欢迎阅读Cloudflare DDoS威胁趋势报告第十九版。本报告会每季度发布,对Cloudflare网络上观察到的DDoS威胁形势进行深入分析。本次发布版本聚焦于2024年第三季度。
Cloudflare网络覆盖全球超过330个城市,容量达到296 TB/秒(Tbps),被接近20%的网站用作反向代理。Cloudflare拥有独特的优势,可为更广泛的互联网社区提供有价值的洞察和趋势分析。
关键洞察
-2024年第三季度DDoS攻击数量出现激增。期间,Cloudflare缓解了近600万次DDoS攻击,环比增长49%,同比增长55%。
-在这600万次攻击中,Cloudflare的自主DDoS防御系统检测并缓解了200多次速率超过3 TB/秒(Tbps)和20亿数据包/秒(Bpps)的超大规模DDoS攻击。最大的攻击峰值速率达到4.2 Tbps,仅持续了一分钟。
-银行和金融服务行业受到最多DDoS攻击。中国是DDoS攻击的最大目标国家,而印度尼西亚是最大的DDoS攻击来源。
如要进一步了解DDoS攻击和其他类型的网络威胁,请访问我们的学习中心、查看Cloudflare博客上的往期DDoS威胁报告,或访问我们的互动中心Cloudflare Radar。对于那些有兴趣调查以上和其他互联网趋势的朋友们,还可以使用这个免费的API。您还可以进一步了解在准备这些报告时所使用的方法。
超大规模攻击活动
在2024年上半年,Cloudflare的自主DDoS防御系统自动检测并缓解了850万次DDoS攻击,其中第一季度为450万次,第二季度为400万次。在第三季度,我们的系统缓解了近600万次DDoS攻击,使年初至今缓解的DDoS攻击总数达到1450万次。这相当于平均每小时约2200次DDoS攻击。
以上攻击中,Cloudflare缓解了200多次超过1 Tbps或1 Bpps的超大规模网络层DDoS攻击。最大的攻击峰值分别为3.8 Tbps和2.2 Bpps。进一步阅读以了解这些攻击以及我们的DDoS防御系统如何缓解这些攻击。
超大规模DDoS攻击随时间分布
在我们撰写这篇博客文章时,我们的系统继续检测和缓解这些大规模攻击,一个新的记录刚刚再次被打破,距离我们上次披露才过去三周。2024年10月21日,Cloudflare的系统自主检测并缓解了一次持续约一分钟、4.2 Tbps的DDoS攻击。
Cloudflare系统自主缓解的4.2 Tbps DDoS攻击
DDoS攻击类型和特征
在上述600万次DDoS攻击中,一半是HTTP(应用层)DDoS攻击,另一半是网络层DDoS攻击。网络层DDoS攻击环比增长51%,同比增长45%,HTTP DDoS攻击环比增长61%,同比增长68%。
-攻击持续时间
90%的DDoS攻击,包括最大规模的攻击,持续时间非常短。然而,我们确实看到持续时间超过1小时的攻击略有增加(7%)。这些持续时间较长的攻击占所有攻击的3%。
-攻击手段
在第三季度,网络层DDoS攻击与HTTP DDoS攻击的数量相对均匀分布。在网络层DDoS攻击中,SYN洪水是最主要的攻击手段,其次是DNS洪水攻击、UDP洪水、SSDP反射攻击和ICMP反射攻击。
在应用层,72%的HTTP DDoS攻击是由已知僵尸网络发起的,并被我们的专有启发式方法自动缓解。我们自主开发的启发式方法缓解了72%的DDoS攻击这一事实显示了运营大型网络的优势。鉴于我们观察到的流量和攻击规模,我们能够针对僵尸网络设计、测试和部署强大的防御措施。
另有13%的HTTP DDoS攻击因可疑或异常的HTTP属性而被缓解,另外9%的HTTP DDoS攻击是由虚假浏览器或浏览器冒充者发起的。余下的6%为“其他攻击“,包括针对登录端点的攻击和缓存破坏攻击。
需要注意的一点是,这些攻击手段或攻击组别不一定是互相排斥的。例如,已知的僵尸网络也会伪装成浏览器,并具有可疑的HTTP属性,但这个细分是我们试图以有意义的方式对HTTP DDoS攻击进行归类。
2024年第三季度DDoS攻击分布
在第三季度,我们观察到SSDP放大攻击与上一季度相比增长了4000%。SSDP(简单服务发现协议)攻击是一种反射放大DDoS攻击,利用UPnP(通用即插即用)协议。攻击者将SSDP请求发送到脆弱UPnP设备(例如路由器、打印机和IP摄像头),并将源IP地址伪造为受害者的IP地址。这些设备以大量流量作为响应发送到受害者的IP地址,使受害者的基础设施不堪重负。这种放大效应允许攻击者通过很小的请求产生巨大的流量,导致受害者的服务下线。在不必要的设备上禁用UPnP并使用DDoS缓解策略有助于防御这种攻击。
SSDP放大攻击示意图
-HTTP DDoS攻击中使用的用户代理
在发动HTTP DDoS攻击时,威胁行为者希望隐藏起来以避免检测。实现这一点的一种策略是伪造用户代理。一旦实现,这可以让他们显示为合法的浏览器或客户端。
在第三季度,80%的HTTP DDoS攻击流量冒充Google Chrome浏览器,这是在攻击中观察到的最常见用户代理。具体而言,Chrome 118、119、120和121是最常见的版本。
第二位是没有用户代理的情况,占HTTP DDoS攻击流量的9%。
第三和第四位是使用Go-http-client和fasthttp用户代理的攻击。前者是Go标准库中的默认HTTP客户端,后者是一种高性能替代方案。fasthttp用于构建快速的Web应用程序,但也经常用于DDoS攻击和网页抓取。
DDoS攻击使用的主要用户代理
用户代理hackney排在第五位。这是一个适用于Erlang的HTTP客户端库。它用于发出HTTP请求,在Erlang/Elixir生态系统中很流行。
一个有趣的用户代理出现在第六位:HITV_ST_PLATFORM。这个用户代理似乎与智能电视或机顶盒有关。威胁行为者通常会避免使用不常见的用户代理,在网络攻击中经常使用Chrome用户代理就是证明。因此,HITV_ST_PLATFORM的存在很可能表明受攻击设备确实是遭到入侵的智能电视或机顶盒。
排名第七的是uTorrent用户代理。该用户代理与用于下载文件的流行BitTorrent客户端相关。
最后,尽管okhttp是Java和Android应用的常用HTTP客户端,但其却是DDoS攻击中使用最少的用户代理。
-HTTP攻击属性
虽然89%的HTTP DDoS攻击流量使用了GET方法,它也是最常用的HTTP方法。因此,当我们通过将攻击请求数除以每种HTTP方法的总请求数来对攻击流量进行标准化时,我们看到不同的情况。
使用DELETE方法的所有请求中,近12%是HTTP DDoS攻击的一部分。除了DELETE之外,我们看到HEAD、PATCH和GET是DDoS攻击请求中最常用的方法。
虽然80%的DDoS攻击请求通过HTTP/2发出,19%通过HTTP/1.1发出,但按版本根据总流量标准化后,它们所占比例要小得多。如果我们将按版本统计的攻击请求占所有请求的比例标准化,我们会看到截然不同的情况。流向非标准或错误标记的“HTTP/1.2”版本的流量中,超过一半是恶意的,是DDoS攻击的一部分。需要注意的是,“HTTP/1.2”并不是该协议的正式版本。
绝大多数(接近94%)HTTP DDoS攻击实际上是使用HTTPS进行加密的。
DDoS攻击的目标
-受攻击最多的国家/地区
中国是2024年第三季度受攻击最多的地区。阿拉伯联合酋长国排名第二,中国香港排名第三,紧随其后的是新加坡、德国和巴西。
加拿大排名第七,其后是韩国、美国,以及排名第10的台湾地区。
-受攻击最多的行业
在2024年第三季度,银行和金融服务业是受到最多DDoS攻击的行业。位居第二的是信息技术和服务,其后是电信、服务提供商和运营商。
紧随其后分别是加密货币、互联网、泛娱乐和游戏。十大目标行业的最后几个分别是消费电子、建筑与土木工程以及零售。
DDoS攻击的来源
-威胁行为者
几年来,我们一直在对遭受DDoS攻击的客户进行调查。攻击调查涵盖各种因素,例如攻击的性质和和威胁行为者。对于威胁行为者,80%的受访者表示不知道是谁攻击了他们,但20%的受访者表示知道。其中,32%的受访者表示威胁行为者是勒索者。另有25%的受访者表示,他们受到了竞争对手的攻击,21%的受访者表示心怀不满的客户或用户是幕后黑手。14%的受访者表示,这些攻击是由国家或政府支持的组织发动的。最后,7%的受访者表示,他们错误地攻击了自己-自我DDoS攻击的一个例子是,IoT设备固件更新后,所有设备在同一时间回传数据,导致流量泛滥。
主要威胁行为者的分布
勒索者是最常见的威胁行为者,而总体上,勒索DDoS攻击报告数量环比减少了42%,但同比增长了17%。7%的受访者报称遭到勒索DDoS攻击或被攻击者威胁。然而,在8月,这一数字上升到10%——也就是说每十个中就有一个。
勒索DDoS攻击的季度分布
-DDoS攻击的主要来源
印度尼西亚是2024年第三季度的最大DDoS攻击来源地。荷兰是第二大来源,其后是德国、阿根廷和哥伦比亚。
接下来的五最大来源包括新加坡、中国香港、俄罗斯、芬兰和乌克兰。
-主要DDoS攻击来源网络
对于运营自有网络和基础设施的服务提供商,可能很难识别谁在使用其基础设施进行恶意用途,例如产生DDoS攻击。因此,我们向网络运营商提供免费的威胁情报源。该情报源向服务提供商提供有关其网络中参与后续DDoS攻击的IP地址相关信息。
在这方面,总部位于德国的IT提供商Hetzner(AS24940)是2024年第三季度最大的HTTP DDoS攻击来源。2022年被Akamai收购的云计算平台Linode(AS63949)是HTTP DDoS攻击的第二大来源。位于佛罗里达州的服务提供商Vultr(AS64515)排名第三。
另一家德国IT提供商Netcup(AS197540)排名第四。Google Cloud Platform(AS15169)紧随其后,排名第五。DigitalOcean(AS14061)排第六位,其后是法国提供商OVH(AS16276)、Stark Industries(AS44477)、Amazon Web Services(AS16509)和Microsoft(AS8075)。
2024年第三季度HTTP DDoS攻击的最大来源网络
-关键要点
第三季度期间,我们观察到超大容量DDoS攻击空前激增,峰值达到3.8 Tbps和2.2 Bpps。这与去年同期趋势相似,当时HTTP/2 Rapid Reset活动中的应用层攻击峰值超过了2亿次请求/秒(Mrps)。这些大规模攻击能够压垮互联网资产,特别是那些依赖容量有限的云服务或本地解决方案的互联网资产。
在地缘政治紧张局势和全球事件的推动下,越来越多强大的僵尸网络被使用,扩大了面临风险的组织范围——其中许多过去并不被认为是DDoS攻击的主要目标。不幸的是,太多组织在攻击已经造成重大损害后才被动地部署DDoS防护。
我们的观察证实,如果企业拥有充分准备、全面的安全策略,在抵御这些网络威胁时的韧性就会强大得多。Cloudflare致力于保护您的互联网存在。通过积极投资于自动化防御系统和强大的安全产品组合,我们确保积极主动地防范当前和新兴威胁——可让您高枕无忧。