安全洞察：2021年第二季度DDoS攻擊趨勢（16頁）.pdf

1、010 8524 1783 | | 年第二季度 DDoS 攻擊趨勢CLOUDFLARE 安全洞察2010 8524 1783 | | （DDoS） 活動， 干擾了世界各地關鍵基礎設施的多個方面， 包括最大的石油管道系統運營商之一， 以及世界最大肉類加工公司之一。 本季度早些時候， 比利時 200 多個組織， 包括政府、 國會網站和其他服務， 也遭到了 DDoS 攻擊。7 月 4 日， 美國大部分地區慶祝獨立日時， 數百家美國公司遭到了勒索軟件攻擊， 被要求支付 7000 萬美元的比特幣。 已知屬于俄羅斯勒索軟件組織 REvil 的攻擊者利用 IT 管理軟件中的多個先前未知漏洞。 目標包括學校、

2、 小型公共部門機構、 旅游和休閑組織以及信用合作社等。 雖然勒索軟件和勒索型 DDoS 并非新威脅 （詳情請看我們有關 2021 年第一季度勒索軟件和勒索型 DDoS的帖文） ， 這些最新攻擊針對包括酒廠 、 專業運動隊、 輪渡服務和醫院在內的互聯網資產， 使它們從背景噪音成為影響我們日常生活的頭條新聞。 事實上， 最近的攻擊已經將勒索軟件和 DDoS 推上拜登總統國家安全議事日程的首位。2021 年第二季度在 Cloudflare 網絡上觀察到的 DDoS 攻擊趨勢描繪了一幅反映全球網絡威脅整體格局的圖景。 以下是 2021 年第二季度觀察到的 DDoS 攻擊趨勢的一些亮點。 我們對遭受 D

3、DoS 攻擊的客戶進行了調查， 其中超過 11% 報稱在今年前六個月內收到過威脅或勒索信威脅。 與 2020 年下半年相比， 2021 年上半年因遭受 DDoS 攻擊而緊急啟用保護服務的客戶增加了 41.8%。 針對政府行政/公共部門網站的 HTTP DDoS 攻擊增加了 491%， 成為僅次于消費者服務的第二大目標行業， 針對后者的 DDoS 活動較上一季度增加了684%。 中國依然是最多 DDoS 攻擊來源的國家源于中國的每 1000 個 HTTP 請求中， 有 7 個屬于某個針對網站的 HTTP DDoS 攻擊； 在我們位于中國的數據中心所吸收的每 100 字節中， 超過 3 字節屬于某

4、個網絡層 DDoS 攻擊。 新興威脅包括濫用每日格言 （QOTD） 協議的放大 DDoS 攻擊， 較上一季度增加了 123%。 此外， 隨著 QUIC 協議的采用不斷增加， 對 QUIC 的攻擊也繼續增加2021 年第二季度攻擊較上一季度激增了 109%。 10-100 Gbps 范圍的網絡層 DDoS 攻擊數量環比增長了 21.4%。 受到攻擊的客戶之一是美國游戲公司 Hypixel。 即使在遭受一次超過 620 Gbps 的 DDoS 攻擊期間， Hypixel 依然能保持在線而沒有宕機，其游戲用戶的體驗也絲毫未受影響。 在這里查看他們的故事。要查看世界各地和各行業的 DDoS 攻擊情況，

5、 請訪問 Cloudflare 的交互式 Radar DDoS 儀表板。3010 8524 1783 | | DDoS 攻擊 應用層 DDoS 攻擊， 特別是 HTTP DDoS 攻擊， 目的通常是使 HTTP 服務器無法處理合法用戶請求來進行破壞。 如果服務器收到的請求數量超過其處理能力， 服務器將丟棄合法請求甚至崩潰， 從而導致性能損失或合法用戶拒絕服務事件。 DDoS 活動行業分布情況在分析攻擊時， 我們會計算 “DDoS 活動”率， 即攻擊流量占總流量 （攻擊 + 干凈） 的百分比。 通過這樣做，我們能夠標準化數據點并避免出現偏頗， 例如， 偏向于處理更多流量 （因而發現更多攻擊） 的

6、數據中心。2021 年第二季度， 消費者服務是受攻擊最多的行業， 其次是政府管理和營銷與廣告。 應用程序層 （L7） DDoS 攻擊： 行業分布情況4010 8524 1783 | | 活動來源國家/地區分布要了解我們在 Cloudflare 網絡上觀察到的 HTTP 攻擊的來源， 可以查看生成攻擊 HTTP 請求的客戶端的源 IP 地址。 與網絡層攻擊不同， HTTP 攻擊中的源 IP 無法假冒。 特定國家/地區的高 DDoS 活動率表明大型僵尸網絡在其境內運行。就源自其境內的 DDoS 活動百分比而言， 中國和美國繼續分別位居第一和第二。 在中國， 每 1000 個 HTTP 請求中有 7

7、 個是 HTTP DDoS 攻擊的一部分， 而在美國， 這個數字為 5。 DDoS 活動目標國家/地區分布為了確定 DDoS 攻擊的目標所在的國家/地區， 我們按客戶的帳單國家/地區對 DDoS 活動進行了細分。 請注意， Cloudflare 不對攻擊流量收費， 并且自 2017 年起率先提供不計量和無限制的 DDoS 保護。 通過將攻擊數據與我們客戶的帳單國家/地區進行交叉對比， 我們可以確定哪些國家/地區受到最多攻擊。2021 年第二季度觀察到的數據表明， 美國和中國的組織是 HTTP DDoS 攻擊的最主要目標。 事實上， 每 2000 個發送到美國組織的 HTTP 請求中有 1 個是

8、 DDoS 攻擊的一部分。 應用程序層 （L7） DDoS 攻擊： 國家/地區分布情況 （全球）應用程序層 （L7） DDoS 攻擊： 目標國家/地區分布情況5010 8524 1783 | | DDoS 攻擊 應用層攻擊的目標是運行最終用戶嘗試訪問的服務的應用程序 （OSI 模型的第 7 層） ， 網絡層攻擊則以網絡基礎結構 （例如， 內聯路由器和其他網絡服務器） 和互聯網鏈路本身為目標。 上圖顯示了 2021 年第二季度網絡層 DDoS 攻擊的分布情況。 按大小 （數據包率和比特率） 劃分的攻擊分布衡量 L3/4 DDoS 攻擊規模有不同的方法。 一種方法是測量它產生的流量大小， 以比特率

9、為單位 （即每秒千兆比特 Gbps） 。 另一種是測量它產生的數據包數， 以數據包速率為單位 （即每秒數據包數 pps） 。 高比特率的攻擊試圖使互聯網鏈路飽和， 而高數據包速率的攻擊則會使路由器或其他聯網硬件設備不堪重負。攻擊的規模 （比特率） 和月份分布如下所示。 根據圖中所示， 所有超過 300 Gbps 的攻擊都發生在 6 月。就比特率而言， 2021 年第二季度所觀察到的攻擊中， 大部分在 500 Mbps 以下。 網絡層 DDoS 攻擊： 各月份分布情況4 月5 月6 月網絡層 DDoS 攻擊： 各月份規模分布情況4 月5 月6 月6010 8524 1783 | | 從包速率角度

10、來看， 近 94% 的攻擊都在 50 Kpps 以下。 盡管 1-10 Mpps 的攻擊僅占觀察到的所有 DDoS 攻擊的 1%， 但這個數字比上一季度觀察到的數量增加了 27.5%， 表明較大型攻擊不減反增。請注意， 雖然與其他引人注目的大型攻擊相比， 500 Mbps 和 50 Kbps 以下的攻擊可能顯得“很小”， 但對未受云 DDoS 防護服務保護的互聯網資產而言， 此類攻擊通常足以造成重大破壞。 另外， 許多組織都擁有由其服務提供商提供的上行鏈路， 帶寬容量小于 1 Gbps。 假設它們面向公眾的網絡接口也服務合法流量， 則小于 500 Mbps 的 DDoS 攻擊通常能夠破壞暴露的

11、互聯網資產。網絡層 DDoS 攻擊： 數據包速率分布情況網絡層 DDoS 攻擊： 比特率分布情況7010 8524 1783 | | 繼續觀察到持續時間不到一小時 DDoS 攻擊占較大比例。 在第二季度， 超過 97% 的 DDoS 攻擊持續時間不到一個小時。 短暫爆發攻擊可能企圖在不被 DDoS 檢測系統檢測到的前提下造成破壞。 依靠手動分析和緩解的 DDoS 服務可能對這些類型的攻擊毫無用處， 因為在分析人員識別攻擊流量前攻擊便已結束?；蛘?， 短時間攻擊也可能被用來探測攻擊目標的網絡防御情況。 例如， 暗網上廣泛提供的負載測試工具和自動 DDoS 工具可以生成短時間的 SYN 洪水攻擊，

12、然后使用不同的攻擊手段進行另一次短時間攻擊。 這允許攻擊者在他們決定以更高速率和更長持續時間發起更大的攻擊 （這將需要一定代價） 之前了解目標的安全態勢。在其他情形下， 攻擊者會發動小型 DDoS 攻擊來警告目標組織， 證明他們有能力在稍后造成真正的破壞。隨后攻擊者通常會向目標發送勒索郵件， 要求其通過支付贖金來避免遭受可能更徹底破壞網絡基礎設施的攻擊。這凸顯了需要始終在線的自動化 DDoS 保護方法。 對這些類型的攻擊而言， 依賴手動重新路由、 分析和緩解的 DDoS 保護服務可能毫無用武之地， 因為分析師甚至還沒有發現攻擊流量之前， 攻擊就已經結束了。攻擊持續時間8010 8524 178

13、3 | | 利用 SYN 洪水和基于 UDP 協議的攻擊依然是攻擊者使用最多的 方法。什么是 SYN 洪水攻擊？ 這是一種利用 TCP 協議基礎的 DDoS 攻擊。 客戶端與服務器之間的有狀態 TCP 連接始于 3 向 TCP 握手。 客戶端發送帶有同步標志 （SYN） 的初始連接請求數據包。 服務器以包含同步確認標志 （SYN-ACK） 的數據包來響應。 最后， 客戶端以確認 （ACK） 數據包來回應。 此時連接已經建立并可交換數據， 直到連接關閉為止。 這個有狀態過程可被攻擊者濫用， 以造成拒絕服務事件。攻擊者通過反復發送 SYN 數據包， 試圖淹沒服務器或跟蹤 TCP 連接狀態的路由器連

14、接表。 路由器以 SYN-ACK 數據包答復， 為每個給定的連接分配一定數量的內存， 并錯誤地等待客戶端回復最終 ACK。 如果有足夠數量的連接占用路由器的內存， 路由器將無法為合法客戶端分配更多內存， 從而導致路由器崩潰或無力處理合法客戶端連接， 造成拒絕服務事件。 網絡層 DDoS 攻擊： 熱門攻擊手段9010 8524 1783 | | (QOTD) 服務的放大 DDoS 攻擊， 其環比增加了 123%。 QOTD 在 RFC-865 (1983) 中定義， 可以通過 UDP 或 TCP 協議發送。 它最初是為調試和測量工具而設計的， 沒有特定語法來編寫格言。 不過， RFC 建議使用

15、ASCII 字符并將長度限制為 512 個字符。此外， 我們看到 UDP Portmap 和 Echo 攻擊的 QoQ 增長了 107%所有這些都是非常古老的攻擊媒介。這可能表明攻擊者在挖掘老套的方法和攻擊工具來試驗并攻克保護系統。如我們在前幾個季度所見， QUIC 協議的采用繼續增加。 因此， 利用 QUIC 的攻擊同步增長， 或者更具體地說， 在我們預期看到 QUIC 流量的地方出現非 QUIC 流量的洪水和放大攻擊。 2021 年第二季度， 這些類型的攻擊環比增加了 109%。 這種持續的趨勢可能表明攻擊者正試圖濫用進入組織的 QUIC 專用端口和網關尋找漏洞和安全缺口。 DDoS 活動

16、 Cloudflare 數據中心所在國家/地區分布2021 年第二季度， 我們在海地的數據中心觀察到最高比例的網絡層 DDoS 攻擊流量， 其次為文萊 （每 100 個數據包中有近 3 個是攻擊的一部分） 和中國。請注意， 在分析網絡層 DDoS 攻擊時， 我們按照接收流量的 Cloudflare 邊緣數據中心位置而不是源 IP 對流量進行分類。 這樣做的原因是， 攻擊者在發起網絡層攻擊時， 可以通過偽造源 IP 地址來混淆攻擊來源并在攻擊屬性中引入隨機性， 這可能會使簡單的 DDoS 防護系統更難攔截攻擊。 因此， 如果我們根據偽造的源 IP 推導出源國家/地區， 我們將得到一個偽造的國家/

17、地區。 Cloudflare 能夠通過根據 Cloudflare 觀察到攻擊的數據中心位置顯示攻擊數據來克服欺騙 IP 的挑戰。 我們能夠在報告中實現地理準確性， 因為我們在全球 200 多個城市擁有數據中心。網絡層 DDoS 攻擊： 熱門新興威脅手段10010 8524 1783 | | 請查看 Radar DDoS 報告儀表板的交互式地圖。網絡層 DDoS 攻擊： 排名前列的國家/地區 （全球）11010 8524 1783 | | DDoS （日益嚴重的全球性威脅） 的說明 過去幾周， 勒索軟件和勒索 DDoS （RDDoS） 等勒索驅動的網絡威脅卷土重來。那么什么是勒索軟件和勒索 DD

18、oS， 兩者有何不同？勒索軟件是一種惡意軟件， 它對組織的系統和數據庫進行加密， 使其無法訪問和使用。 惡意軟件一般通過網絡釣魚電子郵件 （誘騙員工點擊鏈接或下載文件） 進入組織的系統。 一旦惡意軟件安裝于員工的設備上， 就會對設備進行加密， 并可傳播到組織服務器和員工設備的整個網絡。 攻擊者通常索要比特幣形式的金錢， 以換取解密組織的系統并恢復他們訪問其系統的權限。與勒索軟件攻擊不同， 勒索 DDoS 攻擊不會加密公司的系統； 如不支付贖金， 攻擊者將使系統下線。 勒索 DDoS 攻擊更加危險的原因在于， 它們不需要攻擊者在發動攻擊之前訪問企業的內部系統。 然而， 只要擁有強大的 DDoS

19、保護策略， 勒索 DDoS 攻擊對企業幾乎毫無影響。勒索軟件和勒索 DDoS 威脅正在影響全球大多數行業 金融、 運輸、 石油和天然氣、 消費品， 甚至教育和醫療保健。自稱 “Fancy Bear”、 “Cozy Bear” 和 “Lazarus” 的團伙威脅要對各種組織的網站和網絡基礎設施發動 DDoS 攻擊， 除非在給定期限前收到贖金。 對于 DDoS 威脅的情況， 在發送勒索信之前， 攻擊者通常會發起一次小型 DDoS 攻擊作為演示。 演示一般通過 UDP 進行， 持續約 30-120 分鐘。勒索信通常會發送到公司在網上公開的常用群組電子郵件別名， 例如 noc、 support、 he

20、lp、 legal、 abuse 等。 一些情況下， 勒索信會進入垃圾郵件箱。 在其他情況下， 我們曾看到員工將勒索信視為垃圾郵件， 增加了組織的響應時間， 并導致公司的網絡資產受到進一步破壞。Cloudflare 向收到威脅或勒索信的組織提出如下建議：1. 不要驚慌失措， 建議您不要支付贖金： 這樣做只會助長攻擊者的氣焰并為其提供資金。 而且， 無法保證攻擊者不會依然發動攻擊。2. 聯系當地執法部門： 準備好提供勒索信的副本及任何其他日志或數據包捕獲。3. 激活有效的 DDoS 保護策略： 基于云的保護可在發生威脅時快速啟動， 而且有一個安全專家團隊在您身邊時， 可以快速有效地緩解風險。在這

21、段短視頻中， Cloudflare 首席技術官 John Graham-Cumming 介紹了如何解決勒索 DDoS 攻擊威脅。12010 8524 1783 | | 保護 Hypixel 免遭大規模 DDoS 攻擊破壞過去一個季度中， Cloudflare 團隊一直異常忙碌， 為大量收到勒索信或正在遭受 DDoS 攻擊的新老客戶快速啟用我們的 Magic Transit 服務。其中一家客戶是 Hypixel Inc， 它是世界上最大的 Minecraft 小游戲服務器背后的開發工作室， 擁有迄今超過 2400 萬次獨立登錄， 創紀錄的 21.6 萬以上 PC 并發玩家， Hypixel 團隊

22、努力為全球數百萬玩家的體驗增加價值。游戲行業經常受到一些最大規模的 DDoS 攻擊作為一流品牌， Hypixel 吸引到更多注意。 正常運行時間和高性能表現是 Hypixel 服務器運行的基礎。 任何感知到的停機時間或明顯延遲都可能導致游戲玩家外流。當 Hypixel 遭受一次大規模 DDoS 攻擊時， 他們求助于 Cloudflare， 通過 Cloudflare 擴展他們的服務以包括 Magic Transit， 后者是 Cloudflare 為網絡基礎設施提供的基于 BGP 的 DDoS 保護服務。 在一夜之間為該公司啟用有關服務后， Cloudflare 能夠自動檢測并緩解針對其網絡的

23、 DDoS 攻擊其中一些攻擊遠遠超過 620 Gbps。 這些 DDoS 攻擊主要是TCP 洪水和UDP 放大攻擊。 圖中， 不同顏色代表幫助檢測和緩解多手段攻擊的多個 Cloudflare 系統凸顯了我們多層 DDoS 方法的價值。盡管攻擊模式實時變化， Magic Transit 依然成功保護了 Hypixel 的網絡。 事實上， 由于該公司的所有干凈流量都是通過 Cloudflare 的高性能低延遲網絡路由， Hypixel 的用戶并沒有注意到游戲體驗有任何變化即使在遭受容量耗盡型 DDoS 攻擊期間也如此。13010 8524 1783 | | Cloudflare 自動檢測并緩解了超

24、過 5000 次 DDoS 攻擊： 53% 為 ACK 洪水， 39% 為基于 UDP 的攻擊， 8% 為 SYN 洪水。 Hypixel 與 Cloudflare 的旅程始于他們使用 Cloudflare Spectrum 來幫助保護他們的游戲基礎設施免受 DDoS 攻擊。 隨著用戶群的增長， 他們采用了額外的 Cloudflare 產品來增強所有關鍵基礎設施的穩健性和彈性。 今天， 他們使用多種 Cloudflare 產品， 包括 CDN、 速率限制、 Spectrum、 Argo Smart Routing 和負載平衡來構建和保護基礎設施， 為世界各地的游戲玩家提供他們需要的實時游戲體驗

25、。攻擊類型分布“我們遭受了多次遠超 620 Gbps 的攻擊， 但對我們的玩家沒有任何影響。 多虧了 Cloudflare Magic Transit， 他們的游戲體驗保持不間斷且快速。 ”Simon Collins-LaflammeHypixel Inc. 首席執行官14010 8524 1783 | | DDoS 攻擊只是各種組織目前所面臨的諸多網絡威脅之一。 隨著企業轉向零信任方式， 網絡和安全買家將面臨更大的網絡訪問相關威脅， 自動程序相關攻擊和勒索軟件攻擊的頻率和復雜性也會持續激增。在 Cloudflare 構建產品時， 一個關鍵設計原則是集成。 Cloudflare One 解決方

26、案采用零信任安全模型為公司提供更好的方式， 來保護設備、 數據和應用程序， 并與我們現有的安全性和 DDoS 解決方案平臺深度集成。事實上， Cloudflare 提供一個由全明星產品陣容組成的集成解決方案， 如下為一些例子： DDoS： Forrester Wave 2021 年第一季度 DDoS 緩解解決方案領導者1 WAF： Cloudflare 成為 2020 年度 Gartner Web 應用程序防火墻魔力象限報告中的挑戰者 （在“執行能力”項目獲得最高排名）2 零信任： Cloudflare 成為 Omdia 市場雷達： 2020 年零信任訪問報告中的領導者3 Web 保護： Fr

27、ost & Sullivan 2020 年全球整體 Web 保護市場報告中的創新領導者4Cloudflare 覆蓋全球 （并在不斷增長的） 網絡具有獨特的優勢， 能以無與倫比的規模、 速度和智能提供 DDoS 保護和其他安全、 性能和可靠性服務。要了解有關 Cloudflare DDoS 解決方案的更多信息， 請聯系我們或開始使用。15參考資料010 8524 1783 | | Forrester Wave： DDoS 緩解解決方案， 2021 年第一季度， Forrester Research, Inc.， 2021 年 3 月 3 日。 該報告可從以下網址訪問： https:/ 2 Gartner的“Web 應用程序防火墻魔力象限”， 分析師： JJeremy DHoinne、 Adam Hils、 John Watts、 Rajpreet Kaur， 2020年 10 月 19 日， https:/ 3 https:/ 4 https:/ 8524 1783 | | 安全洞察 2021 Cloudflare Inc. 保留一切權利。 Cloudflare 徽標是 Cloudflare 的商標。 所有其他公司和產品名稱分別是與其關聯的各自公司的商標。