多 TB 強大的 DDoS 攻擊變得越來越頻繁。在第三季度中,Cloudflare 自動偵測並緩解了超過 1 Tbps 多次攻擊。最大規模的攻擊是由 Mirai 殭屍網路變體發起的 2.5 Tbps DDoS 攻擊,目標鎖定 Minecraft 伺服器 Wynncraft。從位元速率角度來看,這是我們遇過最大型的攻擊。
它是由 UDP 和 TCP 洪水攻擊組成的多手段攻擊。但是,當數十萬使用者在大型多人線上角色扮演遊戲 Minecraft 伺服器 Wynncraft 透過同一部伺服器遊玩時,也並未注意到攻擊,這是因為 Cloudflare 將其篩選掉了。
整體來說,我們在本季度看到以下情況:
本報告基於 Cloudflare 的 DDoS 保護系統自動偵測和緩解的 DDoS 攻擊數。如需深入瞭解該系統的運作方式,請查閱這篇深度剖析部落格貼文。
於 Cloudflare Radar 查看互動式 DDoS 報告。
DDoS 勒索攻擊是攻擊者要求支付贖金的攻擊手段,通常是使用比特幣才能阻止/避免攻擊。在第三季度中,回應調查的 Cloudflare 客戶中有 15% 回報曾遭受伴隨著威脅或贖金信的 HTTP DDoS 攻擊鎖定。這表示回報的 DDoS 勒索攻擊較上一季度增加 15%,較去年同期增加 67%。
深入探討第三季度後,我們可看到自 2022 年 6 月以來,勒索攻擊報告已有穩定的下降。但在 9 月時,勒索攻擊報告再次激增。9 月份,幾乎是每四名受訪者就有一人回報收到 DDoS 勒索攻擊或威脅 — 這是自 2022 年以來最告的月份。
我們如何計算 DDoS 勒索攻擊趨勢
我們的系統會持續分析流量,並在偵測到 DDoS 攻擊時自動套用緩解措施。每個受到 DDoS 攻擊的客戶都會收到提示,請求參與一個自動化調查,以幫助我們更好地瞭解該攻擊的性質以及緩解措施的成功率。兩年多以來,Cloudflare 一直在對受到攻擊的客戶進行調查。調查中的一個問題是,受訪者是否收到威脅或勒索信,要求付款以換得停止 DDoS 攻擊。過去一年以來,我們在每個季度平均收集了 174 個回應。此調查的回應會用於計算 DDoS 勒索攻擊的百分比。
應用程式層 DDoS 攻擊,特別是 HTTP DDoS 攻擊,旨在透過讓網頁伺服器無法處理合法使用者要求加以破壞。如果伺服器收到的要求數量超過其處理能力,伺服器即會丟棄合法要求或在某些情況下當機,導致對合法使用者的服務效能下降或服務中斷。
觀察下方示意圖時,我們可以清楚看到自 2022 年第一季度以來每個季度大約增加 10% 攻擊的趨勢。但即使出現下降趨勢,在比較 2022 年第三季度和 2021 年第三季度時,我們可以看到 HTTP DDoS 攻擊較去年同期仍增加 111%。
當我們深入探討每季度的月份時,9 月和 8 月的攻擊分佈較為平均;分別是 36% 和 35%。7 月份,攻擊量為該季度最低 (29%)。
依我們客戶的營運產業將攻擊分組,即可看到由網際網路公司營運的 HTTP 應用程式在第三季度的被攻擊次數最高。對網際網路產業的攻擊較上一季度增加 131%,較去年同期增加 300%。
最常受到攻擊的第二名產業是電信業,較上一季度增加 93%,較去年同期增加 2,317%(相當驚人)。第三名則是遊戲/博弈產業,增加情形較為保守,較上一季度增加 17%,較去年同期增加 36%。
依我們客戶的帳單地址分組攻擊後,即可瞭解哪個國家/地區最常受到攻擊。在第三季度最常受到攻擊的是由美國公司營運的 HTTP 應用程式。在攻擊鎖定方面,美國地區的網站較上一季度增加 60%,較去年同期增加 105%。排在美國之後的是中國,較上一季度增加 332%,較去年同期增加 800%。
在烏克蘭方面,我們可以看到鎖定烏克蘭網站的攻擊較上一季度增加 67%,但較去年同期減少 50%。而且,鎖定俄羅斯網站的攻擊較上一季度增加 31%,較去年同期增加 2,400%(相當驚人)。
在東亞方面,我們可以看到鎖定台灣公司的攻擊較上一季度增加 200%,較去年同期增加 60%;鎖定日本公司的攻擊較上一季度增加 105%。
當我們針對特定國家/地區時,我們可在下方識別可能顯示與烏克蘭戰爭及東亞地緣政治事件相關的有趣深入解析:
在烏克蘭方面,我們可以看到受攻擊產業的異常變化。過去兩個季度以來,廣播、線上媒體及出版公司最常受到鎖定,且似乎在試圖掩蓋資訊並讓市民無法使用。但在這季度中,那些產業掉出了前十名。相反地,行銷和廣告產業領先群雄 (40%),再來是教育機構 (20%),及政府行政 (8%)。
在俄羅斯方面,對銀行、金融服務及保險 (BFSI) 產業的攻擊持續維持 (25%)。即使如此,對 BFSI 產業的攻擊較上一季度仍減少 44%。第二名是賽事服務產業 (20%),再來是加密貨幣 (16%)、廣播媒體 (13%) 及零售業 (11%)。大部分的攻擊流量來自德國地區的 IP 位址,其他的則分散在全球。
在台灣方面,兩個最常受到攻擊的產業是線上媒體 (50%) 和網際網路 (23%)。那些產業的攻擊分散在全球,代表著各項攻擊會使用殭屍網路。
在日本方面,最常受到攻擊的產業是網際網路/媒體和網際網路 (52%)、商業服務 (12%) 及國家政府 (11%)。
深入探討特定來源國家/地區指標前,請務必注意,雖然來源國家/地區很有趣,但不一定代表這就是攻擊者所在位置。DDoS 攻擊發起時經常會採用遠端形式,且攻擊者會不遺餘力地隱藏其實際位置,並試圖逃避追捕。如果有的話,這代表殭屍網路節點的所在位置。也就是說,透過將攻擊 IP 位址對映至其位置,我們即可瞭解攻擊流量的來源位置。
中國連續兩個季度皆取代美國,成為了 HTTP DDoS 攻擊流量的主要來源。中國在第三季度是 HTTP DDoS 攻擊流量的最大來源。源自中國註冊 IP 位址的攻擊流量較去年同期增加 29%,較上一季度增加 19%。在中國後面的是印度,HTTP DDoS 攻擊流量的第二大來源 — 較去年同期增加 61%。印度之後,主要來源是美國和巴西。
在烏克蘭方面,我們可以看到此季度源自烏克蘭和俄羅斯 IP 位址的攻擊流量有所下降 — 較上一季度分別是 29% 和 11%。但是較去年同期,那些國家/地區的攻擊流量仍分別增加 47% 和 18%。
另一項有趣的資料點為源自日本 IP 位址的攻擊流量較去年同期增加 130%。
