2021年第三季度DDoS攻击趋势报告-cloudflare

2021年第三季度DDoS攻击趋势报告-cloudflare

2021 年第三季度对于 DDoS 攻击者来说是一个繁忙的季度。Cloudflare 观察并缓解了创纪录的 HTTP DDoS 攻击TB 级强网络层攻击、有史以来部署的最大僵尸网络之一 (Meris),以及最近针对 IP 语音 (VoIP) 服务提供商及其网络基础设施的勒索 DDoS 攻击世界各地。

以下是对 21 年第三季度观察到的趋势的总结:

应用层(L7)DDoS攻击趋势:

  • 2021 年,美国公司连续第二个季度成为全球最受攻击的目标
  • 2021 年,针对英国和加拿大公司的攻击首次猛增,分别使它们成为第二和第三大目标国家。
  • 与上一季度相比,对计算机软件、游戏/赌博、IT 和互联网公司的攻击平均增加了 573%。
  • Meris 是历史上最强大的僵尸网络之一,帮助发起了跨行业和国家/地区的 DDoS 活动。

网络层(L3/4)DDoS攻击趋势:

  • 与上一季度相比,全球 DDoS 攻击增加了 44%。
  • 中东和非洲的平均攻击增幅最大,约为 80%。
  • 摩洛哥在第三季度记录了全球最高的 DDoS 活动——每 100 个数据包中有 3 个是 DDoS 攻击的一部分。
  • 虽然 SYN 和 RST 攻击仍然是攻击者使用的主要攻击方法,但 Cloudflare 观察到DTLS放大攻击激增- 环比增长 3549%。
  • 攻击者针对(并将继续针对今年第四季度)VoIP 服务提供商发起大规模 DDoS 攻击活动,试图破坏 SIP 基础设施。

避免数据偏差注意事项:在分析攻击趋势时,我们计算“DDoS活动”率,即攻击流量占总流量(攻击+清理)的百分比。在报告应用程序层和网络层 DDoS 攻击趋势时,我们使用此指标,这使我们能够标准化数据点并避免偏向,例如,自然处理更多流量的更大 Cloudflare 数据中心,因此也可能更多与位于其他地方的较小 Cloudflare 数据中心相比。

应用层 DDoS 攻击

应用层 DDoS 攻击,特别是 HTTP DDoS 攻击,是一种通常旨在通过使 Web 服务器无法处理合法用户请求来破坏它的攻击。如果服务器受到的请求数量超过其处理能力,服务器将丢弃合法请求,并且在某些情况下会崩溃,从而导致性能下降或合法用户中断。

21 年第 3 季度是 Meris 的季度——Meris 是最强大的僵尸网络之一,用于发起历史上一些最大的 HTTP DDoS 攻击。

上个季度,我们观察到最大的 HTTP 攻击之一——1720 万 rps(每秒请求数)——针对金融服务行业的客户。众所周知,有史以来最强大的僵尸网络之一,称为 Meris,被部署在发起这些攻击中。

Meris(拉脱维亚语为瘟疫)是最近 DDoS 攻击背后的僵尸网络,攻击目标是世界各地的网络或组织。Meris 僵尸网络感染了拉脱维亚公司 MikroTik 制造的路由器和其他网络设备。根据 MikroTik 的博客,MikroTik RouterOS 中的一个漏洞(在 2018 年被检测到后进行了修补)在尚未修补的设备中被利用来构建僵尸网络,并由不良行为者发起协调的 DDoS 攻击。

与2016 年的Mirai 僵尸网络类似,Meris 是有记录的最强大的僵尸网络之一。虽然 Mirai 感染了智能相机等低计算能力的物联网设备,但 Meris 是越来越多的网络基础设施(如路由器和交换机),其处理能力和数据传输能力比物联网设备高得多——这使得它们更容易在更大的范围内造成伤害。尽管如此,Meris是一个例子,说明攻击量不一定能保证对目标造成伤害。据我们所知,尽管 Meris 实力强大,但未能造成重大影响或互联网中断。另一方面,通过在 2016 年战术上瞄准 DYN DNS 服务,Mirai 成功地造成了重大的互联网中断。

行业应用层 DDoS 攻击

科技和游戏行业是 21 年第三季度最受关注的行业。

当我们分解行业针对的应用层攻击时,计算机软件公司位居榜首。游戏/赌博行业,也被称为在线攻击的常规目标,紧随其后,其次是互联网和 IT 行业。

2021年第三季度DDoS攻击趋势报告-cloudflare

来源国应用层 DDoS 攻击

为了了解 HTTP 攻击的起源,我们查看属于生成攻击 HTTP 请求的客户端的源 IP 地址的地理位置。与网络层攻击不同,HTTP 攻击中不能伪造源 IP 。特定国家/地区的高 DDoS 活动率通常表明存在从内部运行的僵尸网络。

2021 年第三季度,大多数攻击来自中国、美国和印度的设备/服务器。虽然中国仍然位居第一,但与上一季度相比,源自中国 IP 的攻击数量实际上下降了 30%。几乎每 200 个来自中国的 HTTP 请求中就有一个是 HTTP DDoS 攻击的一部分。

此外,来自巴西和德国的攻击与上一季度相比减少了 38%。来自美国和马来西亚的攻击分别减少了 40% 和 45%。

2021年第三季度DDoS攻击趋势报告-cloudflare

目标国家应用层 DDoS 攻击

为了确定 L7 攻击最容易针对哪些国家/地区,我们按客户的计费国家/地区对 DDoS 活动进行了细分。

今年连续第二年,美国的组织成为全球 L7 DDoS 攻击的目标最多的组织,其次是英国和加拿大的组织。

2021年第三季度DDoS攻击趋势报告-cloudflare

网络层 DDoS 攻击

应用层攻击的目标是运行最终用户尝试访问的服务的应用程序(OSI 模型的第 7 层),而网络层攻击的目标是压倒网络基础设施(例如内嵌路由器和服务器)和 Internet 链接本身。

Mirai-variant 僵尸网络攻击力为 1.2 Tbps。

21 年第三季度也是臭名昭著的 Mirai 复兴的季度。Mirai 变体僵尸网络发起了十多次基于 UDP 和 TCP 的 DDoS 攻击,峰值多次超过 1 Tbps,最大峰值约为 1.2 Tbps。这些网络层攻击针对使用Magic TransitSpectrum服务的Cloudflare 客户。其中一个目标是亚太地区的主要互联网服务、电信和托管服务提供商,另一个目标是一家游戏公司。在所有情况下,攻击都被自动检测并缓解,无需人工干预。

网络层DDoS攻击[按月]

到目前为止,9 月是今年攻击者最繁忙的月份。

21年第三季度占今年所有攻击的 38% 以上。9 月是 2021 年迄今为止攻击者最繁忙的月份——占今年所有攻击的 16% 以上。

2021年第三季度DDoS攻击趋势报告-cloudflare

网络层 DDoS 攻击[按攻击率]

大多数攻击的规模“很小”,但较大攻击的数量继续增加。

有多种方法可以衡量 L3/4 DDoS 攻击的规模。一个是它提供的流量,以比特率(特别是每秒太比特或每秒千兆比特)来衡量。另一个是它传递的数据包数量,以数据包速率(特别是每秒数百万个数据包)来衡量。

高比特率的攻击试图通过阻塞 Internet 链接来导致拒绝服务事件,而高数据包率的攻击试图压倒服务器、路由器或其他内嵌硬件设备。设备将一定量的内存和计算能力用于处理每个数据包。因此,通过使用许多数据包对其进行轰击,设备可以没有进一步的处理资源。在这种情况下,数据包被“丢弃”,即设备无法处理它们。对于用户来说,这会导致服务中断和拒绝服务。

攻击的规模(比特率)和月份分布如下所示。有趣的是,所有超过 400 Gbps 的攻击都发生在 8 月份,包括我们见过的一些最大的攻击;多次攻击的峰值超过 1 Tbps,最高可达 1.2 Tbps。

2021年第三季度DDoS攻击趋势报告-cloudflare

数据包率
正如前几个季度所见,在 21 年第 3 季度观察到的大多数攻击的规模都相对较小——近 89% 的所有攻击的峰值低于每秒 5 万个数据包 (pps)。虽然大多数攻击规模较小,但我们观察到较大攻击的数量环比增加——峰值超过 10M pps 的攻击环比增加了 142%。

2021年第三季度DDoS攻击趋势报告-cloudflare

每秒1-1000万个数据包的攻击比上一季度增加了196%。这一趋势也与我们在上个季度观察到的情况类似,表明更大的攻击正在增加。

2021年第三季度DDoS攻击趋势报告-cloudflare

比特率
从比特率的角度来看,观察到了类似的趋势——所有攻击中总共有 95.4% 的峰值低于 500 Mbps。

2021年第三季度DDoS攻击趋势报告-cloudflare

QoQ 数据显示,规模从 500 Mbps 到 10 Gbps 的攻击数量与上一季度相比大幅增长了 126% 到 289%。超过 100 Gbps 的攻击减少了近 14%。

较大比特率攻击的数量环比增加(一个例外是超过 100 Gbps 的攻击,其环比下降了近 14%)。特别是,500 Mbps 到 1 Gbps 范围内的攻击环比增长了 289%,而 1 Gbps 到 100 Gbps 范围内的攻击增长了 126%。

这一趋势再次说明,虽然(总体上)大多数攻击确实较小,但“较大”攻击的数量正在增加。这表明更多的攻击者正在获得更多的资源来发起更大规模的攻击。

2021年第三季度DDoS攻击趋势报告-cloudflare

按持续时间划分的网络层 DDoS 攻击

大多数攻击持续时间不到一小时.

我们通过记录系统首次将攻击检测为攻击与我们看到的带有该攻击特征的最后一个数据包之间的差异来衡量攻击的持续时间。与前几个季度一样,大多数攻击都是短暂的。具体而言,94.4% 的 DDoS 攻击持续时间不到一个小时。在轴的另一端,21 年第三季度超过 6 小时的攻击占不到 0.4%,我们确实看到 1-2 小时的攻击环比增长了 165%。尽管如此,更长的攻击并不一定意味着更危险的攻击。

2021年第三季度DDoS攻击趋势报告-cloudflare

短时间攻击很容易被发现,尤其是突发攻击,它会在几秒钟内用大量数据包、字节或请求轰炸目标。在这种情况下,依靠安全分析手动缓解的 DDoS 保护服务没有机会及时缓解攻击。他们只能在攻击后的分析中从中吸取教训,然后部署一个新规则来过滤攻击指纹,并希望下次能抓住它。同样,使用“按需”服务(安全团队在攻击期间将流量重定向到 DDoS 提供商)也是低效的,因为在流量路由到按需 DDoS 提供商之前攻击已经结束。

Cloudflare 建议公司使用自动化的、永远在线的 DDoS 保护服务来分析流量并足够快地应用实时指纹识别以阻止短期攻击。Cloudflare 分析路径外流量,确保 DDoS 缓解不会给合法流量增加任何延迟,即使在永远在线的部署中也是如此。一旦识别出攻击,我们的自主边缘 DDoS 保护系统 ( dosd ) 就会生成并应用带有实时签名的动态制定的规则。包含已知流量模式的允许/拒绝列表的预配置防火墙规则立即生效。

攻击向量

SYN 泛洪仍然是攻击者最喜欢的攻击方法,而对 DTLS 的攻击则出现了大幅增长——环比增长 3,549%。

攻击向量是用于描述攻击者在尝试引起拒绝服务事件时所使用的方法的术语。

正如前几个季度所观察到的,利用 SYN 泛洪的攻击仍然是攻击者最常用的方法。

一个SYN洪水攻击是一种DDoS攻击通过利用TCP协议的根基攻击的作品-作为3路TCP握手的一部分的客户端和服务器之间的有状态TCP连接。作为 TCP 握手的一部分,客户端发送带有同步标志 (SYN) 的初始连接请求数据包。服务器使用包含同步确认标志 (SYN-ACK) 的数据包进行响应。最后,客户端以确认 (ACK) 数据包进行响应。此时,连接建立并可以交换数据,直到连接关闭。攻击者可以滥用这个有状态的过程来导致拒绝服务事件。

通过重复发送 SYN 数据包,攻击者试图压倒跟踪 TCP 连接状态的服务器或路由器的连接表。服务器回复一个 SYN-ACK 数据包,为每个给定的连接分配一定数量的内存,并错误地等待客户端以最终的 ACK 响应。给定足够数量的连接占用服务器的内存,服务器无法为合法客户端分配更多内存,导致服务器崩溃或阻止其处理合法客户端连接,即拒绝服务事件。

在我们的网络上观察到的所有攻击中有一半以上是 SYN 洪水。紧随其后的是 RST、ACK 和 UDP 泛洪。

2021年第三季度DDoS攻击趋势报告-cloudflare

新兴威胁

虽然 SYN 和 RST 泛洪总体上仍然很流行,但当我们查看新兴的攻击向量时——这有助于我们了解攻击者正在部署哪些新向量来发起攻击——我们观察到DTLS放大攻击的大幅飙升。DTLS 泛洪环比增加了 3549%。

数据报传输层安全 (DTLS) 是一种类似于传输层安全 ( TLS )的协议,旨在为基于无连接数据报的应用程序提供类似的安全保证,以防止消息伪造、窃听或篡改。DTLS 是无连接的,对于建立 VPN 连接特别有用,没有TCP 崩溃问题。应用程序负责重新排序和其他连接属性。

与大多数基于 UDP 的协议一样,DTLS 是可欺骗的,并且被攻击者用来生成反射放大攻击以压倒网络网关。

2021年第三季度DDoS攻击趋势报告-cloudflare

各国网络层 DDoS 攻击

虽然摩洛哥在观察到的最高网络攻击率方面位居榜首,但亚洲国家紧随其后。

在分析网络层 DDoS 攻击时,我们按照接收流量的 Cloudflare 边缘数据中心位置而不是源 IP 对流量进行分桶。这样做的原因是,攻击者在发起网络层攻击时,可以通过欺骗源IP地址来混淆攻击源并在攻击属性中引入随机性,这可能会使简单的DDoS防护系统更难拦截攻击。因此,如果我们根据欺骗的源 IP 推导出源国家,我们将得到一个欺骗的国家。

Cloudflare 能够通过按观察到攻击的 Cloudflare 数据中心的位置显示攻击数据来克服欺骗 IP 的挑战。我们能够在报告中实现地理准确性,因为我们在全球 250 多个城市拥有数据中心。

全世界

2021年第三季度DDoS攻击趋势报告-cloudflare

要查看所有地区和国家/地区,请查看Radar DDoS 报告仪表板的交互式地图

2021年第三季度DDoS攻击趋势报告-cloudflare

关于最近对 IP 语音服务提供商的攻击以及勒索 DDoS 攻击的说明

2021年第三季度DDoS攻击趋势报告-cloudflare

我们最近报告提供了针对 VoIP 服务提供商的 DDoS 攻击激增的最新情况,其中一些提供商也收到了赎金威胁。截至 21 年第四季度初,此攻击活动仍在进行中。在 Cloudflare,我们继续加入 VoIP 服务提供商并保护他们的应用程序和网络免受攻击。

针对 API 网关和提供商企业网站的 HTTP 攻击与针对 VoIP 基础设施的网络层和传输层攻击相结合。

例子包括:

  1. 针对有状态防火墙的 TCP 泛洪:这些被用于“试错”类型的攻击。它们对电话基础设施不是很有效(因为它主要是 UDP),但在压倒状态防火墙方面非常有效。
  2. 针对 SIP 基础设施的 UDP 泛洪:没有众所周知的指纹的 UDP 流量泛滥,针对关键的 VoIP 服务。像这样的通用洪水可能看起来像是对简单过滤系统的合法流量。
  3. 针对 SIP 基础设施的 UDP 反射:当这些方法针对 SIP 或 RTP 服务时,很容易压倒会话边界控制器 (SBC) 和其他电话基础设施。攻击者似乎对目标的基础设施了解得足够多,可以高精度地针对此类服务。
  4. 特定SIP 协议的攻击:应用层的攻击尤其值得关注,因为与在网络设备上过滤相比,生成应用程序错误的资源成本更高。

组织还继续收到威胁要进行攻击以换取比特币的赎金票据。勒索软件勒索 DDoS攻击连续第四个季度继续成为对世界各地组织的密切威胁。

Cloudflare 产品关闭了几个可能导致勒索软件感染和勒索 DDoS 攻击的威胁媒介:

  • Cloudflare DNS 过滤会阻止不安全的网站。
  • Cloudflare浏览器隔离可防止偷渡式下载和其他基于浏览器的攻击。
  • 一个零信任架构可以帮助防止勒索软件从网络中蔓延。
  • Magic Transit使用 BGP 路由重新分配保护组织的网络免受 DDoS 攻击,而不会影响延迟。

帮助建立更好的互联网

Cloudflare 成立的使命是帮助建立更好的互联网。该使命的一部分是建立一个互联网,让 DDoS 攻击的影响成为过去。在过去的 10 年里,我们一直坚定不移地努力保护我们客户的互联网资产免受任何规模或类型的 DDoS 攻击。在2017年,我们宣布计量的DDoS防护免费-为每一个CloudFlare的服务和计划,包括自由计划的一部分-以确保每个组织都能保持安全及可用。在过去几年中,大大小小的组织都加入了 Cloudflare,以确保他们的网站、应用程序和网络免受 DDoS 攻击,并保持快速可靠。

但是网络攻击有多种形式,而不仅仅是 DDoS 攻击。恶意机器人程序、勒索软件攻击、电子邮件网络钓鱼和 VPN/远程访问黑客攻击是继续困扰全球各种规模组织的许多攻击。这些攻击的目标是网站、API、应用程序和整个网络——它们构成了任何在线业务的命脉。这就是为什么 Cloudflare 安全产品组合涵盖了连接到 Internet 的所有内容和每个人。

from

Leave a Reply

您的电子邮箱地址不会被公开。