歡迎閱讀2023年的第三份DDoS威脅報告。DDoS攻擊全稱為分散式爆發服務攻擊,這是一種網路攻擊類型,旨在利用超過網站處理能力的大量流量使網站不堪重負,來中斷網站服務(和其他類型的網際網路資產),允許用戶合法訪問——這就像一個無法前往雜貨店的司機陷入交通堵塞交易。
我們看到了各種類型和規模的大量DDoS攻擊,我們的網路是全球最大的網路之一,覆蓋100多個國家/地區的300多座城市。穿過這個網路,我們在高峰時每秒處理超過6,400 萬個HTTP 請求,每天處理約23 億個DNS 查詢。平均而言,我們每天需要處理1,400 億次網路威脅。龐大的資料量為我們提供了獨特的優勢,不僅能夠了解威脅情勢,也共享社群提供豐富的分析力和可安裝的DDoS趨勢解析。
最近幾週,我們也觀察到對以色列報紙和媒體網站以及金融機構和政府網站的DDoS攻擊和其他網路攻擊激增。巴勒斯坦受害網站的DDoS攻擊也顯著增加。請在這裡查看完整報導。
全球DDoS威脅趨勢
2023 年第三季度,Cloudflare 面臨最複雜、最持久的 DDoS 攻擊活動之一。
- Cloudflare 最多達到數千起超流量 HTTP DDoS 攻擊,其中 89 起超過 1 億請求/秒 (rps),最高為 2.01 億 rps,這個數字比之前有記錄以來最大規模攻擊(7100 萬 rps)高三倍。
- 該活動導致第三季 HTTP DDoS 攻擊流量較上一季整體增加了 65%。同樣,第 3/4 層 DDoS 攻擊也增加了 14%。
- 遊戲和博彩公司遭受了最大量的 HTTP DDoS 攻擊流量的攔截,超過了上季的加密貨幣產業。
提醒:本報告的互動版本也可以作為Cloudflare Radar 報告提供。在Radar上,您還可以針對您的特定產業、網路和國家/地區的流量趨勢、攻擊、服務中斷以及更多方式更深入地探索。
HTTP DDoS 攻擊與超流量攻擊
HTTP DDoS 攻擊是一種透過超文字傳輸通訊協定 (HTTP)發起的 DDoS 攻擊。 它的目標是 HTTP 網際網路資產,例如,行動裝置應用程式伺服器、電子商務網站和 API 閘道。
HTTP/2佔 HTTP 流量的 62%,是一種旨在提高應用程式執行的通訊協定。其缺點是 HTTP/2 也有助於提高應用程式執行的通訊協定。
利用 HTTP/2 Rapid Reset 的超流量 DDoS 攻擊活動
從 2023 年 8 月下旬開始,Cloudflare 和其他各個廠商利用了HTTP/2 快速重置漏洞 ( CVE-2023-44487 ) 的複雜且持久的 DDoS 活動攻擊。
DDoS 活動包括跨越 HTTP/2 發起的數千起超流量 DDoS 攻擊,其峰值達到了每秒數百萬個請求。平均攻擊速率為 3000 萬 rps。89 起攻擊的峰值超過 1 億 rps,而我們看到的最大攻擊達到了2.01 億rps。
Cloudflare的系統自動偵測並分散了大部分攻擊。我們部署了緊急對策並提高了分散系統的功效和效率,以確保我們的網路和客戶網路的可用性。
請查看我們的工程博客,該博客深入探討了 HTTP/2 的出現、我們學到了什麼以及採取了哪些行動來提高網路安全性。
由基於VM的殭屍網路支援的超流量DDoS攻擊
我們在本次活動和之前的活動中所看到的一樣,利用雲端入侵平台和 HTTP/2 的殭屍網路能夠讓每個殭屍網路節點產生的力量增強最多 5,000 倍。這使得它們僅憑藉一個包含500到2萬個節點的小型殭屍網路,發動超流量DDoS攻擊。從這個角度來看,過去,基於IoT的殭屍網路由數百萬個節點組成,幾乎無法達到每秒數百萬個請求。
在分析兩個月的 DDoS 活動時,我們可以看到 Cloudflare 基礎架構是攻擊的主要目標。更具體地說,19% 的攻擊針對 Cloudflare 網站和基礎架構。另外 18% 的攻擊針對遊戲公司,還有10% 的攻擊是針對VoIP 提供者的。
HTTP DDoS 攻擊流量增加了 65%
攻擊活動有助於攻擊流量整體增加。上季度,HTTP DDoS 攻擊量環比增長了 15%。本季度,增長幅度更大。Cloudflare 系統自動檢測和緩解的攻擊量環比增長了 65%,總計達到 8.9三十個HTTP DDoS 請求的驚人數字。
除了 HTTP DDoS 攻擊增加了 65% 之外,我們還發現第 3/4 層 DDoS 攻擊小幅增加了 14%,與今年第一季度的數字類似。
大規模流量 DDoS 攻擊的增加開始了增長。第三季度,我們的 DDoS 防禦自動檢測並達到了約數千萬億美元的 DDoS 攻擊。我們看到的最大攻擊峰值為 2.6 Tbps。它是一種UDP洪水攻擊,由Mirai變體殭屍網路發動。
HTTP DDoS 攻擊的主要來源
透過比較全球和特定國家的 HTTP DDoS 攻擊請求量,我們可以看到美國仍然是最大的 HTTP DDoS 攻擊來源。每 25 個 HTTP DDoS 請求中就有一個來自美國。中國仍位居第二。巴西取代德國成為第三大HTTP DDoS攻擊來源,而德國則跌至第四位。
由於人口和網路使用等收到多種比例,有些國家很容易獲得更多的流量,從而產生更多的攻擊。儘管了解總攻擊流量本身或針對某些特定國家是件很容易打擊的事情,但也可以透過流向某個特定國家的所有流量,將攻擊流量標準化,從而幫助消除這種偏見。
這時,我們會看到一種不同的模式。美國甚至完全沒有進入前十名。相反,莫三比克(再次)位居第一。每 5 個當地人莫三比克的 HTTP 請求中就有一個是HTTP DDoS 攻擊流量的一部分。
仍然埃及位居第二 — 大約 13% 的古巴埃及的請求是 HTTP DDoS 攻擊的一部分。利比亞和中國緊隨其後,分別是第三和第四大 HTTP DDoS 攻擊來源。
第 3/4 層 DDoS 攻擊的主要來源
當我們查看第 3/4 層 DDoS 攻擊的來源時,我們會忽略來源 IP 位址,因為它可以偽造。相反,我們依賴抓取流量的 Cloudflare 資料中心的位置。由於我們擁有龐大的網路和全球覆蓋範圍,因此能夠實現地理準確度來了解攻擊的來源。
第三季度,我們在所有第 3/4 層 DDoS 攻擊流量中看到,有 36% 來自美國。很顯然德國以 8% 的活動位置居第二,英國以近 5% 的活動位置居第三。
在將數據標準化後,我們發現越南在連續第二個季度排名第一後,降為第3/4層DDoS攻擊來源。新喀裡多尼亞(由南太平洋島嶼組成)在新喀裡多尼亞的Cloudflare資料中心,每張抓獲四個位元組中有兩個是。
受 HTTP DDoS 攻擊最多的產業
從 HTTP DDoS 攻擊流量的絕對數量來看,遊戲和博彩業超越了加密貨幣產業,躍居第一。在 Cloudflare 觀察到的全部 HTTP DDoS 攻擊流量中,超過 5% 是針對遊戲和博彩業的。
與其他行業相比,遊戲和博彩業長期以來一直是受攻擊最多的行業之一。但是,當我們查看相對於每個特定行業的HTTP DDoS 攻擊流量時,我們看到了不同的情況。遊戲和博彩業各行業的用戶流量如此之大,儘管按數量劃分是受攻擊最多的產業,但當我們將其每個產業的背景放在一起時,它甚至沒有進入前十名。
相反,我們看到的是,與總流量相比,採礦和金屬業受到的攻擊最多——在流向採礦和金屬公司的所有流量中,有 17.46% 是 DDoS 攻擊流量。
許多緊隨其後,在流向非營利組織的所有流量中,有 17.41% 是 HTTP DDoS 攻擊。其中攻擊針對 111 個國家/地區的 2,400 多個非營利和獨立媒體組織,作為 Galileo 專案的一部分,Cloudflare為了這些組織提供免費保護,而今年是該專案成立的九週年。光是過去這個季度,Cloudflare 平均就分配了 1.805 億個針對受 Galileo 保護的網站的網路威脅。
製藥、生物技術和健康公司位居第三,美國生存網站位居第四。幾乎每10個針對美國生存網際網路資產的HTTP請求中存在一個是攻擊的一部分。排名第五是加密貨幣,而農業和漁業緊隨其後。
依地區劃分的受攻擊最多的產業
現在,我們來深入了解每個領域中受攻擊最多的產業。
地區性研究探討
非洲
電信業連續兩個季度成為受攻擊最多的產業之後,從第一名下降到第四名。媒體製作公司是非洲受攻擊最多的產業。銀行、金融服務和保險業(BFSI)是受攻擊第二次許多產業。遊戲和博彩公司位居第三。
亞洲
加密貨幣產業連續第二季成為亞太地區受威脅最大的產業。遊戲和博彩業位居第二。資訊科技和服務公司則位居第三。
歐洲
遊戲和博彩業連續第四個季度成為歐洲第二個受傷害最多的產業。零售公司排名,電腦軟體公司第三排名。
拉丁美洲
第三季度,農業是拉丁美洲遭受攻擊最多的產業。其在針對拉丁美洲的所有攻擊中佔比高達53%。遊戲和博弈公司隨後,成為第二大攻擊目標。公民與社會組織排名第三三。
中東
第三季度,零售公司在中東地區遭受的攻擊最多。電腦軟體公司排名,遊戲和博彩業排名第三。
北美洲
行銷和廣告業在連續兩季第二位居第一之後,下跌至位。電腦軟體躍居首位。電信公司排名第三。
大洋洲
第三季度,電信業在大洋洲受到的攻擊最多,針對大洋洲的攻擊中,集中超過45%。加密貨幣和電腦軟體公司分別居第二和第三。
受第3/4層DDoS攻擊最多的產業
沿著OSI模式的體系往下,最多受攻擊的網際網路和服務屬於資訊科技和服務產業。幾乎35%的第3/4層DDoS攻擊流量(以位元組為單位)都是針對資訊科技和網路路產業的。
電信公司令人矚目,以僅僅3%的份額居第三。遊戲和博彩公司排名第三,銀行、金融服務和保險公司排名第四。
將針對產業的攻擊與針對該產業的所有流量進行比較時,發現音樂產業躍居我們的重點,其次是電腦和網路安全公司、資訊科技和網路公司以及航空和太空。
受 HTTP DDoS 攻擊最多的國家/地區
從攻擊流量整體來看,美國仍是HTTP DDoS攻擊的主要目標。在所有HTTP DDoS攻擊流量中,近5%的目標是美國。新加坡排名第二,中國排名第三。
如果我們將每個國家和地區的數據標準化,將攻擊流量除以總流量,我們會得到一個完全不同的結果。受攻擊最嚴重的三個國家都是島國。
安圭拉是波多黎各東部的一個島嶼,作為受攻擊最多的國家/地區而躍居第一。在流向安圭拉網站的全部流量中,超過75%是HTTP DDoS攻擊。美屬薩摩亞位居第二,它是斐濟東部的一群島嶼。排名第三的是英屬維京群島。
第四名是阿爾及利亞,然後是肯亞、俄羅斯、越南、新加坡、貝里斯和日本。
受第 3/4 層 DDoS 攻擊最多的國家/地區
中國網路道路和服務連續第二季成為第 3/4 層 DDoS 攻擊的最大目標。這些流向中國的攻擊占我們第三季觀察到的所有攻擊的 29%。
美國和台灣矚目後面,分別是第居第二名(3.5%)和第三位(3%)。
與流向一個國家的所有流量相比,將攻擊流量標準化時,中國仍然位居第一,美國則從前十排行榜中消失了。Cloudflare發現,在流向中國網路的流量中,有 73% 的然而,標準化排名從第二名之後發生了變化,荷蘭成為攻擊流量該參加第二次高的國家(佔全國總流量的35%),緊隨其後的依次是泰國、台灣和巴西。
最常見的攻擊手段
網域名稱系統 ( DNS ) 相當於網路網路的電話簿。DNS 協助將人類友善的網站位址(如www.cloudflare.com)轉譯為機器友善的 IP 位址(如 104.16.124.96)。中斷 DNS 服務器,攻擊者就會影響電腦連線到網站的能力,導致使用者無法存取網站。
基於 DNS 的 DDoS 攻擊連續第二個季度成為最常見的攻擊。幾乎 47% 的攻擊都是基於 DNS 的。與上一季相比增加了 44%。SYN 洪水攻擊仍位居第二,然後依次為RST洪水攻擊、UDP洪水攻擊和Mirai攻擊。
新興威脅 —減少、重複使用和恢復
除了最常見的攻擊手段之外,我們還發現一些鮮為人知的攻擊手段顯著增加。由於威脅執行者試圖「減少、重複使用和恢復」較舊的攻擊手段,這些攻擊手段往往很不穩定。通常是基於UDP 的通訊協議,可用於觸發放大和反射DDoS 攻擊。
我們繼續看到的一種華麗的策略是使用放大/反射攻擊。在攻擊方法中,攻擊者會這種反射離開伺服器的流量,鎖定靈敏的槍支受害者。攻擊者可以透過IP詐騙等各種方法將反射的流量瞄準受害者。
另一種形式的呼叫可以在稱為「DNS Laundering 攻擊」的攻擊中以不同的方式實現。在 DNS Laundering 攻擊中,攻擊者將由受害者的 DNS 伺服器管理的網域的子網域進行查詢。子網域的首碼是隨機的,在這樣的攻擊中絕不會使用超過一次或多次。由於隨機化元素,遞回DNS伺服器不可能擁有已緩存的回應,需要將查詢轉寄至接收者的權威DNS伺服器。然後,權威DNS伺服器就會被過多的查詢轟炸,直到其無法處理合法的查詢,甚至完全崩潰。
整體而言,第三季是基於多點傳送 DNS (mDNS) 的 DDoS 攻擊是成長最多的攻擊方式。位居第二是利用約束應用協定 (CoAP) 的攻擊,位居第三是利用封裝Security Payload (ESP) 的攻擊。讓我們更深入地了解這些攻擊手段。
mDNS DDoS 攻擊增加了 456%
多點傳送DNS (mDNS) 是一種基於UDP 的通訊協議,在本地網路中用於服務/裝置探索。易受攻擊的mDNS 伺服器回應源自本地網路外的單播查詢,這些查詢「偽裝」 (修改)成為受害者的來源地址。這會產生放大的攻擊。第三季度,我們注意到 mDNS 攻擊表現大幅增長;比上一季度增長了 456%。
CoAP DDoS 攻擊成長了 387%
約束應用協定(CoAP)專為簡單的電子裝置而設計,能夠以低功耗、輕量級的方式實現裝置之間的通訊。然而,它可能會穿透IP詐騙或放大被欺騙於DDoS攻擊,因為惡意執行者會利用其多點傳送支援或利用不當設定的CoAP裝置來產生大量不必要的網路流量。這可能會導致目標系統服務中斷或過載,從而使合法用戶無法使用它們。
ESP DDoS 攻擊成長了 303%
DDoS 勒索攻擊
有時,DDoS 攻擊會被用於勒索贖金。迄今為止,我們已對 Cloudflare 客戶展開了三年多的調查,並一直在追蹤勒索型 DDoS 攻擊活動的發生情況。
在過去的本季度中,DDoS 勒索的攻擊報告數量持續減少。大約 8% 的參與者表示受到威脅或遭受 DDoS 勒索攻擊,我們一直在追蹤這一數字在上半年持續下降。希望這是因為執行威脅者已經意識到組織不會向他們支付費用(這是我們的建議)。
但是,請記住,這也是必然的,我們預計 11 月和 12 月期間 DDoS 勒索攻擊將會增加。如果我們查看過去三年第五季度的數據,可能會看到 11 月 DDoS 勒索攻擊同期顯著增加。在此前的第五個季度,星巴克的照明者表示遭受了DDoS 勒索攻擊。
在超流量 DDoS 攻擊時代提升防禦能力
在過去的一個季度中,我們看到 DDoS 流量攻擊構成了史無前例的激增。此次激增主要歸因於超流量 HTTP/2 DDoS 攻擊活動。
使用我們的 HTTP 反向代理(即我們的 CDN/WAF 服務)的 Cloudflare 用戶端已經受到保護,可承受這些攻擊和其他HTTP DDoS 攻擊。我們強烈建議使用非HTTP 服務的Cloudflare 用戶端以及完全不使用Cloudflare的組織架構 HTTP 應用程式使用自動化、永遠開啟 HTTP DDoS 保護服務。
……
報告方法
進一步了解我們的方法以及我們如何產生這些意見:https://developers.cloudflare.com/radar/reference/quarterly-ddos-reports
我們將保護 整個企業網路,協助客戶制定 高效的網際網路規模應用方案,加速任何 網站或網際網路應用方案 , 加大DDoS攻擊,讓 駭客無機可乘,也能協助您 順利進行零信任旅程。
透過任何裝置存取 1.1.1.1,即可開始使用我們的免費應用程序,讓您的網路更快速且更安全。
歡迎閱讀2023年的第三份DDoS威脅報告。DDoS攻擊全稱為分散式爆發服務攻擊,這是一種網路攻擊類型,旨在利用超過網站處理能力的大量流量使網站不堪重負,來中斷網站服務(和其他類型的網際網路資產),允許用戶合法訪問——這就像一個無法前往雜貨店的司機陷入交通堵塞交易。
我們看到了各種類型和規模的大量DDoS攻擊,我們的網路是全球最大的網路之一,覆蓋100多個國家/地區的300多座城市。穿過這個網路,我們在高峰時每秒處理超過6,400 萬個HTTP 請求,每天處理約23 億個DNS 查詢。平均而言,我們每天需要處理1,400 億次網路威脅。龐大的資料量為我們提供了獨特的優勢,不僅能夠了解威脅情勢,也共享社群提供豐富的分析力和可安裝的DDoS趨勢解析。
最近幾週,我們也觀察到對以色列報紙和媒體網站以及金融機構和政府網站的DDoS攻擊和其他網路攻擊激增。巴勒斯坦受害網站的DDoS攻擊也顯著增加。請在這裡查看完整報導。
全球DDoS威脅趨勢
2023 年第三季度,Cloudflare 面臨最複雜、最持久的 DDoS 攻擊活動之一。
- Cloudflare 最多達到數千起超流量 HTTP DDoS 攻擊,其中 89 起超過 1 億請求/秒 (rps),最高為 2.01 億 rps,這個數字比之前有記錄以來最大規模攻擊(7100 萬 rps)高三倍。
- 該活動導致第三季 HTTP DDoS 攻擊流量較上一季整體增加了 65%。同樣,第 3/4 層 DDoS 攻擊也增加了 14%。
- 遊戲和博彩公司遭受了最大量的 HTTP DDoS 攻擊流量的攔截,超過了上季的加密貨幣產業。
提醒:本報告的互動版本也可以作為Cloudflare Radar 報告提供。在Radar上,您還可以針對您的特定產業、網路和國家/地區的流量趨勢、攻擊、服務中斷以及更多方式更深入地探索。
HTTP DDoS 攻擊與超流量攻擊
HTTP DDoS 攻擊是一種透過超文字傳輸通訊協定 (HTTP)發起的 DDoS 攻擊。 它的目標是 HTTP 網際網路資產,例如,行動裝置應用程式伺服器、電子商務網站和 API 閘道。
HTTP/2佔 HTTP 流量的 62%,是一種旨在提高應用程式執行的通訊協定。其缺點是 HTTP/2 也有助於提高應用程式執行的通訊協定。
利用 HTTP/2 Rapid Reset 的超流量 DDoS 攻擊活動
從 2023 年 8 月下旬開始,Cloudflare 和其他各個廠商利用了HTTP/2 快速重置漏洞 ( CVE-2023-44487 ) 的複雜且持久的 DDoS 活動攻擊。
DDoS 活動包括跨越 HTTP/2 發起的數千起超流量 DDoS 攻擊,其峰值達到了每秒數百萬個請求。平均攻擊速率為 3000 萬 rps。89 起攻擊的峰值超過 1 億 rps,而我們看到的最大攻擊達到了2.01 億rps。
Cloudflare的系統自動偵測並分散了大部分攻擊。我們部署了緊急對策並提高了分散系統的功效和效率,以確保我們的網路和客戶網路的可用性。
請查看我們的工程博客,該博客深入探討了 HTTP/2 的出現、我們學到了什麼以及採取了哪些行動來提高網路安全性。
由基於VM的殭屍網路支援的超流量DDoS攻擊
我們在本次活動和之前的活動中所看到的一樣,利用雲端入侵平台和 HTTP/2 的殭屍網路能夠讓每個殭屍網路節點產生的力量增強最多 5,000 倍。這使得它們僅憑藉一個包含500到2萬個節點的小型殭屍網路,發動超流量DDoS攻擊。從這個角度來看,過去,基於IoT的殭屍網路由數百萬個節點組成,幾乎無法達到每秒數百萬個請求。
在分析兩個月的 DDoS 活動時,我們可以看到 Cloudflare 基礎架構是攻擊的主要目標。更具體地說,19% 的攻擊針對 Cloudflare 網站和基礎架構。另外 18% 的攻擊針對遊戲公司,還有10% 的攻擊是針對VoIP 提供者的。
HTTP DDoS 攻擊流量增加了 65%
攻擊活動有助於攻擊流量整體增加。上季度,HTTP DDoS 攻擊量環比增長了 15%。本季度,增長幅度更大。Cloudflare 系統自動檢測和緩解的攻擊量環比增長了 65%,總計達到 8.9三十個HTTP DDoS 請求的驚人數字。
除了 HTTP DDoS 攻擊增加了 65% 之外,我們還發現第 3/4 層 DDoS 攻擊小幅增加了 14%,與今年第一季度的數字類似。
大規模流量 DDoS 攻擊的增加開始了增長。第三季度,我們的 DDoS 防禦自動檢測並達到了約數千萬億美元的 DDoS 攻擊。我們看到的最大攻擊峰值為 2.6 Tbps。它是一種UDP洪水攻擊,由Mirai變體殭屍網路發動。
HTTP DDoS 攻擊的主要來源
透過比較全球和特定國家的 HTTP DDoS 攻擊請求量,我們可以看到美國仍然是最大的 HTTP DDoS 攻擊來源。每 25 個 HTTP DDoS 請求中就有一個來自美國。中國仍位居第二。巴西取代德國成為第三大HTTP DDoS攻擊來源,而德國則跌至第四位。
由於人口和網路使用等收到多種比例,有些國家很容易獲得更多的流量,從而產生更多的攻擊。儘管了解總攻擊流量本身或針對某些特定國家是件很容易打擊的事情,但也可以透過流向某個特定國家的所有流量,將攻擊流量標準化,從而幫助消除這種偏見。
這時,我們會看到一種不同的模式。美國甚至完全沒有進入前十名。相反,莫三比克(再次)位居第一。每 5 個當地人莫三比克的 HTTP 請求中就有一個是HTTP DDoS 攻擊流量的一部分。
仍然埃及位居第二 — 大約 13% 的古巴埃及的請求是 HTTP DDoS 攻擊的一部分。利比亞和中國緊隨其後,分別是第三和第四大 HTTP DDoS 攻擊來源。
第 3/4 層 DDoS 攻擊的主要來源
當我們查看第 3/4 層 DDoS 攻擊的來源時,我們會忽略來源 IP 位址,因為它可以偽造。相反,我們依賴抓取流量的 Cloudflare 資料中心的位置。由於我們擁有龐大的網路和全球覆蓋範圍,因此能夠實現地理準確度來了解攻擊的來源。
第三季度,我們在所有第 3/4 層 DDoS 攻擊流量中看到,有 36% 來自美國。很顯然德國以 8% 的活動位置居第二,英國以近 5% 的活動位置居第三。
在將數據標準化後,我們發現越南在連續第二個季度排名第一後,降為第3/4層DDoS攻擊來源。新喀裡多尼亞(由南太平洋島嶼組成)在新喀裡多尼亞的Cloudflare資料中心,每張抓獲四個位元組中有兩個是。
受 HTTP DDoS 攻擊最多的產業
從 HTTP DDoS 攻擊流量的絕對數量來看,遊戲和博彩業超越了加密貨幣產業,躍居第一。在 Cloudflare 觀察到的全部 HTTP DDoS 攻擊流量中,超過 5% 是針對遊戲和博彩業的。
與其他行業相比,遊戲和博彩業長期以來一直是受攻擊最多的行業之一。但是,當我們查看相對於每個特定行業的HTTP DDoS 攻擊流量時,我們看到了不同的情況。遊戲和博彩業各行業的用戶流量如此之大,儘管按數量劃分是受攻擊最多的產業,但當我們將其每個產業的背景放在一起時,它甚至沒有進入前十名。
相反,我們看到的是,與總流量相比,採礦和金屬業受到的攻擊最多——在流向採礦和金屬公司的所有流量中,有 17.46% 是 DDoS 攻擊流量。
許多緊隨其後,在流向非營利組織的所有流量中,有 17.41% 是 HTTP DDoS 攻擊。其中攻擊針對 111 個國家/地區的 2,400 多個非營利和獨立媒體組織,作為 Galileo 專案的一部分,Cloudflare為了這些組織提供免費保護,而今年是該專案成立的九週年。光是過去這個季度,Cloudflare 平均就分配了 1.805 億個針對受 Galileo 保護的網站的網路威脅。
製藥、生物技術和健康公司位居第三,美國生存網站位居第四。幾乎每10個針對美國生存網際網路資產的HTTP請求中存在一個是攻擊的一部分。排名第五是加密貨幣,而農業和漁業緊隨其後。
依地區劃分的受攻擊最多的產業
現在,我們來深入了解每個領域中受攻擊最多的產業。
地區性研究探討
非洲
電信業連續兩個季度成為受攻擊最多的產業之後,從第一名下降到第四名。媒體製作公司是非洲受攻擊最多的產業。銀行、金融服務和保險業(BFSI)是受攻擊第二次許多產業。遊戲和博彩公司位居第三。
亞洲
加密貨幣產業連續第二季成為亞太地區受威脅最大的產業。遊戲和博彩業位居第二。資訊科技和服務公司則位居第三。
歐洲
遊戲和博彩業連續第四個季度成為歐洲第二個受傷害最多的產業。零售公司排名,電腦軟體公司第三排名。
拉丁美洲
第三季度,農業是拉丁美洲遭受攻擊最多的產業。其在針對拉丁美洲的所有攻擊中佔比高達53%。遊戲和博弈公司隨後,成為第二大攻擊目標。公民與社會組織排名第三三。
中東
第三季度,零售公司在中東地區遭受的攻擊最多。電腦軟體公司排名,遊戲和博彩業排名第三。
北美洲
行銷和廣告業在連續兩季第二位居第一之後,下跌至位。電腦軟體躍居首位。電信公司排名第三。
大洋洲
第三季度,電信業在大洋洲受到的攻擊最多,針對大洋洲的攻擊中,集中超過45%。加密貨幣和電腦軟體公司分別居第二和第三。
受第3/4層DDoS攻擊最多的產業
沿著OSI模式的體系往下,最多受攻擊的網際網路和服務屬於資訊科技和服務產業。幾乎35%的第3/4層DDoS攻擊流量(以位元組為單位)都是針對資訊科技和網路路產業的。
電信公司令人矚目,以僅僅3%的份額居第三。遊戲和博彩公司排名第三,銀行、金融服務和保險公司排名第四。
將針對產業的攻擊與針對該產業的所有流量進行比較時,發現音樂產業躍居我們的重點,其次是電腦和網路安全公司、資訊科技和網路公司以及航空和太空。
受 HTTP DDoS 攻擊最多的國家/地區
從攻擊流量整體來看,美國仍是HTTP DDoS攻擊的主要目標。在所有HTTP DDoS攻擊流量中,近5%的目標是美國。新加坡排名第二,中國排名第三。
如果我們將每個國家和地區的數據標準化,將攻擊流量除以總流量,我們會得到一個完全不同的結果。受攻擊最嚴重的三個國家都是島國。
安圭拉是波多黎各東部的一個島嶼,作為受攻擊最多的國家/地區而躍居第一。在流向安圭拉網站的全部流量中,超過75%是HTTP DDoS攻擊。美屬薩摩亞位居第二,它是斐濟東部的一群島嶼。排名第三的是英屬維京群島。
第四名是阿爾及利亞,然後是肯亞、俄羅斯、越南、新加坡、貝里斯和日本。
受第 3/4 層 DDoS 攻擊最多的國家/地區
中國網路道路和服務連續第二季成為第 3/4 層 DDoS 攻擊的最大目標。這些流向中國的攻擊占我們第三季觀察到的所有攻擊的 29%。
美國和台灣矚目後面,分別是第居第二名(3.5%)和第三位(3%)。
與流向一個國家的所有流量相比,將攻擊流量標準化時,中國仍然位居第一,美國則從前十排行榜中消失了。Cloudflare發現,在流向中國網路的流量中,有 73% 的然而,標準化排名從第二名之後發生了變化,荷蘭成為攻擊流量該參加第二次高的國家(佔全國總流量的35%),緊隨其後的依次是泰國、台灣和巴西。
最常見的攻擊手段
網域名稱系統 ( DNS ) 相當於網路網路的電話簿。DNS 協助將人類友善的網站位址(如www.cloudflare.com)轉譯為機器友善的 IP 位址(如 104.16.124.96)。中斷 DNS 服務器,攻擊者就會影響電腦連線到網站的能力,導致使用者無法存取網站。
基於 DNS 的 DDoS 攻擊連續第二個季度成為最常見的攻擊。幾乎 47% 的攻擊都是基於 DNS 的。與上一季相比增加了 44%。SYN 洪水攻擊仍位居第二,然後依次為RST洪水攻擊、UDP洪水攻擊和Mirai攻擊。
新興威脅 —減少、重複使用和恢復
除了最常見的攻擊手段之外,我們還發現一些鮮為人知的攻擊手段顯著增加。由於威脅執行者試圖「減少、重複使用和恢復」較舊的攻擊手段,這些攻擊手段往往很不穩定。通常是基於UDP 的通訊協議,可用於觸發放大和反射DDoS 攻擊。
我們繼續看到的一種華麗的策略是使用放大/反射攻擊。在攻擊方法中,攻擊者會這種反射離開伺服器的流量,鎖定靈敏的槍支受害者。攻擊者可以透過IP詐騙等各種方法將反射的流量瞄準受害者。
另一種形式的呼叫可以在稱為「DNS Laundering 攻擊」的攻擊中以不同的方式實現。在 DNS Laundering 攻擊中,攻擊者將由受害者的 DNS 伺服器管理的網域的子網域進行查詢。子網域的首碼是隨機的,在這樣的攻擊中絕不會使用超過一次或多次。由於隨機化元素,遞回DNS伺服器不可能擁有已緩存的回應,需要將查詢轉寄至接收者的權威DNS伺服器。然後,權威DNS伺服器就會被過多的查詢轟炸,直到其無法處理合法的查詢,甚至完全崩潰。
整體而言,第三季是基於多點傳送 DNS (mDNS) 的 DDoS 攻擊是成長最多的攻擊方式。位居第二是利用約束應用協定 (CoAP) 的攻擊,位居第三是利用封裝Security Payload (ESP) 的攻擊。讓我們更深入地了解這些攻擊手段。
mDNS DDoS 攻擊增加了 456%
多點傳送DNS (mDNS) 是一種基於UDP 的通訊協議,在本地網路中用於服務/裝置探索。易受攻擊的mDNS 伺服器回應源自本地網路外的單播查詢,這些查詢「偽裝」 (修改)成為受害者的來源地址。這會產生放大的攻擊。第三季度,我們注意到 mDNS 攻擊表現大幅增長;比上一季度增長了 456%。
CoAP DDoS 攻擊成長了 387%
約束應用協定(CoAP)專為簡單的電子裝置而設計,能夠以低功耗、輕量級的方式實現裝置之間的通訊。然而,它可能會穿透IP詐騙或放大被欺騙於DDoS攻擊,因為惡意執行者會利用其多點傳送支援或利用不當設定的CoAP裝置來產生大量不必要的網路流量。這可能會導致目標系統服務中斷或過載,從而使合法用戶無法使用它們。
ESP DDoS 攻擊成長了 303%
DDoS 勒索攻擊
有時,DDoS 攻擊會被用於勒索贖金。迄今為止,我們已對 Cloudflare 客戶展開了三年多的調查,並一直在追蹤勒索型 DDoS 攻擊活動的發生情況。
在過去的本季度中,DDoS 勒索的攻擊報告數量持續減少。大約 8% 的參與者表示受到威脅或遭受 DDoS 勒索攻擊,我們一直在追蹤這一數字在上半年持續下降。希望這是因為執行威脅者已經意識到組織不會向他們支付費用(這是我們的建議)。
但是,請記住,這也是必然的,我們預計 11 月和 12 月期間 DDoS 勒索攻擊將會增加。如果我們查看過去三年第五季度的數據,可能會看到 11 月 DDoS 勒索攻擊同期顯著增加。在此前的第五個季度,星巴克的照明者表示遭受了DDoS 勒索攻擊。
在超流量 DDoS 攻擊時代提升防禦能力
在過去的一個季度中,我們看到 DDoS 流量攻擊構成了史無前例的激增。此次激增主要歸因於超流量 HTTP/2 DDoS 攻擊活動。
使用我們的 HTTP 反向代理(即我們的 CDN/WAF 服務)的 Cloudflare 用戶端已經受到保護,可承受這些攻擊和其他HTTP DDoS 攻擊。我們強烈建議使用非HTTP 服務的Cloudflare 用戶端以及完全不使用Cloudflare的組織架構 HTTP 應用程式使用自動化、永遠開啟 HTTP DDoS 保護服務。