Cloudflare 2021 年第二季度 DDoS 攻擊趨勢

最近幾週見證了大規模勒索軟體和勒索 DDoS攻擊活動,這些攻擊活動中斷了世界各地關鍵基礎設施的各個方面,包括最大的石油管道系統運營商之一和世界上最大的肉類加工公司之一。本季度早些時候,比利時的 200 多個組織,包括政府和議會網站以及其他服務,也受到了 DDoS 攻擊。

2021-08-06
by 樂雲

2021 年第二季度 DDoS 攻擊趨勢

最近幾週見證了大規模勒索軟體和勒索 DDoS攻擊活動,這些攻擊活動中斷了世界各地關鍵基礎設施的各個方面,包括最大的石油管道系統運營商之一和世界上最大的肉類加工公司之一。本季度早些時候,比利時的 200 多個組織,包括政府和議會網站以及其他服務,也受到了 DDoS 攻擊。

當美國大部分地區在 7 月 4 日慶祝獨立日時,數百家美國公司遭到勒索軟體攻擊,要求支付 7000 萬美元的比特幣。已知隸屬於俄羅斯勒索軟體組織REvil 的攻擊者利用了 IT 管理軟體中的多個先前未知的漏洞。目標包括學校、小型公共部門機構、旅遊和休閒組織以及信用合作社等。雖然勒索軟體和勒索 DDoS 的威脅並不新鮮,對釀酒廠、專業運動隊、渡輪服務和醫院等互聯網資產的最新攻擊使它們從僅僅是背景噪音變成了影響我們日常生活的頭版頭條新聞。事實上,最近的攻擊已將勒索軟體和 DDoS 推上了美國總統拜登國家安全議程的首位。

2021 年第二季度在 Cloudflare 網路上觀察到的 DDoS 攻擊趨勢描繪了一幅反映全球網路威脅整體格局的圖景。這裡有一些亮點。

.在今年前六個月,超過 11% 的受 DDoS 攻擊目標客戶報告稱,他們提前收到了威脅或勒索信威脅。與 2020 年下半年相比,2021 年上半年受到主動 DDoS 攻擊的客戶的緊急入職增加了 41.8%。
.針對政府管理/公共部門網站的 HTTP DDoS 攻擊增加了 491%,成為僅次於消費者服務的第二大目標行業,其 DDoS 活動環比增加 684%。
.中國仍然是源自境內的 DDoS 活動最多的國家——每 1,000 個來自中國的 HTTP 請求中有 7 個是針對網站的 HTTP DDoS 攻擊的一部分,每 100 個字節中有超過 3 個被攝入我們的數據中國的中心是網路層 DDoS 攻擊的一部分。
新興威脅包括濫用每日報價(QOTD) 協議的放大 DDoS 攻擊,該攻擊比上一季度增加了 123%。此外,隨著 QUIC 協議的採用不斷增加,對 QUIC 的攻擊也在增加——在 2021 年第二季度實現了高達 109% 的環比激增。
10-100Gbps範圍內的網路層DDoS攻擊數量環比增長21.4%。受到攻擊的一位客戶是美國遊戲公司Hypixel。即使在超過 620 Gbps 的活躍 DDoS 攻擊活動中,Hypixel 也不會停機,也不會對遊戲用戶造成性能損失。在這裡閱讀他們的故事。

應用層 DDoS 攻擊

應用層 DDoS 攻擊,特別是 HTTP DDoS 攻擊,是一種通常旨在通過使 HTTP 服務器無法處理合法用戶請求來破壞它的攻擊。如果服務器受到的請求數量超過其處理能力,服務器將丟棄合法請求甚至崩潰,從而導致性能損失或合法用戶拒絕服務事件。

每個市場行業的 DDoS 活動

當我們分析攻擊時,我們會計算“DDoS 活動”率,即攻擊流量佔總流量(攻擊 + 清理)的百分比。這使我們能夠標準化數據點並避免偏向於,例如,自然處理更多流量並因此也處理更多攻擊的更大數據中心。

2021 年第二季度,消費者服務是最有針對性的行業,其次是政府管理和營銷與廣告。

每個來源國家/地區的 DDoS 活動

為了了解我們在 Cloudflare 網路上觀察到的 HTTP 攻擊的來源,我們查看了生成攻擊 HTTP 請求的客戶端的源 IP 地址。與網路層攻擊不同,HTTP 攻擊中不能偽造源 IP 。給定國家/地區的高 DDoS 活動率表明大型殭屍網路在內部運行。

就源自其領土內的 DDoS 活動的百分比而言,中國和美國分別位居第一和第二位。在中國,每 1,000 個 HTTP 請求中有超過 7 個是 HTTP DDoS 攻擊的一部分,而在美國,幾乎每 1,000 個 HTTP 請求中有 5 個是攻擊的一部分。

每個目標國家/地區的 DDoS 活動

為了確定 DDoS 攻擊的目標所在的國家/地區,我們按客戶的計費國家/地區對 DDoS 活動進行了細分。請注意,Cloudflare 不對攻擊流量收費,並且自 2017 年以來率先提供不計量和無限制的 DDoS 保護。通過將攻擊數據與我們客戶的帳單國家/地區進行交叉引用,我們可以確定哪些國家/地區受到的攻擊最多。

2021 年第二季度觀察到的數據表明,美國和中國的組織是 HTTP DDoS 攻擊的最大目標。事實上,每 200 個發往美國組織的 HTTP 請求中就有一個是 DDoS 攻擊的一部分。

網路層 DDoS 攻擊

應用層攻擊攻擊運行最終用戶嘗試訪問的服務的應用程序(OSI 模型的第 7 層),而網路層攻擊則針對網路基礎設施(例如內嵌路由器和其他網路服務器)和 Internet 鏈接本身.

按大小(數據包率和比特率)的攻擊分佈

有多種方法可以衡量 L3/4 DDoS 攻擊的規模。一個是它提供的流量,以比特率(特別是每秒千兆位)來衡量。另一個是它傳送的數據包數量,以數據包速率(特別是每秒數據包數)來衡量。高比特率的攻擊試圖使互聯網鏈接飽和,而高數據包率的攻擊試圖壓倒服務器、路由器或其他內嵌硬件設備。

攻擊的規模(比特率)和月份分佈如下所示。從圖表中可以看出,所有超過 300 Gbps 的攻擊都發生在 6 月份。
同樣,從包率的角度來看,近 94% 的攻擊都在 50K pps 以下。儘管 1-10M pps 的攻擊僅佔觀察到的所有 DDoS 攻擊的 1%,但這個數字比上一季度觀察到的高出 27.5%,這表明更大的攻擊也沒有減少——而是在增加。

請注意,雖然與其他引人注目的大型攻擊相比,低於 500 Mbps 和 50K pps 的攻擊可能看起來“很小”,但它們通常足以對不受始終在線的、自動化的基於雲的 DDoS 保護的互聯網資產造成重大破壞保護服務。此外,許多組織的服務提供商提供的上行鏈路帶寬容量小於 1 Gbps。假設它們面向公眾的網路接口也提供合法流量,則小於 500 Mbps 的 DDoS 攻擊通常能夠破壞暴露的 Internet 屬性。

按攻擊持續時間分佈

Cloudflare 繼續看到持續時間不到一小時的大量 DDoS 攻擊。在第二季度,超過 97% 的 DDoS 攻擊持續時間不到一個小時。

短時間爆發式攻擊可能會在 DDoS 檢測系統未檢測到的情況下嘗試造成損害。依賴手動分析和緩解的 DDoS 服務可能被證明對這些類型的攻擊毫無用處,因為它們在分析師甚至識別攻擊流量之前就已經結束。
或者,可以使用短攻擊來探測目標的網路防禦。例如,在暗網上廣泛使用的負載測試工具和自動化 DDoS 工具可以生成短時間的 SYN 泛洪攻擊,然後使用不同的攻擊向量進行另一次短時間攻擊。這使攻擊者能夠在他們決定以更大的速率和更長的持續時間發起更大的攻擊之前了解他們的目標的安全狀況——這是有代價的。

在其他情況下,攻擊者會發起小型 DDoS 攻擊,以此向目標組織證明攻擊者有能力在以後造成真正的破壞。隨後通常會向目標組織發送勒索電子郵件,要求付款以避免遭受可能更徹底地削弱網路基礎設施的攻擊。

這凸顯了對始終在線的自動化 DDoS 保護方法的需求。依賴手動重新路由、分析和緩解的 DDoS 保護服務可能被證明對這些類型的攻擊毫無用處,因為它們在分析師甚至可以識別攻擊流量之前就已經結束。

攻擊向量的攻擊分佈

攻擊向量是用於描述攻擊者在嘗試引起拒絕服務事件時使用的方法的術語。

正如前幾個季度所觀察到的,利用 SYN 泛洪和基於 UDP 協議的攻擊仍然是攻擊者最常用的方法。
什麼是SYN 洪水攻擊?這是一種利用 TCP 協議基礎的 DDoS 攻擊。客戶端和服務器之間的有狀態 TCP 連接以 3 次TCP 握手開始。客戶端發送帶有同步標誌 (SYN) 的初始連接請求數據包。服務器使用包含同步確認標誌 (SYN-ACK) 的數據包進行響應。最後,客戶端以確認 (ACK) 數據包進行響應。此時,連接建立並可以交換數據,直到連接關閉。攻擊者可以濫用這個有狀態的過程來導致拒絕服務事件。

通過重複發送 SYN 數據包,攻擊者試圖壓倒跟踪 TCP 連接狀態的服務器或路由器的連接表。路由器回復一個 SYN-ACK 數據包,為每個給定的連接分配一定數量的內存,並錯誤地等待客戶端以最終的 ACK 響應。給定足夠數量的連接佔用路由器的內存,路由器無法為合法客戶端分配更多內存,導致路由器崩潰或阻止其處理合法客戶端連接,即拒絕服務事件。

新興威脅

新興威脅包括濫用每日報價(QOTD) 服務的放大 DDoS 攻擊,該攻擊比上一季度增加了 123%。QOTD 在RFC-865 (1983) 中定義,可以通過 UDP 或 TCP 協議發送。它最初是為調試和測量工具而設計的,沒有特定的引用語法。然而,RFC 建議使用 ASCII 字符並將長度限制為 512 個字符。

此外,我們看到 UDP Portmap 和 Echo 攻擊的 QoQ 增加了 107%——所有這些都是非常古老的攻擊媒介。這可能表明攻擊者正在挖掘舊方法和攻擊工具來嘗試和克服保護系統。

正如我們在前幾個季度所看到的,QUIC 協議的採用繼續增加。因此,對 QUIC 的攻擊也是如此,或者更具體地說,在我們希望看到 QUIC 流量的地方對非 QUIC 流量進行泛洪和放大攻擊。2021 年第二季度,這些類型的攻擊環比增加了 109%。這種持續的趨勢可能表明攻擊者正試圖將 QUIC 指定的端口和網關濫用到組織的網路中——尋找漏洞和安全漏洞。

Cloudflare 數據中心國家/地區的 DDoS 活動

2021 年第二季度,我們在海地的數據中心觀察到網路層 DDoS 攻擊流量的百分比最大,其次是文萊(每 100 個數據包中幾乎有 3 個是攻擊的一部分)和中國。

請注意,在分析網路層 DDoS 攻擊時,我們按照接收流量的 Cloudflare 邊緣數據中心位置而不是源 IP 對流量進行分桶。這樣做的原因是,當攻擊者發起網路層攻擊時,他們可以欺騙源 IP 地址,以混淆攻擊源並將隨機性引入攻擊屬性,這可能會使簡單的 DDoS 保護系統更難阻止攻擊。因此,如果我們根據欺騙的源 IP 推導出源國家,我們將得到一個欺騙的國家。Cloudflare 能夠通過觀察到攻擊的 Cloudflare 數據中心的位置顯示攻擊數據來克服欺騙 IP 的挑戰。我們能夠在報告中實現地理準確性,因為我們在全球 200 多個城市擁有數據中心。

關於勒索軟體和勒索 DDoS 的說明

日益嚴重的全球威脅

過去幾週,勒索軟體和勒索 DDoS (RDDoS) 等勒索驅動的網路威脅重新抬頭。

什麼是勒索軟體和勒索 DDoS,它們有何不同?

勒索軟體是一種惡意軟體,可加密組織的系統和數據庫,使其無法訪問和無法使用。惡意軟體通常通過網路釣魚電子郵件引入組織的系統- 誘騙員工單擊鏈接或下載文件。一旦惡意軟體安裝在員工的設備上,它就會對設備進行加密,並可以傳播到組織服務器和員工設備的整個網路。攻擊者通常以比特幣的形式索要金錢,以換取解密組織的系統並授予他們訪問其係統的權限。

與勒索軟體攻擊不同,勒索 DDoS 攻擊不會加密公司的系統;如果沒有支付贖金,它的目的是讓他們離線。使贖金 DDoS 攻擊更加危險的是,它們不需要攻擊者訪問企業的內部系統來執行攻擊。然而,有了強大的 DDoS 保護策略,贖金 DDoS 攻擊對企業幾乎沒有影響。

勒索軟體和勒索 DDoS 威脅正在影響全球大多數行業 - 金融業、運輸、石油和天然氣、消費品,甚至教育和醫療保健。

聲稱是“Fancy Lazarus”、“Fancy Bear”、“Lazarus Group”和“REvil”的實體再次對組織的網站和網路基礎設施發起勒索軟體和勒索 DDoS 攻擊,除非在給定的截止日期之前支付贖金。在 DDoS 威脅的情況下,在勒索信之前,通常會發起一次小型 DDoS 攻擊作為演示形式。演示攻擊通常通過 UDP 進行,持續大約 30-120 分鐘。

贖金通知通常發送到公司的常用群組電子郵件別名,這些別名在網上公開可用,例如[email protected][email protected][email protected][email protected][email protected]等。在一些情況下,它最終會變成垃圾郵件。在其他情況下,我們看到員工將贖金記錄視為垃圾郵件,從而增加了組織的響應時間,從而進一步損害了他們的在線資產。

Cloudflare 對收到威脅或贖金通知的組織的建議:

1.不要驚慌,我們建議您不要支付贖金:支付贖金只會鼓勵和資助不良行為者。也無法保證您不會再次受到攻擊。
2.聯繫當地執法部門:準備好提供您收到的贖金信的副本以及任何其他日誌或數據包捕獲。
3.啟用有效的 DDoS 保護策略:在發生活動威脅時,可以快速啟動基於雲的 DDoS 保護,並且在您身邊的安全專家團隊的幫助下,可以快速有效地降低風險。
這是Cloudflare 首席技術官 John Graham-Cumming 解決勒索 DDoS 攻擊威脅的簡短視頻。

Cloudflare 保護 Hypixel 免遭大規模 DDoS 攻擊活動

在 Cloudflare,我們的團隊在過去的一個季度裡異常忙碌,迅速招募(使用我們的Magic Transit 服務)大量新客戶和現有客戶,這些客戶要么收到贖金信,要么受到活躍的 DDoS 攻擊。

其中一個客戶是Hypixel Inc,它是世界上最大的 Minecraft 迷你游戲服務器背後的開發工作室。迄今為止,擁有超過 2400 萬次獨立登錄和創紀錄的 216,000 多名 PC 並發玩家,Hypixel 團隊努力為全球數百萬玩家的體驗增加價值。

遊戲行業經常受到一些最大規模的 DDoS 攻擊——作為一個大品牌,Hypixel 吸引的不僅僅是其應得的份額。正常運行時間和高性能是 Hypixel 服務器運行的基礎。任何感知到的停機時間或明顯的延遲都可能導致遊戲玩家外流。

當 Hypixel 受到大規模 DDoS 攻擊活動時,他們求助於 Cloudflare,通過 Cloudflare 擴展他們的服務,以包括 Magic Transit,Cloudflare 為網路基礎設施提供的基於 BGP 的 DDoS 保護服務。在一夜之間迅速加入他們後,Cloudflare 能夠自動檢測並緩解針對其網路的 DDoS 攻擊——其中一些攻擊速度遠遠超過 620 Gbps。DDoS 攻擊主要包括 TCP 泛洪和 UDP 放大攻擊。在圖中,各種顏色代表有助於檢測和減輕多向量攻擊的多個 Cloudflare 系統——強調了我們多層 DDoS 方法的價值。
即使攻擊模式實時變化,Magic Transit 也屏蔽了 Hypixel 的網路。事實上,由於所有乾淨的流量都通過 Cloudflare 的高性能低延遲網路路由,Hypixel 的用戶沒有註意到遊戲玩家體驗的變化——即使在主動的容量 DDoS 攻擊期間也是如此。

在攻擊活動期間,Cloudflare 自動檢測並緩解了 5,000 多次 DDoS 攻擊:53% 是 ACK 泛洪攻擊,39% 是基於 UDP 的攻擊,8% 是 SYN 泛洪攻擊。
“我們進行了多次超過 620 Gbps 的攻擊,但對我們的玩家沒有任何影響。多虧了 Cloudflare Magic Transit,他們的遊戲體驗保持不間斷且快速。”
-西蒙·柯林斯-拉弗拉姆,Hypixel Inc. 首席執行官

Hypixel 與 Cloudflare 的旅程始於他們使用Cloudflare Spectrum來幫助保護他們的遊戲基礎設施免受 DDoS 攻擊。隨著用戶群的增長,他們採用了額外的 Cloudflare 產品來增強所有關鍵基礎設施的穩健性和彈性。今天,他們使用多種 Cloudflare 產品,包括CDN、Rate Limiting、Spectrum、Argo Smart Routing和Load Balancing來構建和保護基礎設施,為世界各地的遊戲玩家提供他們需要的實時遊戲體驗。

獲得針對任何類型網路攻擊的全面保護

DDoS 攻擊只是當今組織面臨的眾多網路威脅的一個方面。隨著企業轉向零信任方法,網路和安全購買者將面臨與網路訪問相關的更大威脅,以及機器人相關和勒索軟體攻擊的頻率和復雜性持續激增。

在 Cloudflare 構建產品時的一個關鍵設計原則是集成。Cloudflare One是一種解決方案,它使用零信任安全模型為公司提供一種更好的方法來保護設備、數據和應用程序,並與我們現有的安全和 DDoS 解決方案平台深度集成。

事實上,Cloudflare 提供了一個由全明星陣容組成的集成解決方案,其中僅舉幾例:

DDoS:Forrester Wave™ DDoS 緩解解決方案的領導者,2021 年第一季度1
WAF:Cloudflare 是 2020 年 Gartner Web 應用程序防火牆魔力像限中的挑戰者(在“執行能力”中排名最高)2
零信任:Cloudflare 是 Omdia 市場雷達的領導者:2020 年零信任訪問報告3
Web 保護: Frost & Sullivan 2020 年全球整體 Web 保護市場的創新領導者4
Cloudflare 的全球(和不斷增長的)網路具有獨特的優勢,可以以無與倫比的規模、速度和智能提供 DDoS 保護和其他安全、性能和可靠性服務。

____

1Forrester Wave™: DDoS Mitigation Solutions, Q1 2021, Forrester Research, Inc., March 3, 2021. Access the report at https://www.cloudflare.com/forrester-wave-ddos-mitigation-2021/
2Gartner, “Magic Quadrant for Web Application Firewalls”, Analyst(s): Jeremy D'Hoinne, Adam Hils, John Watts, Rajpreet Kaur, October 19, 2020. https://www.cloudflare.com/gartner-mq-waf-2020/
3https://www.cloudflare.com/lp/omdia-zero-trust
4https://www.cloudflare.com/lp/frost-radar-holistic-web/
讚分享
11