中的應用程式層攻擊超過了每秒 2 億個請求 (Mrps)。這些大規模攻擊能夠淹沒網際網路內容，特別是那些依賴容量有限的雲端服務或內部部署解決方案的內容。

在地緣政治緊張局勢和全球事件的推動下，強大的殭屍網路越來越多地被使用，越來越多的組織面臨風險——其中許多組織傳統上並不被視為 DDoS 攻擊的主要目標。不幸的是，太多組織是在攻擊已經造成重大損害後才被動地部署了 DDoS 防護。

我們的觀察證實，擁有準備充分、全面的安全策略的企業對這些網路威脅的抵禦能力要強得多。Cloudflare 致力於保護您的網際網路內容。我們對自動化防禦和強大的安全產品組合進行了大量投資，可確保針對當前和新興威脅提供主動保護——因此您不必再進行這樣的投資。