Cloudflare 2021 年第二季度 DDoS 攻擊趨勢

最近幾週見證了大規模勒索軟體和勒索 DDoS攻擊活動，這些攻擊活動中斷了世界各地關鍵基礎設施的各個方面，包括最大的石油管道系統運營商之一和世界上最大的肉類加工公司之一。本季度早些時候，比利時的 200 多個組織，包括政府和議會網站以及其他服務，也受到了 DDoS 攻擊。

當美國大部分地區在 7 月 4 日慶祝獨立日時，數百家美國公司遭到勒索軟體攻擊，要求支付 7000 萬美元的比特幣。已知隸屬於俄羅斯勒索軟體組織REvil 的攻擊者利用了 IT 管理軟體中的多個先前未知的漏洞。目標包括學校、小型公共部門機構、旅遊和休閒組織以及信用合作社等。雖然勒索軟體和勒索 DDoS 的威脅並不新鮮，對釀酒廠、專業運動隊、渡輪服務和醫院等互聯網資產的最新攻擊使它們從僅僅是背景噪音變成了影響我們日常生活的頭版頭條新聞。事實上，最近的攻擊已將勒索軟體和 DDoS 推上了美國總統拜登國家安全議程的首位。

2021 年第二季度在 Cloudflare 網路上觀察到的 DDoS 攻擊趨勢描繪了一幅反映全球網路威脅整體格局的圖景。這裡有一些亮點。

．在今年前六個月，超過 11% 的受 DDoS 攻擊目標客戶報告稱，他們提前收到了威脅或勒索信威脅。與 2020 年下半年相比，2021 年上半年受到主動 DDoS 攻擊的客戶的緊急入職增加了 41.8%。
．針對政府管理/公共部門網站的 HTTP DDoS 攻擊增加了 491%，成為僅次於消費者服務的第二大目標行業，其 DDoS 活動環比增加 684%。
．中國仍然是源自境內的 DDoS 活動最多的國家——每 1,000 個來自中國的 HTTP 請求中有 7 個是針對網站的 HTTP DDoS 攻擊的一部分，每 100 個字節中有超過 3 個被攝入我們的數據中國的中心是網路層 DDoS 攻擊的一部分。
新興威脅包括濫用每日報價(QOTD) 協議的放大 DDoS 攻擊，該攻擊比上一季度增加了 123%。此外，隨著 QUIC 協議的採用不斷增加，對 QUIC 的攻擊也在增加——在 2021 年第二季度實現了高達 109% 的環比激增。
10-100Gbps範圍內的網路層DDoS攻擊數量環比增長21.4%。受到攻擊的一位客戶是美國遊戲公司Hypixel。即使在超過 620 Gbps 的活躍 DDoS 攻擊活動中，Hypixel 也不會停機，也不會對遊戲用戶造成性能損失。在這裡閱讀他們的故事。

或者，可以使用短攻擊來探測目標的網路防禦。例如，在暗網上廣泛使用的負載測試工具和自動化 DDoS 工具可以生成短時間的 SYN 泛洪攻擊，然後使用不同的攻擊向量進行另一次短時間攻擊。這使攻擊者能夠在他們決定以更大的速率和更長的持續時間發起更大的攻擊之前了解他們的目標的安全狀況——這是有代價的。

在其他情況下，攻擊者會發起小型 DDoS 攻擊，以此向目標組織證明攻擊者有能力在以後造成真正的破壞。隨後通常會向目標組織發送勒索電子郵件，要求付款以避免遭受可能更徹底地削弱網路基礎設施的攻擊。

這凸顯了對始終在線的自動化 DDoS 保護方法的需求。依賴手動重新路由、分析和緩解的 DDoS 保護服務可能被證明對這些類型的攻擊毫無用處，因為它們在分析師甚至可以識別攻擊流量之前就已經結束。

什麼是SYN 洪水攻擊？這是一種利用 TCP 協議基礎的 DDoS 攻擊。客戶端和服務器之間的有狀態 TCP 連接以 3 次TCP 握手開始。客戶端發送帶有同步標誌 (SYN) 的初始連接請求數據包。服務器使用包含同步確認標誌 (SYN-ACK) 的數據包進行響應。最後，客戶端以確認 (ACK) 數據包進行響應。此時，連接建立並可以交換數據，直到連接關閉。攻擊者可以濫用這個有狀態的過程來導致拒絕服務事件。

通過重複發送 SYN 數據包，攻擊者試圖壓倒跟踪 TCP 連接狀態的服務器或路由器的連接表。路由器回復一個 SYN-ACK 數據包，為每個給定的連接分配一定數量的內存，並錯誤地等待客戶端以最終的 ACK 響應。給定足夠數量的連接佔用路由器的內存，路由器無法為合法客戶端分配更多內存，導致路由器崩潰或阻止其處理合法客戶端連接，即拒絕服務事件。

2021 年第二季度，我們在海地的數據中心觀察到網路層 DDoS 攻擊流量的百分比最大，其次是文萊（每 100 個數據包中幾乎有 3 個是攻擊的一部分）和中國。

請注意，在分析網路層 DDoS 攻擊時，我們按照接收流量的 Cloudflare 邊緣數據中心位置而不是源 IP 對流量進行分桶。這樣做的原因是，當攻擊者發起網路層攻擊時，他們可以欺騙源 IP 地址，以混淆攻擊源並將隨機性引入攻擊屬性，這可能會使簡單的 DDoS 保護系統更難阻止攻擊。因此，如果我們根據欺騙的源 IP 推導出源國家，我們將得到一個欺騙的國家。Cloudflare 能夠通過觀察到攻擊的 Cloudflare 數據中心的位置顯示攻擊數據來克服欺騙 IP 的挑戰。我們能夠在報告中實現地理準確性，因為我們在全球 200 多個城市擁有數據中心。

過去幾週，勒索軟體和勒索 DDoS (RDDoS) 等勒索驅動的網路威脅重新抬頭。

勒索軟體是一種惡意軟體，可加密組織的系統和數據庫，使其無法訪問和無法使用。惡意軟體通常通過網路釣魚電子郵件引入組織的系統- 誘騙員工單擊鏈接或下載文件。一旦惡意軟體安裝在員工的設備上，它就會對設備進行加密，並可以傳播到組織服務器和員工設備的整個網路。攻擊者通常以比特幣的形式索要金錢，以換取解密組織的系統並授予他們訪問其係統的權限。

與勒索軟體攻擊不同，勒索 DDoS 攻擊不會加密公司的系統；如果沒有支付贖金，它的目的是讓他們離線。使贖金 DDoS 攻擊更加危險的是，它們不需要攻擊者訪問企業的內部系統來執行攻擊。然而，有了強大的 DDoS 保護策略，贖金 DDoS 攻擊對企業幾乎沒有影響。

勒索軟體和勒索 DDoS 威脅正在影響全球大多數行業 - 金融業、運輸、石油和天然氣、消費品，甚至教育和醫療保健。

聲稱是“Fancy Lazarus”、“Fancy Bear”、“Lazarus Group”和“REvil”的實體再次對組織的網站和網路基礎設施發起勒索軟體和勒索 DDoS 攻擊，除非在給定的截止日期之前支付贖金。在 DDoS 威脅的情況下，在勒索信之前，通常會發起一次小型 DDoS 攻擊作為演示形式。演示攻擊通常通過 UDP 進行，持續大約 30-120 分鐘。

贖金通知通常發送到公司的常用群組電子郵件別名，這些別名在網上公開可用，例如noc@ 、support@ 、help@ 、legal@ 、abuse@等。在一些情況下，它最終會變成垃圾郵件。在其他情況下，我們看到員工將贖金記錄視為垃圾郵件，從而增加了組織的響應時間，從而進一步損害了他們的在線資產。

Cloudflare 對收到威脅或贖金通知的組織的建議：

1.不要驚慌，我們建議您不要支付贖金：支付贖金只會鼓勵和資助不良行為者。也無法保證您不會再次受到攻擊。
2.聯繫當地執法部門：準備好提供您收到的贖金信的副本以及任何其他日誌或數據包捕獲。
3.啟用有效的 DDoS 保護策略：在發生活動威脅時，可以快速啟動基於雲的 DDoS 保護，並且在您身邊的安全專家團隊的幫助下，可以快速有效地降低風險。
這是Cloudflare 首席技術官 John Graham-Cumming 解決勒索 DDoS 攻擊威脅的簡短視頻。

在 Cloudflare，我們的團隊在過去的一個季度裡異常忙碌，迅速招募（使用我們的Magic Transit 服務）大量新客戶和現有客戶，這些客戶要么收到贖金信，要么受到活躍的 DDoS 攻擊。

其中一個客戶是Hypixel Inc，它是世界上最大的 Minecraft 迷你游戲服務器背後的開發工作室。迄今為止，擁有超過 2400 萬次獨立登錄和創紀錄的 216,000 多名 PC 並發玩家，Hypixel 團隊努力為全球數百萬玩家的體驗增加價值。

遊戲行業經常受到一些最大規模的 DDoS 攻擊——作為一個大品牌，Hypixel 吸引的不僅僅是其應得的份額。正常運行時間和高性能是 Hypixel 服務器運行的基礎。任何感知到的停機時間或明顯的延遲都可能導致遊戲玩家外流。

當 Hypixel 受到大規模 DDoS 攻擊活動時，他們求助於 Cloudflare，通過 Cloudflare 擴展他們的服務，以包括 Magic Transit，Cloudflare 為網路基礎設施提供的基於 BGP 的 DDoS 保護服務。在一夜之間迅速加入他們後，Cloudflare 能夠自動檢測並緩解針對其網路的 DDoS 攻擊——其中一些攻擊速度遠遠超過 620 Gbps。DDoS 攻擊主要包括 TCP 泛洪和 UDP 放大攻擊。在圖中，各種顏色代表有助於檢測和減輕多向量攻擊的多個 Cloudflare 系統——強調了我們多層 DDoS 方法的價值。

即使攻擊模式實時變化，Magic Transit 也屏蔽了 Hypixel 的網路。事實上，由於所有乾淨的流量都通過 Cloudflare 的高性能低延遲網路路由，Hypixel 的用戶沒有註意到遊戲玩家體驗的變化——即使在主動的容量 DDoS 攻擊期間也是如此。

在攻擊活動期間，Cloudflare 自動檢測並緩解了 5,000 多次 DDoS 攻擊：53% 是 ACK 泛洪攻擊，39% 是基於 UDP 的攻擊，8% 是 SYN 泛洪攻擊。

DDoS 攻擊只是當今組織面臨的眾多網路威脅的一個方面。隨著企業轉向零信任方法，網路和安全購買者將面臨與網路訪問相關的更大威脅，以及機器人相關和勒索軟體攻擊的頻率和復雜性持續激增。

在 Cloudflare 構建產品時的一個關鍵設計原則是集成。Cloudflare One是一種解決方案，它使用零信任安全模型為公司提供一種更好的方法來保護設備、數據和應用程序，並與我們現有的安全和 DDoS 解決方案平台深度集成。

事實上，Cloudflare 提供了一個由全明星陣容組成的集成解決方案，其中僅舉幾例：

DDoS：Forrester Wave™ DDoS 緩解解決方案的領導者，2021 年第一季度1
WAF：Cloudflare 是 2020 年 Gartner Web 應用程序防火牆魔力像限中的挑戰者（在“執行能力”中排名最高）2
零信任：Cloudflare 是 Omdia 市場雷達的領導者：2020 年零信任訪問報告3
Web 保護: Frost & Sullivan 2020 年全球整體 Web 保護市場的創新領導者4
Cloudflare 的全球（和不斷增長的）網路具有獨特的優勢，可以以無與倫比的規模、速度和智能提供 DDoS 保護和其他安全、性能和可靠性服務。

____

1Forrester Wave™: DDoS Mitigation Solutions, Q1 2021, Forrester Research, Inc., March 3, 2021. Access the report at https://www.cloudflare.com/forrester-wave-ddos-mitigation-2021/
2Gartner, “Magic Quadrant for Web Application Firewalls”, Analyst(s): Jeremy D'Hoinne, Adam Hils, John Watts, Rajpreet Kaur, October 19, 2020. https://www.cloudflare.com/gartner-mq-waf-2020/
3https://www.cloudflare.com/lp/omdia-zero-trust
4https://www.cloudflare.com/lp/frost-radar-holistic-web/