2022 年第一季度 DDoS 攻擊趨勢

Cloudflare 2022年度的第一份DDoS報告，也是迄今為止第九份報告。本報告包括2022年1月至3月期間，在Cloudflare全球網路的應用層和網路層觀察到的新資料點和深入分析。

2022年第一季度，應用層DDoS攻擊出現激增，但網路層DDoS攻擊的總數有所下降。儘管如此，我們觀察到的容量耗盡型DDoS攻擊仍較上一季度增加了 645%，而且我們緩解了一次新的零日反射攻擊，其放大係數達到22 億倍。

在俄羅斯和烏克蘭的網路空間，受到最多攻擊的是網路媒體和廣播媒體。在我們位於亞塞拜然和巴勒斯坦的Cloudflare資料中心，我們已經看到DDoS活動激增——表明這些地區內有僵屍網路在運行。

• 俄羅斯網路媒體公司成為第一季度俄羅斯國內受到最多攻擊的行業。第二大目標是互聯網行業，其次是加密貨幣，再次是零售。儘管針對俄羅斯加密貨幣公司的許多攻擊源自烏克蘭或美國，但另一個主要攻擊來源來自俄羅斯國內本身。
• 針對俄羅斯公司的大多數HTTP DDoS攻擊源於德國、美國、新加坡、芬蘭、印度、荷蘭和烏克蘭。值得注意的是，能夠識別網路攻擊流量的來源不同於能夠識別攻擊者的位置。
• 對烏克蘭發動的攻擊以廣播媒體和出版網站為目標，且顯得更為分散，源於更多國家/地區，這可能表明攻擊者使用了全球僵屍網路。儘管如此，大多攻擊流量源於美國、俄羅斯、德國、中國、英國和泰國。

• 2022年1月，超過17%的受攻擊者報稱成為勒索DDoS攻擊的目標或提前收到威脅。
• 這個數字在2月期間大幅下降至6%，然後在3月下降至3%。
• 整個第一季度期間，僅10%的受訪者報告勒索DDoS攻擊；同比下降28%，環比下降52%。

• 2022年第一季度是過去12個月內應用層攻擊最活躍的季度。HTTP層DDoS攻擊同比增長164%，環比增長135%。
• 更深入分析可見，2022年3月的HTTP DDoS攻擊比整個第四季度都要多（也超過第三季度的總數和第一季度的總數）。
• 繼中國連續四個季度為HTTP DDoS攻擊的最大來源後，美國在本季度上升到首位。源於美國的HTTP DDoS攻擊環比增長6777%，同比增長2225%。

• 第一季度期間，網路層攻擊同比增長71%，但環比下降58%。
• 網路層DDoS攻擊的最主要目標是電信行業，其次為遊戲和博彩公司，資訊技術和服務業。
• 第一季度容量耗盡型攻擊錄得增長。超過10Mpps的攻擊環比增長300%，超過100 Gpbs的攻擊環比增長645%。

本報告基於Cloudflare DDoS防護系統自動檢測並緩解的DDoS攻擊。

簡要說明一下我們如何測量在我們網路上觀察到的DDoS攻擊。

為分析攻擊趨勢，我們計算“DDoS活動”率，即攻擊流量占我們全球網路上觀察到的總流量（攻擊+清洗）、或在特定地點、或特定類別（如行業或帳單國家）流量中的百分比。通過測量百分比，我們能夠對資料點進行標準化，並避免絕對數字所反映出來的偏差。例如，如果某個Cloudflare資料中心接收到更多流量，則其也可能受到更多攻擊。

我們的系統持續分析流量，並在檢測到DDoS攻擊時自動應用緩解措施。每個遭受DDoS攻擊的客戶都會收到自動調查的提示，以幫助我們更好地瞭解攻擊的性質和緩解是否成功。

兩年多來，Cloudflare一直對受到攻擊的客戶進行調查，其中一個問題是客戶是否收到勒索信，要求其支付贖金來換取停止DDoS攻擊。在前一個季度——2021年第四季度，我們觀察到報告的勒索DDoS攻擊占比達到創紀錄的水準（20%）。這個季度期間，我們觀察到勒索DDoS攻擊比例有所下降，僅10%的受訪者報告勒索DDoS攻擊；同比下降28%，環比下降52%。

按月細分，2022年1月是第一季度期間最多受訪者報告收到勒索信的月份。比例接近五分之一（17%）。

應用層DDoS攻擊，特別是HTTP DDoS攻擊，旨在通過使HTTP伺服器無法處理合法用戶請求來造成破壞。如果伺服器收到的請求數量超過其處理能力，伺服器將丟棄合法請求甚至崩潰，導致對合法使用者的服務性能下降或中斷。

第一季度期間，應用層DDoS攻擊同比激增164%，環比激增135%，成為過去一年內攻擊最活躍的季度。

2022年第一季度期間，應用層DDoS攻擊上升至歷史新高。僅3月而言，HTTP DDoS攻擊就超過整個 2021年第四季度（也超過第三季度的總數和第一季度的總數）。

消費電子是第一季度期間受到最多攻擊的行業。

全球範圍內，消費電子行業是受到最多攻擊的行業，環比增長5086%。居第二位元的是網路媒體行業，環比增長2131%。第三位元是電腦軟體公司，環比增長76%，同比增長1472%。

為瞭解HTTP攻擊的來源，我們查看產生攻擊HTTP請求的用戶端的源IP位址。與網路層攻擊不同，HTTP攻擊中的源IP無法假冒。特定國家/地區的高DDoS活動率通常表明有僵屍網路在其境內運行。

繼中國連續四個季度為HTTP DDoS攻擊的最大來源後，美國在本季度上升到首位。源於美國的HTTP DDoS攻擊環比增長6777%，同比增長2225%。中國居第二位，其後是印度、德國、巴西和烏克蘭。

為確定哪些國家/地區遭受到最多攻擊，我們按客戶的帳單所屬國家/地區統計DDoS攻擊，並計算占DDoS攻擊總數的百分比。

繼連續三個季度居首位後，美國在本季度退居第二位。中國的組織受到最多HTTP DDoS攻擊，其次為美國、俄羅斯和賽普勒斯。

應用層攻擊的目標是（OSI 模型）第七層的應用程式，其上運行著最終使用者嘗試訪問的服務（對我們而言是 HTTP/S），而網路層攻擊旨在使網路基礎設施（例如內聯路由器和伺服器）及互聯網鏈路本身不堪重負。

第一季度期間，雖然 HTTP DDoS 攻擊大幅增長，但網路層 DDoS 攻擊實際上環比減少了 58%，不過同比仍增長了 71%。

對第一季度深入分析可見，網路層DDoS攻擊在整個季度期間基本保持穩定，每月發生的攻擊占三分之一左右。

以上網路層DDoS攻擊也包括被Cloudflare自動檢測並緩解的零日DDoS攻擊。

3月初，Cloudflare的研究人員幫助調查並暴露了Mitel商業電話系統中的一個零日漏洞，該漏洞與也能被攻擊者利用發起放大式DDoS攻擊。這種類型的攻擊從存在漏洞的Mitel伺服器將流量反射到受害者，在此過程中將發送的流量放大了22億倍。可在我們最近的博客文章中瞭解更多資訊。

在我們的網路上觀察到幾次這樣的攻擊。其中一次攻擊的目標是一家使用Cloudflare Magic Transit的北美雲服務提供者。此次攻擊來自100個源IP，主要來自美國、英國、加拿大、荷蘭、澳大利亞及另外約20個國家。攻擊峰值超過50Mpps（約22Gpbs），被Cloudflare系統自動檢測並緩解。

很多網路層DDoS攻擊以Cloudflare的IP位址段為直接目標。這些IP位址段服務我們的WAF/CDN客戶、Cloudflare權威DNS、Cloudflare公共DNS解析器1.1.1.1、Cloudflare Zero Trust產品、我們的企業辦公室等。此外，我們也通過我們的Spectrum產品向客戶分配專用IP位址，並通過我們的Magic Transit、Magic WAN和Magic Firewall產品廣播其他公司的IP地址，以便提供L3/4 DDoS保護。

本報告中，我們首次開始根據使用Spectrum和Magic產品的客戶所在行業對網路層DDoS攻擊進行分類。這樣分類可以讓我們瞭解哪些行業受到最多網路層DDoS攻擊。

從第一季度統計資料來看，我們發現，就針對Cloudflare客戶發動的攻擊包數量和位元組數而言，電信行業是第一大目標。在Cloudflare緩解的所有攻擊位元組數和攻擊包數中，針對電信公司的分別超過8%和10%。

緊隨其後，位居第二和第三的分別是遊戲/博彩和資訊技術服務行業。

類似于按客戶的行業分類，我們也能按照客戶的帳單國家/地區來歸類攻擊（與我們對應用層DDoS攻擊分類相同），以識別受到最多攻擊的國家/地區。

第一季度的資料顯示，以美國為目標的DDoS攻擊流量占比例最高——相當於攻擊包總數的10%以上，接近攻擊位元組總數的8%。其次是中國、加拿大和新加坡。

在嘗試瞭解網路層DDoS攻擊的來源時，我們不能使用分析應用層攻擊的相同方法。要發動應用層DDoS攻擊，必須在用戶端和伺服器之間發生成功的握手，才能建立HTTP/S連接。要發生成功的握手，攻擊不能偽造其來源IP位址。雖然攻擊者可以使用僵屍網路、代理和其他方法來混淆自己的身份，攻擊用戶端的源IP地址位置足以代表應用層DDoS攻擊的攻擊來源。

另一方面，要發動網路層DDoS攻擊，大部分情況下不需要握手。攻擊者可偽造源IP位址來混淆攻擊來源，並在攻擊屬性中引入隨機性，使得簡單的DDoS防禦系統更難攔截攻擊。因此，如果我們根據偽造的源IP推導出源國家/地區，我們將得到一個偽造的國家/地區。

為此，在分析網路層DDoS攻擊來源時，我們以接收流量的Cloudflare邊緣資料中心的位置來分類流量，而非根據（可能）偽造的源IP位址，以瞭解攻擊的源頭。由於在全球270多個城市設有資料中心，我們能夠在報告中實現地理位置上的準確性。即使這個方法也不是100%準確的，這是因為，出於降低成本、擁堵和故障管理等各種原因，流量可通過各種互聯網服務提供者（ISP）和國家/地區來回傳和路由。

第一季度期間，在Cloudflare亞塞拜然資料中心檢測到的攻擊百分比環比增長16624%，同比增長96900%，使其成為網路層DDoS攻擊活動占比最高的國家（48.5%）。

居第二位的是我們的巴勒斯坦資料中心，DDoS流量占總流量的比例達到驚人的41.9%。這個數字環比增長10120%，同比增長46456%。

第一季度期間，SYN 洪水依然是最常見的 DDoS 攻擊手段，而通用 UDP 洪水的使用出現顯著減少。

攻擊手段是指攻擊者用於發動 DDoS 攻擊的方法，即 IP 協定、資料包屬性（如 TCP 標誌）、洪水方法和其他條件。

第一季度期間，SYN 洪水占網路層 DDoS 攻擊的57%，環比增長 69%，同比增長 13%。位居第二的是 SSDP 攻擊，環比增長超過 1100%。其後是 RST 洪水和 UDP 攻擊。上一季度中，通用 UDP 洪水占第二位。但這個季度中，通用 UDP DDoS 攻擊環比銳減了 87%，從 32% 降至區區的 3.9%。

識別最主要的攻擊手段有助於組織瞭解威脅形勢，繼而幫助他們改善安全態勢，以防範這些威脅。同樣的，新興威脅也許僅占很少一部分，但瞭解這些威脅有助於在它們成為強大力量前加以緩解。

對第一季度的新興威脅分析可見，Lantronix服務反射DDoS攻擊和SSDP反射攻擊均有所增長，環比增幅分別為971%和724%。此外，SYN-ACK攻擊環比增長437%，而Mirai僵屍網路攻擊環比增長 321%。

Lantronix是一家美國軟體和硬體公司，提供豐富的產品服務，包括物聯網管理解決方案。他們提供用於管理物聯網元件的工具之一是Lantronix發現協議。這是一個命令列工具，説明搜索和找到Lantronix設備。這個發現工具是基於UDP協定的，意味著不需要握手。源IP位址可以被偽造。因此，攻擊者可使用這個工具，以一個4位元組的請求來搜索公開暴露的 Lantronix設備，後者將以來自埠30718的30位元組回應來進行回應。通過假冒成受害者的源IP位址，所有Lantronix設備都會將回應發送到受害者，從而形成一次反射/放大攻擊。

簡單服務發現協定（SSDP）的工作原理類似於Lantronix發現協議，但其用於通用隨插即用（UPnP）設備，例如網路印表機。通過濫用SSDP協議，攻擊者能產生基於反射的DDoS攻擊，以壓垮目標的基礎設施，導致互聯網資產宕機。

第一季度期間，我們觀察到容量耗盡型攻擊顯著增加——從包速率和位元速率來看均如此。超過 10 Mpps 的攻擊環比增長逾 300%，超過 100 Gbps 的攻擊環比增長 645%。

衡量L3/4DDoS攻擊的規模有不同的方法。一種方法是測量它產生的流量大小，以位元速率為單位（例如，Tbps或Gbps）。另一種是測量它產生的資料包數，以資料包速率為單位（例如，Mpps：百萬資料包/每秒）。

高位元速率的攻擊試圖使互聯網鏈路飽和，而高資料包速率的攻擊會使路由器或其他聯網硬體設備不堪重負。這些設備分配一定的記憶體和計算能力來處理每個資料包。因此，通過向設備發送大量資料包，該設備的處理資源就可能被耗盡。在這種情況下，資料包就會“被丟棄”，即設備無法再處理資料包。對使用者而言，這會導致服務中斷和拒絕服務。

大多數網路層DDoS攻擊的包速率在50kpps以下。雖然50kpps在Cloudflare的尺度上處於較低水準，但其仍能輕鬆地壓垮不受保護的互聯網資產，甚至能堵塞標準的千兆乙太網連接。

大多數網路層DDoS攻擊的在500 Mbps以下。這在Cloudflare的尺度上也是微不足道的，但仍能在很短時間內導致容量較小的互聯網資產宕機，或至少導致擁塞，即使標準的千兆乙太網連接也如此。

類似于在包速率角度觀察到的趨勢，我們在這個方面也能看到大幅增長。峰值超過100Gbps的DDoS攻擊環比增長645%；峰值介於10Gbps至100Gpbs的攻擊增長407%；峰值介於1Gbps至10Gbps的攻擊增長88%；甚至峰值介於500Mbps至1Gbps的攻擊也環比增長接近20%。

大多數攻擊的持續時間仍在一小時以內，再次表明有必要採取始終啟用的自動DDoS緩解解決方案。

我們測量攻擊持續時間的方式是：記錄系統首次檢測到攻擊與具備該攻擊特徵的最後一個資料包之間的時間差。

在此前的報告中，我們提供“一小時以內的攻擊”和更大時間範圍的細分數據。然而，大部分情況下，超過90%的攻擊持續時間不到一小時。因此，從這份報告開始，我們將短時間攻擊進一步拆分，並按照更短的時間範圍來分組，以提供更細的細微性。

值得注意的是，即使某一次攻擊僅持續幾分鐘，如果能夠取得成功，則其影響會遠遠超過最初的攻擊持續時間。對於一次成功的攻擊，IT人員可能要花費數小時或甚至數天才能恢復服務。

在2022年第一季度，超過半數的攻擊持續10-20分鐘，約40%持續不到10分鐘，還有大約5%持續20-40分鐘，餘下持續超過40分鐘。

短時間的攻擊很可能不被察覺，特別是爆發攻擊，此類攻擊會在幾秒鐘內用大量的包、位元組或請求轟擊目標。在這種情況下，依賴于安全分析來手動緩解的DDoS保護服務沒有機會及時緩解攻擊。此類服務只能從攻擊後分析中吸取教訓，然後部署過濾該攻擊指紋的新規則，期望下次能捕捉到它。同樣，使用“按需”服務（即安全團隊在遭到攻擊時將流量重定向至DDoS保護提供商）也無濟於事，因為在流量到達按需DDoS保護提供商前，攻擊就已經結束了。

建議企業使用始終啟用的自動化DDoS防護服務，此類服務能分析流量並應用即時指紋識別，從而及時攔截短暫的攻擊。