訂閱以接收新文章的通知:

Mantis - 至今最強大的殭屍網路

2022-07-14

閱讀時間:3 分鐘
本貼文還提供以下語言版本:EnglishEspañolРyсскийPolski简体中文

2022 年 6 月,我們報告了迄今以來緩解的最大 HTTPS DDoS 攻擊——每秒 2600 萬個請求的攻擊,這是有記錄以來最大的攻擊。我們的系統自動偵測出並緩解了該攻擊以及許多其他攻擊。從那之後,我們一直在追蹤這個殭屍網路(我們稱之為 Mantis),以及它對將近上千 Cloudflare 客戶發起的攻擊。

Mantis - the most powerful botnet to date

Cloudflare WAF/CDN 客戶可防禦 HTTP DDoS 攻擊,Mantis 攻擊也包含在內。請參閱本部落格底部瞭解如何最佳保護您的網際網路設備免受 DDoS 攻擊。

您是否遇到過 Mantis?

我們將這個每秒發動 2600 萬個請求之 DDoS 攻擊的殭屍網路命名為「Mantis(螳螂)」,因為它就像 Mantis shrimp(螳螂蝦)一樣,體型小但卻十分強大。螳螂蝦也稱為「拇指切割機」,體型非常小,長度不足 10 cm,但是它們的螯非常強大,可以產生 1,500 牛頓力的衝擊波,靜態起跑的速度可達到 83 km/h。與此相似,Mantis 殭屍網路運作大約 5,000 個機器人組成的小隊,但它們卻能產生巨大的力量,是我們曾經觀察到的最大 HTTP DDoS 攻擊的元兇。

螳螂蝦。來源:維基百科

Image of the Mantis shrimp from Wikipedia

Mantis 殭屍網路使用 5,000 個機器人,就能產生每秒 2600 萬個 HTTPS 請求的攻擊。我再重複一遍:使用 5,000 個機器人,就能產生每秒 2600 萬個 HTTPS 請求。也就是說每個機器人平均每秒產生 5,200 個請求。在沒有額外開支來建立安全連線的情況下,產生 2600 萬個 HTTP 請求是很難做到的,但 Mantis 卻透過 HTTPS 做到了。HTTPS DDoS 攻擊在所需運算資源方面更加昂貴,因為建立安全 TLS 加密連線的成本更高。這凸顯並強調了這一殭屍網路背後的獨特力量。

與 DVR、CC 攝影機或煙霧警報器等物聯網 (IoT) 裝置構成的「傳統」殭屍網路不同,Mantis 使用被劫持的虛擬機和強大的伺服器。這意味著每個機器人都有多得多的運算資源,這些運算資源結合起來,就能形成這種切割拇指的力量。

Graph of the 26 million requests per second DDoS attack

Mantis 是 Meris 殭屍網路的下一代演進。Meris 殭屍網路依賴於 MikroTik 裝置,而 Mantis 卻已擴展到包含各種 VM 平台,並支援執行各種 HTTP Proxy 以發起攻擊。選擇「Mantis」這個與「Meris」類似的名稱是為了反映其來源,同時也是為了說明這種演進的攻擊迅捷而有力。過去幾週,Mantis 一直特別活躍,將近 1,000 位 Cloudflare 客戶受到其影響。

Mantis 攻擊的目標是誰?

Graphic design of a botnet

在我們最近的 DDoS 攻擊趨勢報告中,我們探討過,HTTP DDoS 攻擊的數量正在增加。在上個季度,HTTP DDoS 攻擊增加了 72%,Mantis 無疑促進了這一增長。在過去一個月,Mantis 對 Cloudflare 客戶發起了超過 3,000 次 HTTP DDoS 攻擊。

當我們研究 Mantis 的攻擊目標時,可以發現受攻擊最多的產業為網際網路和電信產業,佔了攻擊份額的 36%。受攻擊第二多的產業是新聞、媒體和出版產業,緊隨其後的是遊戲和金融產業。

當我們研究這些公司的所在地時,可以發現這些 DDoS 攻擊目標的 20% 以上是位於美國的公司,15% 以上是位於俄羅斯的公司,而位於土耳其、法國、波蘭、烏克蘭等國家的公司不足 5%。

如何防禦 Mantis 和其他 DDoS 攻擊

Cloudflare 的自動化 DDoS 防護系統利用動態特征識別偵測和緩解 DDoS 攻擊。該系統以 HTTP DDoS 受管理規則集的形式向客戶開放。預設情況下,該規則集已啟用,並會套用緩解動作,因此,如果您未做出任何變更,則不需要採取任何動作,就能得到保護。您還可以檢閱我們的指南《最佳做法:DoS 預防性措施》《應對 DDoS 攻擊》,瞭解更多有關如何最佳化 Cloudflare 設定的貼士和建議。

如果您僅使用 Cloudflare Magic TransitSpectrum,但還運作未受 Cloudflare 保護的 HTTP 應用程式,則建議將它們加入 Cloudflare 的 WAF/CDN 服務以從 L7 保護受益。

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
BotnetDDoSTrends

在 X 上進行關注

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

相關貼文

2024年11月20日 下午10:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

2024年11月06日 上午8:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....