歡迎閱讀第十六版 Cloudflare DDoS 威脅報告。本版涵蓋 2023 年第四季和最後一個季度的 DDoS 趨勢和主要調查結果,並對全年主要趨勢進行了回顧。
什麼是 DDoS 攻擊?
DDoS 攻擊或分散式阻斷服務攻擊是一種網路攻擊,旨在破壞網站和用戶的線上服務,透過超出用戶處理能力的流量壓倒用戶,使用戶無法使用。它們類似於堵塞道路的汽車堵塞,導致駕駛員無法到達目的地。
我們將在本報告中介紹三種主要類型的 DDoS 攻擊。第一種是HTTP 請求密集型 DDoS 攻擊,旨在以超出 HTTP 伺服器處理能力的請求壓垮 HTTP 伺服器,導致拒絕服務事件。第二種是IP 封包密集型 DDoS 攻擊,旨在用超出其處理能力的封包壓垮路由器、防火牆和伺服器等串聯設備。第三種是位密集型攻擊,旨在使網路連結飽和並堵塞,從而導致我們討論的「僵局」。在本報告中,我們將重點介紹有關所有三種類型攻擊的各種技術和見解。
您可以在此處找到該報告的先前版本,也可以在Cloudflare Radar上找到。Cloudflare Radar 展示了全球網路流量、攻擊以及技術趨勢和見解,具有深入分析和過濾功能,可放大特定國家、產業和服務供應商的見解。Cloudflare Radar 還提供免費 API,讓學者、資料偵探和其他網路愛好者調查全球網路使用情況。
主要發現
- 第四季度,我們觀察到網路層 DDoS 攻擊年增 117%,黑色星期五和節慶期間及前後針對零售、貨運和公共關係網站的 DDoS 活動總體有所增加。
- 第四季度,由於大選即將到來以及與中國的緊張關係,針對台灣的 DDoS 攻擊流量較去年增加了 3,370%。隨著以色列和哈馬斯之間的軍事衝突持續,針對以色列網站的 DDoS 攻擊流量百分比環比增長 27%,針對巴勒斯坦網站的 DDoS 攻擊流量百分比環比增長 1,126%。
- 第四季度,針對環境服務網站的 DDoS 攻擊流量與前一年相比激增了 61,839%,恰逢第 28 屆聯合國氣候變遷會議 (COP 28) 召開。
要深入分析這些關鍵發現和其他見解,可以重新定義您對當前網路安全挑戰的理解,請繼續閱讀!
超容量 HTTP DDoS 攻擊
2023 年是未知領域的一年。DDoS 攻擊在規模和複雜性方面達到了新的高度。包括 Cloudflare 在內的更廣泛的網路社群面臨著持續且精心策劃的數千次超容量 DDoS 攻擊活動,其攻擊速度前所未有。
這些攻擊非常複雜,並且利用了HTTP/2 漏洞。Cloudflare 開發了專門建立的技術來減輕漏洞的影響,並與業內其他公司合作以負責任的方式揭露漏洞。
作為 DDoS 活動的一部分,我們的系統在第三季度緩解了我們所見過的最大規模的攻擊——每秒 2.01 億個請求 (rps)。這幾乎是我們之前在 2022 年創下的 2,600 萬 rps 記錄的 8 倍。
網路層 DDoS 攻擊的成長
在超大容量活動平息後,我們發現 HTTP DDoS 攻擊意外下降。總體而言,2023 年,我們的自動化防禦緩解了超過 520 萬次 HTTP DDoS 攻擊,其中包含超過 26 兆個請求。平均每小時有 594 起 HTTP DDoS 攻擊和 30 億個緩解請求。
儘管有這些天文數字,但與2022 年相比,HTTP DDoS 攻擊請求數量實際上下降了20%。這種下降不僅是年度下降,而且在2023 年第四季度也觀察到,其中HTTP DDoS 攻擊請求數量較去年同期下降7%,較去年同期下降18%季減。
在網路層,我們看到了完全不同的趨勢。2023 年,我們的自動化防禦緩解了 870 萬次網路層 DDoS 攻擊。這比 2022 年增加了 85%。
2023 年第四季度,Cloudflare 的自動防禦緩解了超過 80 PB 的網路層攻擊。平均而言,我們的系統每小時自動緩解 996 次網路層 DDoS 攻擊和 27 TB 攻擊。2023年第四季網路層DDoS攻擊數量年增175%,季增25%。
DDoS 攻擊在 COP 28 期間及前後增加
2023 年最後一個季度,網路威脅格局發生了重大轉變。雖然加密貨幣產業最初在 HTTP DDoS 攻擊請求量方面處於領先地位,但一個新的目標成為主要受害者。環境服務產業經歷了前所未有的 HTTP DDoS 攻擊激增,這些攻擊佔其所有 HTTP 流量的一半。與前一年相比,這一數字驚人地增長了 618 倍,突顯了網路威脅情勢中令人不安的趨勢。
網路攻擊的激增恰逢 2023 年 11 月 30 日至 12 月 12 日舉行的第 28 屆締約方大會 (COP 28)。這次會議是一次關鍵事件,標誌著許多人認為化石燃料時代「終結的開始。據觀察,在 COP 28 之前的一段時間內,針對環境服務網站的 HTTP 攻擊明顯激增。這種模式不僅與此事件有關。
回顧歷史數據,特別是 COP 26 和 COP 27 期間的數據,以及其他聯合國環境相關決議或公告,會出現類似的模式。每一次事件都伴隨著針對環境服務網站的網路攻擊的相應增加。
2023 年 2 月和 3 月,聯合國關於氣候正義的決議和聯合國環境規劃署淡水挑戰的啟動等重大環境事件可能提高了環境網站的知名度,可能與這些網站受到的攻擊增加有關。
這種反覆出現的模式凸顯了環境問題與網路安全之間日益增長的交叉點,這種聯繫日益成為數位時代攻擊者的焦點。
DDoS 攻擊與鐵劍
引發 DDoS 攻擊的不僅是聯合國決議。網路攻擊,尤其是 DDoS 攻擊,長期以來一直是戰爭和破壞的工具。我們在烏克蘭-俄羅斯戰爭中目睹了 DDoS 攻擊活動的增加,現在我們在以色列-哈馬斯戰爭中也目睹了這種情況。我們首先在報告《以色列-哈馬斯戰爭中的網路攻擊》中報告了網路活動,並在整個第四季度繼續監控該活動。
相對於每個地區的流量,巴勒斯坦領土是第四季度遭受 HTTP DDoS 攻擊的第二大地區。在針對巴勒斯坦網站的所有 HTTP 請求中,超過 10% 是 DDoS 攻擊,總共 13 億個 DDoS 請求,環比增長了 1,126%。90% 的 DDoS 攻擊都針對巴勒斯坦銀行網站。另外 8% 針對資訊科技和網路平台。
同樣,我們的系統自動緩解了針對以色列網站的超過 22 億個 HTTP DDoS 請求。雖然 22 億人次較上一季和上一年有所下降,但在前往以色列的總客流量中所佔比例確實較高。這一標準化數字較上季成長 27%,但年減 92%。儘管攻擊流量較大,但相對於其自身流量而言,以色列在受攻擊最多的地區中排名第 77 位。以襲擊總數計算,該國在遭受襲擊最多的地區排名第 33 位,而巴勒斯坦領土排名第 42 位。
在這些受到攻擊的以色列網站中,報紙和媒體是主要目標 — 受到以色列境內所有 HTTP DDoS 攻擊的近 40%。第二個最受攻擊的產業是電腦軟體產業。銀行、金融機構和保險(BFSI)行業位居第三。
在網路層,我們看到了同樣的趨勢。巴勒斯坦網路成為 470 TB 攻擊流量的目標,佔巴勒斯坦網路所有流量的 68% 以上。相對於所有巴勒斯坦領土的流量而言,這個數字僅次於中國,使巴勒斯坦領土成為世界上第二大受網路層 DDoS 攻擊最嚴重的地區。以絕對流量計算,它排名第三。這 470 TB 約佔 Cloudflare 緩解的所有 DDoS 流量的 1%。
然而,以色列網路僅受到 2.4 TB 攻擊流量的攻擊,使其成為網路層 DDoS 攻擊(標準化)中第八大受攻擊國家。這 2.4 TB 幾乎佔以色列網路所有流量的 10%。
當我們扭轉局面時,我們發現以色列資料中心攝取的所有位元組中有 3% 是網路層 DDoS 攻擊。在我們位於巴勒斯坦的資料中心,這個數字要高得多——大約佔所有位元組的 17%。
在應用程式層,我們看到來自巴勒斯坦 IP 位址的 HTTP 請求中有 4% 是 DDoS 攻擊,來自以色列 IP 位址的 HTTP 請求中也有近 2% 是 DDoS 攻擊。
DDoS 攻擊的主要來源
2022年第三季度,中國是最大的HTTP DDoS攻擊流量來源。然而,自2022年第四季以來,美國成為HTTP DDoS攻擊最大來源地第一,並連續五季維持這一不利地位。同樣,我們位於美國的資料中心吸收的網路層 DDoS 攻擊流量最多,佔所有攻擊位元組數的 38% 以上。
中國和美國合計佔全球 HTTP DDoS 攻擊流量的四分之一多一點。巴西、德國、印尼和阿根廷佔接下來的百分之二十五。
這些大數字通常對應於大市場。為此,我們也透過比較出站流量,對來自各國的攻擊流量進行歸一化。當我們這樣做時,我們經常會發現小島嶼國家或較小市場國家的攻擊流量不成比例。第四季度,聖赫勒拿島 40% 的出站流量是 HTTP DDoS 攻擊,位居榜首。繼「偏遠火山熱帶島嶼」之後,利比亞排名第二,史瓦帝尼(也稱為史瓦帝尼)排名第三。阿根廷和埃及緊追在後,分居第四和第五。
在網路層面,津巴布韋位居第一。我們位於辛巴威的資料中心吸收的所有流量中近 80% 都是惡意的。排名第二的是巴拉圭,排名第三的是馬達加斯加。
最受攻擊的產業
從攻擊流量來看,加密貨幣是第四季受攻擊最多的產業。超過 3300 億個 HTTP 請求以它為目標。這一數字佔本季所有 HTTP DDoS 流量的 4% 以上。第二個最受攻擊的產業是博彩業。這些行業因成為令人垂涎的目標而聞名,並吸引大量流量和攻擊。
在網路層,資訊科技和網路產業受到的攻擊最為嚴重,超過45%的網路層DDoS攻擊流量都是針對該產業的。緊隨其後的是銀行、金融服務和保險(BFSI)、博彩和電信業。
為了改變觀點,我們在這裡也將攻擊流量標準化為特定產業的總流量。當我們這樣做時,我們會得到不同的畫面。
我們在本報告的開頭已經提到,相對於其自身的流量,環境服務業受到的攻擊最嚴重。排在第二位的是包裝和貨運行業,該行業很有趣,因為它與黑色星期五和冬季假期期間的線上購物具有及時的相關性。購買的禮物和商品需要以某種方式到達目的地,而攻擊者似乎試圖幹擾這一點。同樣,針對零售公司的 DDoS 攻擊比前一年增加了 23%。
在網路層,公共關係和通訊是最受攻擊的行業——36%的流量是惡意的。考慮到它的時機,這也非常有趣。公共關係和傳播公司通常與管理公眾認知和傳播有關。擾亂他們的營運可能會立即產生廣泛的聲譽影響,這在第四季度假期期間變得更加嚴重。由於假期、年終總結和新年準備,本季度公關和溝通活動通常會增加,這使其成為關鍵的運營時期 – 有些人可能想擾亂這一時期。
受攻擊最多的國家和地區
新加坡是第四季 HTTP DDoS 攻擊的主要目標。超過 3,170 億個 HTTP 請求(佔全球 DDoS 流量的 4%)是針對新加坡網站的。美國緊隨其後,排名第二,加拿大排名第三。在即將舉行的大選和與中國的緊張關係中,台灣成為第四大受攻擊地區。第四季台灣方向攻擊流量年增 847%,季增 2,858%。這種增加不限於絕對值。標準化後,針對台灣的 HTTP DDoS 攻擊流量相對於所有台灣方向流量的百分比也顯著增加。季增 624%,年增 3,370%。
雖然中國在 HTTP DDoS 攻擊最嚴重的國家中排名第九,但在網路層攻擊最嚴重的國家中卻排名第一。Cloudflare 在全球緩解的所有網路層 DDoS 流量中有 45% 是流向中國的。其他國家遠遠落後,幾乎可以忽略不計。
在數據標準化時,伊拉克、巴勒斯坦領土和摩洛哥就其入境總流量而言,成為受攻擊最嚴重的地區。有趣的是,新加坡排名第四。因此,新加坡不僅面臨最大數量的 HTTP DDoS 攻擊流量,而且該流量也佔新加坡總流量的很大一部分。相較之下,美國的攻擊量排名第二(根據上面的應用程式層圖表),但就前往美國的總流量而言,排名第 50 位。
與新加坡類似,但可以說更引人注目的是,中國是網路層 DDoS 攻擊流量以及所有前往中國的流量中遭受攻擊最多的國家。Cloudflare 緩解了近 86% 的中國流量中的網路層 DDoS 攻擊。巴勒斯坦領土、巴西、挪威和新加坡緊追在後,攻擊流量比例很高。
攻擊向量和屬性
相對於 Cloudflare 的規模,大多數 DDoS 攻擊都是短暫且較小的。然而,如果沒有適當的內聯自動保護,未受保護的網站和網路仍然可能遭受短期和小型攻擊的破壞,這凸顯了組織需要主動採取強大的安全態勢。
2023 年第四季度,91% 的攻擊在 10 分鐘內結束,97% 的攻擊峰值低於 500 兆位元每秒 (mbps),88% 的攻擊從未超過每秒 5 萬個封包 (pps)。
每 100 起網路層 DDoS 攻擊就有 2 起持續時間超過一小時,且超過每秒 1 千兆位元 (gbps)。每 100 次攻擊就有一次超過每秒 100 萬個資料包。此外,每秒超過1億包的網路層DDoS攻擊量較上季成長15%。
其中一次大型攻擊是 Mirai 殭屍網路攻擊,峰值每秒處理 1.6 億個資料包。每秒資料包速率並不是我們所見過的最大速率。我們見過的最大資料包數是每秒 7.54 億個資料包。那次襲擊發生在 2020 年,我們還沒有看到更大規模的襲擊。
不過,最近的攻擊在每秒比特率方面是獨一無二的。這是我們在第四季看到的最大規模的網路層 DDoS 攻擊。它的峰值速度為每秒 1.9 太比特,源自Mirai 殭屍網路。這是多向量攻擊,意味著它結合了多種攻擊方法。其中一些方法包括 UDP 片段泛洪、UDP/Echo 泛洪、SYN 泛洪、ACK 泛洪和 TCP 格式錯誤標誌。
該攻擊針對的是一家已知的歐洲雲端供應商,源自超過 18,000 個被認為是詐欺的唯一 IP 位址。Cloudflare 的防禦系統會自動偵測並緩解問題。
這表明即使是最大的攻擊也會很快結束。我們之前見過的大型攻擊在幾秒鐘內就結束了——這凸顯了對線上自動防禦系統的需求。儘管仍然很少見,但太比特範圍內的攻擊正變得越來越突出。
Mirai 變種殭屍網路的使用仍然很常見。在第四季度,幾乎 3% 的攻擊來自 Mirai。儘管如此,在所有攻擊方法中,基於 DNS 的攻擊仍然是攻擊者最喜歡的。DNS 洪水和 DNS 放大攻擊總計佔第四季所有攻擊的近 53%。SYN 洪水位居第二,UDP 洪水位居第三。我們將在這裡介紹兩種 DNS 攻擊類型,您可以訪問我們的學習中心的超連結以了解有關 UDP 和 SYN 洪水的更多資訊。
DNS 淹水和放大攻擊
DNS 泛洪和 DNS 放大攻擊都利用網域名稱系統 (DNS),但操作方式不同。DNS 就像網路的電話簿,將「www.cloudfare.com」等人類友善的網域轉換為電腦用來在網路上互相識別的數位 IP 位址。
簡而言之,基於 DNS 的 DDoS 攻擊包括一種電腦和伺服器用於相互識別以導致中斷或中斷的方法,而無需實際「關閉」伺服器。例如,伺服器可能已啟動並正在運行,但 DNS 伺服器已關閉。因此,客戶端將無法連接到它,並將體驗到中斷。
DNS洪水攻擊使用大量 DNS 查詢轟炸 DNS 伺服器。這通常是使用DDoS 殭屍網路來完成的。大量的查詢可能會壓垮 DNS 伺服器,使其難以或不可能回應合法查詢。對於那些嘗試存取依賴目標 DNS 伺服器的網站或服務的人來說,這可能會導致上述服務中斷、延遲甚至中斷。
另一方面,DNS 放大攻擊涉及使用欺騙性 IP 位址(受害者的位址)向 DNS 伺服器發送小查詢。這裡的技巧是 DNS 回應明顯大於請求。然後,伺服器將這個大響應傳送到受害者的 IP 位址。透過利用開放的 DNS 解析器,攻擊者可以放大發送給受害者的流量,從而造成更嚴重的影響。這種類型的攻擊不僅會擾亂受害者,還會導致整個網路擁塞。
在這兩種情況下,攻擊都利用了 DNS 在網路運作中的關鍵作用。緩解策略通常包括保護 DNS 伺服器免於濫用、實施速率限制以管理流量以及過濾 DNS 流量以識別和封鎖惡意請求。
在我們追蹤的新興威脅中,與上季相比,我們記錄到 ACK-RST 洪水增加了 1,161%,CLDAP 洪水增加了 515%,SPSS 洪水增加了 243%。讓我們來看看其中一些攻擊以及它們如何造成破壞。
ACK-RST 洪水
ACK-RST 洪水攻擊透過向受害者發送大量 ACK 和 RST 封包來利用傳輸控制協定 (TCP) 。這會削弱受害者處理和回應這些資料包的能力,從而導致服務中斷。這種攻擊是有效的,因為每個 ACK 或 RST 封包都會提示受害者係統做出回應,從而消耗其資源。ACK-RST 洪水通常難以過濾,因為它們模仿合法流量,使得檢測和緩解具有挑戰性。
CLDAP 洪水
CLDAP(無連線輕量級目錄存取協定)是 LDAP(輕量級目錄存取協定)的變體。它用於查詢和修改透過 IP 網路運行的目錄服務。CLDAP 是無連線的,使用 UDP 而不是 TCP,使其速度更快,但可靠性較差。因為它使用 UDP,所以沒有握手要求,這使得攻擊者可以欺騙 IP 位址,從而允許攻擊者將其用作反射向量。在這些攻擊中,小型查詢透過欺騙性來源 IP 位址(受害者的 IP)發送,導致伺服器向受害者發送大量回應,使其不堪重負。緩解措施包括過濾和監控異常 CLDAP 流量。
SPSS洪水
濫用 SPSS(來源連接埠服務掃描)協定的洪水是一種網路攻擊方法,涉及從大量隨機或欺騙的來源連接埠向目標系統或網路上的各種目標連接埠發送資料包。這種攻擊的目的有兩個:首先,壓倒受害者的處理能力,導致服務中斷或網路中斷;其次,它可用於掃描開放連接埠並識別易受攻擊的服務。洪水是透過發送大量資料包來實現的,這會使受害者的網路資源飽和,並耗盡其防火牆和入侵偵測系統的能力。為了減輕此類攻擊,必須利用線上自動偵測功能。
Cloudflare 隨時為您提供協助 – 無論攻擊類型、規模或持續時間為何
Cloudflare 的使命是幫助建立更好的互聯網,我們相信更好的互聯網是安全、高效且可供所有人使用的互聯網。無論攻擊類型、攻擊規模、攻擊持續時間或攻擊背後的動機,Cloudflare 的防禦能力都很強。自 2017 年率先推出不計量 DDoS 防護以來,我們一直做出並信守承諾,為所有組織提供免費的企業級 DDoS 防護,當然,不會影響效能。這是透過我們獨特的技術和強大的網路架構來實現的。
重要的是要記住,安全是一個過程,而不是單一產品或開關的翻轉。除了我們的自動化 DDoS 防護系統之外,我們還提供全面的捆綁功能,例如防火牆、機器人偵測、API 防護和緩存,以增強您的防禦能力。我們的多層方法可優化您的安全狀況並最大程度地減少潛在影響。我們還整理了一系列建議來幫助您優化 DDoS 攻擊的防禦,並且您可以按照我們的逐步嚮導來保護您的應用程式並防止 DDoS 攻擊。而且,如果您想受益於我們易於使用、一流的防禦 DDoS 和其他網路攻擊的保護措施,您可以免費註冊!