歡迎閱讀第 18 版 Cloudflare DDoS 威脅趨勢報(bào)告。本報(bào)告每季度發(fā)布一次，對(duì)Cloudflare 網(wǎng)絡(luò)上觀察到的最新 DDoS 威脅態(tài)勢進(jìn)行深入分析。此版報(bào)告將重點(diǎn)介紹 2024 年第二季度的相關(guān)情況。

Cloudflare 憑借覆蓋全球 320 多個(gè)城市、容量達(dá) 280 TB/秒的龐大網(wǎng)絡(luò)（為 19% 的網(wǎng)站提供服務(wù)）占據(jù)有利條件，使其能夠向更廣泛的互聯(lián)網(wǎng)社群提供寶貴的洞察見解和趨勢分析。

2024 年第二季度的關(guān)鍵洞察及見解

• Cloudflare 記錄的 DDoS 攻擊數(shù)量同比增長 20%。
• 每 25 名受訪者中有 1 人表示，其遭受的 DDoS 攻擊由代表國家或政府支持的威脅行為者發(fā)起。
• 威脅行為者的能力達(dá)到空前的高水平，Cloudflare 的自動(dòng)化防御系統(tǒng)生成了 10 倍以上的攻擊特征，以抵御和緩解超級(jí)復(fù)雜的 DDoS 攻擊。

在深入探討之前，我們回顧一下什么是 DDoS 攻擊。分布式拒絕服務(wù) (DDoS)攻擊是一種網(wǎng)絡(luò)攻擊，目的是切斷或破壞互聯(lián)網(wǎng)服務(wù)（例如網(wǎng)站或移動(dòng)應(yīng)用程序），使用戶無法使用這些服務(wù)。通常采用的攻擊方式是使受害者的服務(wù)器不堪重負(fù)，無法處理過多流量，這些流量通常來自互聯(lián)網(wǎng)上的多個(gè)源，進(jìn)而導(dǎo)致服務(wù)器無法處理合法用戶流量。

2024 年上半年，Cloudflare 緩解了 850 萬次 DDoS 攻擊：第一季度 450 萬次，第二季度 400 萬次?？傮w而言，第二季度 DDoS 攻擊數(shù)量環(huán)比下降了 11%，但同比增長了 20%。

需要指出的是，2023 年全年，Cloudflare 緩解了 1400 萬次 DDoS 攻擊；相比之下，我們到 2024 年年中緩解的 DDoS 攻擊數(shù)量已達(dá)到了去年總量的 60%。

Cloudflare 已成功緩解了 10.2 萬億次 HTTP DDoS 請(qǐng)求和 57 PB 的網(wǎng)絡(luò)層 DDoS 攻擊流量，阻止其到達(dá)我們客戶的源服務(wù)器。

如果進(jìn)一步細(xì)分，則可以看到第二季度 400 萬次 DDoS 攻擊包括 220 萬次網(wǎng)絡(luò)層 DDoS 攻擊，以及 180 萬次 HTTP DDoS 攻擊。這個(gè) 180 萬次 HTTP DDoS 攻擊的數(shù)字經(jīng)過了標(biāo)準(zhǔn)化處理，以彌補(bǔ)復(fù)雜和隨機(jī) HTTP DDoS 攻擊數(shù)量激增的問題。Cloudflare 的自動(dòng)化防御系統(tǒng)生成了針對(duì) DDoS 攻擊的實(shí)時(shí)特征，并且由于這些復(fù)雜攻擊的隨機(jī)性，我們觀察到單次攻擊生成了許多特征 – 實(shí)際生成的特征數(shù)量接近 1900 萬，比 180 萬這個(gè)標(biāo)準(zhǔn)化處理后的數(shù)字高出十倍以上。為應(yīng)對(duì)因隨機(jī)攻擊所生成的數(shù)百萬個(gè)特征，均源于一些單一的規(guī)則。這些規(guī)則發(fā)揮了攔截攻擊的作用，但它們也導(dǎo)致特征數(shù)量虛高，因此，我們?cè)谟?jì)算時(shí)將其排除在外。

這種十倍數(shù)量的差異表明，威脅態(tài)勢已發(fā)生巨大變化。過去，使威脅行為者能夠發(fā)起此類隨機(jī)、復(fù)雜攻擊的工具和能力，與代表國家或政府支持的行為者的能力息息相關(guān)。但是，隨著生成式 AI 和自動(dòng)駕駛系統(tǒng)的興起，使得威脅行為者可以借勢更快速地編寫更優(yōu)質(zhì)的代碼，甚至一些“普通網(wǎng)絡(luò)犯罪分子”也掌握了這些能力。

DDoS 勒索攻擊

2024 年 5 月，報(bào)告遭受 DDoS 攻擊威脅行為者的威脅或DDoS 勒索攻擊的 Cloudflare 客戶比例達(dá)到 16%，為過去 12 個(gè)月以來的最高水平。第二季度初期的比例相對(duì)較低，7% 的客戶報(bào)告遭受了威脅或勒索攻擊。5 月，這一比例迅速躍升至 16%；6 月則略微下降至 14%。

總體而言，勒索 DDoS 攻擊在過去一年里呈季度環(huán)比增加。2024 年第二季度報(bào)告遭受威脅或勒索的客戶比例為 12.3%，略高于上一季度 (10.2%)，但與去年同期基本持平，也是 12.0%。

威脅行為者

75% 的受訪者表示，他們不知道攻擊者是誰，或?qū)Ψ桨l(fā)起攻擊的原因。這些受訪者都是遭受 HTTP DDoS 攻擊的 Cloudflare 客戶。

在聲稱了解攻擊者的受訪者中，59% 的人表示攻擊者是競爭對(duì)手。另有 21% 的受訪者表示，DDoS 攻擊由心懷不滿的客戶或用戶發(fā)起；另有 17% 的受訪者表示，DDoS 攻擊由代表國家或政府支持的威脅行為者發(fā)起。剩余 3% 的受訪者則表示他們?cè)馐芰恕耙蚱渥陨碓颉痹斐傻?DDoS 攻擊。

遭受攻擊最多的國家和地區(qū)

中國位居 2024 年第二季度全球遭受攻擊最多的國家和地區(qū)榜首。這個(gè)排名納入考慮的攻擊類型包括：HTTP DDoS 攻擊、網(wǎng)絡(luò)層 DDoS 攻擊、DDoS 攻擊流量占總流量的總量和百分比，并且圖表顯示了每個(gè)國家或地區(qū)的總體 DDoS 攻擊活動(dòng)。圖表中的條形圖越長，表示攻擊活動(dòng)數(shù)量越多。

緊隨中國之后是位居第二的土耳其，接著依次是新加坡、中國香港、俄羅斯、巴西和泰國。下表列出了遭受攻擊最多的前 15 個(gè)國家/地區(qū)中的其余國家和地區(qū)。

受攻擊最多的行業(yè)

信息技術(shù)和服務(wù)位居 2024 年第二季度遭受攻擊最多的目標(biāo)行業(yè)榜首。我們?cè)诖颂幨褂玫呐琶椒ㄗ裱懊嫠龅南嗤瓌t，即：將 HTTP DDoS 攻擊和網(wǎng)絡(luò)層 DDoS 攻擊的總量與相對(duì)攻擊流量提煉為一個(gè) DDoS 攻擊活動(dòng)排名。

電信、服務(wù)提供商和運(yùn)營商行業(yè)排第二，消費(fèi)品行業(yè)則排在第三。

如果僅分析 HTTP DDoS 攻擊，我們會(huì)看到截然不同的情況。就 HTTP DDoS 攻擊請(qǐng)求量而言，游戲和泛娛樂是遭受攻擊最多的行業(yè)。各個(gè)地區(qū)的細(xì)分?jǐn)?shù)據(jù)如下所示。

DDoS 攻擊最大來源

阿根廷位居 2024 年第二季度 DDoS 攻擊最大來源榜首。我們?cè)诖颂幨褂玫呐琶椒ㄗ裱懊嫠龅南嗤瓌t，即：將 HTTP DDoS 攻擊和網(wǎng)絡(luò)層 DDoS 攻擊的總量與相對(duì)攻擊流量提煉為一個(gè) DDoS 攻擊活動(dòng)排名。

印度尼西亞緊隨其后，排名第二；荷蘭排名第三。

DDoS 攻擊特征

• 網(wǎng)絡(luò)層 DDoS 攻擊手段

雖然基于 DNS 的 DDoS 攻擊數(shù)量季度環(huán)比減少了 49%，但它仍然是最常見的攻擊手段，其中DNS 洪水和DNS 放大攻擊合計(jì)占 37%。SYN 洪水次之，占 23%；隨后是 RST 洪水，占 10% 多一點(diǎn)。SYN 洪水與 RST 洪水都是基于 TCP 的 DDoS 攻擊。所有基于 TCP 的 DDoS 攻擊數(shù)量總共占網(wǎng)絡(luò)層 DDoS 攻擊總數(shù)的 38%。

HTTP DDoS 攻擊手段

運(yùn)營大型網(wǎng)絡(luò)的優(yōu)勢之一是我們可以發(fā)現(xiàn)許多流量和攻擊。這有助于我們優(yōu)化檢測和緩解系統(tǒng)來更好、更有效地保護(hù)客戶。Cloudflare 在第一季度使用針對(duì)自身已知僵尸網(wǎng)絡(luò)的專有啟發(fā)式方法緩解了一半數(shù)量的HTTP DDoS 攻擊。這些啟發(fā)式方法會(huì)指導(dǎo)我們的系統(tǒng)如何生成實(shí)時(shí)特征來匹配不同類型的攻擊。

另有 29% 的 HTTP DDoS 攻擊使用了虛假用戶代理、冒充瀏覽器，或來自無頭瀏覽器。另有 13% 的攻擊具備可疑的 HTTP 屬性，觸發(fā)了我們的自動(dòng)化防御系統(tǒng)；以及 7% 的攻擊被標(biāo)記為一般洪水。需要注意的一點(diǎn)是，這些攻擊手段或攻擊組織不一定具有排他性。例如，已知的僵尸網(wǎng)絡(luò)也會(huì)冒充瀏覽器以及具備可疑的 HTTP 屬性，但這是我們對(duì) HTTP DDoS 攻擊進(jìn)行分類的初步嘗試。

·DDoS 攻擊中使用的 HTTP 版本

在第二季度，大約一半的 Web 流量使用 HTTP/2，29% 使用 HTTP/1.1，五分之一使用 HTTP/3，接近 0.62% 使用 HTTP/1.0，0.01% 使用 HTTP/1.2。

HTTP DDoS 攻擊在版本采用方面遵循類似的模式，盡管也是更傾向于使用 HTTP/2。76% 的 HTTP DDoS 攻擊流量使用 HTTP/2 版本，接近 22% 的流量使用 HTTP/1.1。另一方面，HTTP/3 的使用量相對(duì)要少得多。只有 0.86% 的 HTTP DDoS 攻擊流量使用 HTTP/3，與此形成鮮明對(duì)比的是，20% 的 Web 流量采用 HTTP/3。

·DDoS 攻擊持續(xù)時(shí)間

絕大多數(shù) DDoS 攻擊的持續(xù)時(shí)間比較短。超過 57% 的 HTTP DDoS 攻擊以及 88% 的網(wǎng)絡(luò)層 DDoS 攻擊在 10 分鐘內(nèi)結(jié)束。這凸顯了對(duì)自動(dòng)化內(nèi)聯(lián)檢測和緩解系統(tǒng)的需求。因?yàn)槿绻咳藶閬眄憫?yīng)警報(bào)、分析流量，以及應(yīng)用手動(dòng)緩解措施，十分鐘遠(yuǎn)遠(yuǎn)不夠。

在圖表的另一端，我們可以看到，大約四分之一的 HTTP DDoS 攻擊持續(xù)時(shí)間超過一小時(shí)，近五分之一的攻擊持續(xù)時(shí)間超過一天。而持續(xù)時(shí)間較長的網(wǎng)絡(luò)層 DDoS 攻擊數(shù)量明顯減少，只有 1% 的網(wǎng)絡(luò)層 DDoS 攻擊持續(xù)時(shí)間超過 3 小時(shí)。

• DDoS 攻擊規(guī)模

大多數(shù) DDoS 攻擊規(guī)模相對(duì)較小。超過 95% 的網(wǎng)絡(luò)層 DDoS 攻擊低于 500 兆比特/秒，86% 的網(wǎng)絡(luò)層 DDoS 攻擊低于 50,000 個(gè)數(shù)據(jù)包/秒。

同樣地，81% 的 HTTP DDoS 攻擊低于每秒 5 萬個(gè)請(qǐng)求。雖然這些速率在 Cloudflare 的網(wǎng)絡(luò)規(guī)模上顯得很小，但是對(duì)于不習(xí)慣這種流量水平的未受保護(hù)網(wǎng)站而言，此類攻擊仍然可能會(huì)造成破壞性影響。

盡管大多數(shù)攻擊規(guī)模較小，但較大型的容量耗盡攻擊的數(shù)量有所增加。每 100 次網(wǎng)絡(luò)層 DDoS 攻擊中，有一次超過 100 萬個(gè)數(shù)據(jù)包/秒 (pps)；每 100 次網(wǎng)絡(luò)層 DDoS 攻擊中，有兩次超過 500 兆比特/秒。在第 7 層（應(yīng)用程序?qū)樱?1000 次 HTTP DDoS 攻擊中，有 4 次超過每秒 100 萬個(gè)請(qǐng)求。