2022 年第二季度 DDoS 攻擊趨勢

● 地面衝突伴隨著針對資訊傳播的攻擊。
● 烏克蘭的廣播媒體公司是第二季度 DDoS 攻擊的最主要目標。事實上，受攻擊最多的前五個行業均來自線上/互聯網媒體、出版和廣播。
● 另一方面，在俄羅斯，線上媒體作為受攻擊最多的行業排名下降到第三位。俄羅斯的銀行、金融服務和保險（BFSI）公司在第二季度成為最主要的攻擊目標；幾乎 45% 的應用層 DDoS 攻擊均針對 BFSI 領域。俄羅斯的加密貨幣公司成為攻擊的第二大目標。
進一步瞭解 Cloudflare 如何使開放互聯網正常流入俄羅斯，並阻止攻擊出境。

● 我們觀察到一波新的勒索 DDoS 攻擊，由聲稱是 Fancy Lazarus 的組織發動。
● 2022 年 6 月，勒索攻擊達到今年以來的最高水準：每 5 個經歷過 DDoS 攻擊的受訪者中就有一個報稱遭到勒索 DDoS 攻擊或其他威脅。
● 總體而言，第二季度期間，勒索 DDoS 攻擊的比例環比上升了 11%。

● 2022 年第二季度期間，應用層 DDoS 攻擊同比增長 72%。
● 美國的組織受到最多攻擊，其次是賽普勒斯、中國香港和中國內地。針對賽普勒斯境內組織的攻擊環比增長 166%。
● 航空航太行業是第二季度受到最多攻擊的行業，其次是互聯網行業，銀行、金融服務和保險，以及第四位的博彩行業。

● 2022 年第二季度期間，網路層 DDoS 攻擊同比增長 109%。100 Gbps 及更大的攻擊環比增長 8%，持續 3 小時以上的攻擊環比增長 12%。
● 受到最多攻擊的行業為電信，遊戲/博彩，資訊技術和服務行業。
● 在美國的組織受到最多攻擊，其次是中國、新加坡和德國。

簡要說明一下我們如何測量在我們網路上觀察到的 DDoS 攻擊。
為分析攻擊趨勢，我們計算 “DDoS 活動”率，即攻擊流量占我們全球網路上觀察到的總流量（攻擊+乾淨）、或在特定地點、或特定類別（如行業或帳單國家）流量中的百分比。通過測量百分比，我們能夠對資料點進行標準化，並避免絕對數字所反映出來的偏差。例如，如果某個 Cloudflare 資料中心接收到更多流量，則其也可能受到更多攻擊。

我們的系統持續分析流量，並在檢測到 DDoS 攻擊時自動應用緩解措施。每個遭受 DDoS 攻擊的客戶都會收到自動調查的提示，以幫助我們更好地瞭解攻擊的性質和緩解是否成功。
兩年多來，Cloudflare 一直對受到攻擊的客戶進行調查，其中一個問題是客戶是否收到勒索信，要求其支付贖金來換取停止 DDoS 攻擊。
第二季度期間，報稱收到威脅或勒索信的受訪者數量較上一季度和去年同期分別增加 11%。本季度期間，我們緩解了多次勒索 DDoS 攻擊，發動者聲稱是高級持續性威脅（APT）組織 “Fancy Lazarus”。這些攻擊活動的主要目標是金融機構和加密貨幣公司。

第二季度的詳細資料顯示， 6 月期間，有五分之一的受訪者報稱遭到一次勒索 DDoS 攻擊或威脅——為 2022 年比例最高的月份，也是 2021 年 12 月以來的最高水準。

應用層 DDoS 攻擊，特別是 HTTP DDoS 攻擊，旨在通過使 HTTP 伺服器無法處理合法用戶請求來造成破壞。如果伺服器收到的請求數量超過其處理能力，伺服器將丟棄合法請求甚至崩潰，導致對合法使用者的服務性能下降或中斷。

第二季度，應用層 DDoS 攻擊同比增長 72%
總體而言，第二季度應用層 DDoS 攻擊同比增長 72%，但環比減少 5%。5 月是該季度期間攻擊最活躍的月份。近 41% 的應用層 DDoS 攻擊發生在 5 月，而 6 月的攻擊最少（18%）。

對航空航太行業發動的攻擊環比增長 493%。
第二季度，航空航太行業是受到最多應用層攻擊的行業。其次是互聯網行業，銀行、金融機構和保險行業（BFSI），以及居第四位的遊戲博彩行業。

烏克蘭的媒體和出版公司受到最多攻擊。
隨著烏克蘭的衝突局勢在海陸空繼續，網路空間的對抗也在繼續。以烏克蘭公司為目標的實體似乎在試圖掩蓋資訊。在烏克蘭，受到攻擊最多的五大行業均在廣播、互聯網、線上媒體和出版領域——占烏克蘭所遭受 DDoS 攻擊總數的接近 80%。

在衝突的另一方，俄羅斯銀行、金融機構和保險行業（BFSI）公司受到最多攻擊。接近 45% 的 DDoS 攻擊以 BFSI 領域為目標。第二大目標是加密貨幣行業，其次為線上媒體。

在衝突的雙方，我們都看到攻擊是高度分散式的，表明使用了全球分佈的僵屍網路。

第二季度，源於中國的攻擊增長 78%，而來自美國的攻擊減少 43%。
為瞭解 HTTP 攻擊的來源，我們查看產生攻擊的 HTTP 請求用戶端的源 IP 位址。與網路層攻擊不同，HTTP 攻擊中的源 IP 無法假冒。特定國家/地區的高 DDoS 活動比例較高並不意味著該國家/地區發動了攻擊，而是表明有僵屍網路在其境內運行。
第二季度，美國連續第二個季度成為最主要的 HTTP DDoS 攻擊來源地。其次是居第二位的中國，而印度和德國分別居第三和第四位。儘管美國依然居首位，但源於美國的攻擊環比減少了 43%，而來自其他地區的攻擊有所增加；來自印度攻擊的增加了 87%，來自德國的攻擊增加 33%，來自巴西的攻擊增加了 67%。

為確定哪些國家/地區遭受到最多攻擊，我們按客戶的帳單國家/地區統計 DDoS 攻擊，並計算占 DDoS 攻擊總數的百分比。
針對美國公司的 HTTP DDoS 攻擊環比增長 67%，使美國再次成為應用層 DDoS 攻擊的最主要目標。中國企業受到的攻擊環比減少 80%，導致其從第一位下降至第四位。賽普勒斯受到的攻擊增加了 167%，使其成為第二季度受攻擊第二多的國家。再次是中國香港、中國內地和荷蘭。

應用層攻擊的目標是（OSI 模型）第七層的應用程式，其上運行著最終使用者嘗試訪問的服務（對我們而言是 HTTP/S），而網路層攻擊旨在使網路基礎設施（例如內聯路由器和伺服器）及互聯網鏈路本身不堪重負。

在第二季度，網路層 DDoS 攻擊環比增長 109%，100 Gbps 及更大規模的攻擊環比增長了 8%。
第二季度期間，網路層 DDoS 攻擊的總數同比增長 109%，環比增長 15%。6 月是當季攻擊最活躍的月份，接近 36% 的攻擊發生這個月。

在第二季度，針對電信公司的攻擊環比增長 66%。
電信行業連續第二個季度成為網路層 DDoS 攻擊的最主要目標。更有甚者，針對電信公司的攻擊環比增長了 66%。其次為遊戲行業，第三位元是資訊技術和服務公司。

對美國網路發動的攻擊環比增長了 95%。
在第二季度，美國依然是受到最多攻擊的國家。其次是中國、新加坡和德國。

第二季度期間，Cloudflare 在巴勒斯坦和亞塞拜然觀察到的流量中，屬於網路層 DDoS 攻擊的流量分別占三分之一和四分之一。
在嘗試瞭解網路層 DDoS 攻擊的來源時，我們不能使用分析應用層攻擊的相同方法。要發動應用層 DDoS 攻擊，必須在用戶端和伺服器之間發生成功的握手，才能建立 HTTP/S 連接。要發生成功的握手，攻擊不能偽造其來源 IP 位址。雖然攻擊者可以使用僵屍網路、代理和其他方法來混淆自己的身份，攻擊用戶端的源 IP 地址位置足以代表應用層 DDoS 攻擊的攻擊來源。
另一方面，要發動網路層 DDoS 攻擊，大部分情況下不需要握手。攻擊者可偽造源 IP 位址來混淆攻擊來源，並在攻擊屬性中引入隨機性，使得簡單的 DDoS 防禦系統更難攔截攻擊。因此，如果我們根據偽造的源 IP 推導出源國家/地區，我們將得到一個偽造的國家/地區。
為此，在分析網路層 DDoS 攻擊來源時，我們以接收流量的 Cloudflare 資料中心的位置來分類流量，而非根據（可能）偽造的源 IP 地址，以便瞭解攻擊的源頭。由於在全球 270 多個城市設有資料中心，我們能夠在報告中實現地理位置上的準確性。然而，即使這個方法也不是 100% 準確的，因為出於降低成本、擁堵和故障管理等各種原因，流量可通過各種互聯網服務提供者（ISP）和國家/地區來回傳和路由。
巴勒斯坦從第二位元上升到第一位，成為網路層 DDoS 攻擊比例最高的 Cloudflare 資料中心所在地。其次是亞塞拜然、韓國和安哥拉。

在第二季度，DNS 攻擊有所增加，成為第二大最常見的攻擊手段。
攻擊手段是指攻擊者用於發動 DDoS 攻擊的方法，即 IP 協定、資料包屬性（如 TCP 標誌）、洪水方法和其他條件。
在第二季度，53% 的網路層攻擊為 SYN 洪水。SYN 洪水依然是最常見的攻擊手段。此類攻擊濫用有狀態 TCP握手的初始連接請求。在初始連接請求期間，由於是新的 TCP 請求，伺服器沒有關於它的任何上下文；如果缺乏適當的保護措施，伺服器可能難以緩解大量湧入的初始連接請求。這使得攻擊者更容易消耗未受保護的伺服器的資源。
其次是針對 DNS 基礎設施的攻擊，同樣濫用 TCP 連接流的 RST 洪水，以及基於 UDP 的一般攻擊。

在第二季度，最主要的新興威脅包括基於 CHARGEN、Ubiquiti 和 Memcached 的攻擊
識別最主要的攻擊手段有助於組織瞭解威脅形勢，繼而幫助他們改善安全態勢，以防範這些威脅。同樣的，新興威脅也許僅占很少一部分，但瞭解這些威脅有助於在它們成為強大力量前加以緩解。
第二季度，最主要的威脅是濫用字元生成器協定（CHARGEN）的放大攻擊，反射暴露 Ubiquiti 設備流量的放大攻擊，以及臭名昭著的 Memcached 攻擊。

在第二季度，濫用 CHARGEN 協議的攻擊同比增長 378%。
字元生成器（CHARGEN）協定最初在RFC 864(1983) 中定義，是互聯網協定套件的一種服務。顧名思義，這種協定任意生成字元，並不斷向用戶端發送字元，直到用戶端關閉連接為止。它最初的目的是用於測試和調試。然而，這種協定極少被使用，因其很容易被濫用來產生放大/反射攻擊。
攻擊者可以假冒受害者的源 IP，並欺騙世界各地的支持伺服器來將隨意產生的字元發送“回”受害者的伺服器。這是一種放大/反射攻擊。如果有足夠的 CHARGEN 資料流程，受害者的伺服器——如果不受保護——就會被淹沒，無法處理合法流量，導致拒絕服務事件。

在第二季度，利用 Ubiquity 發動的攻擊環比增長 327%。
Ubiquiti 是一家位於美國的公司，為消費者和企業提供網路和物聯網（IoT）設備。使用 Ubiquiti 發現協定，可通過 UDP/TCP 埠 10001 發現網路中 Ubiquiti 設備。
類似於 CHARGEN 攻擊手段，攻擊者可將源 IP 假冒成受害者的 IP 位址並發送使 10001 埠打開的 IP 位址。後者將對受害者發出回應，如容量足夠，受害者的伺服器就會被淹沒。

在第二季度，Memcached DDoS 攻擊環比增長了 287%。
Memcached 是一個資料庫緩存系統，可以加快網站和網路的速度。類似於 CHARGEN 和 Ubiquiti，支援 UDP 的 Memcached 伺服器可被濫用來發動放大/反射 DDoS 攻擊。在這種情況下，攻擊者會從緩存系統請求內容，並在 UDP 資料包中將受害者的 IP 位址偽造成源 IP。這些回應可以被放大高達 51200 倍，從而淹沒受害者的伺服器。

100 Gbps 以上的大容量攻擊環比增長 8%。
衡量 L3/4 DDoS 攻擊的規模有不同的方法。一種方法是測量它產生的流量大小，以位元速率為單位（例如，Tbps 或 Gbps）。另一種是測量它產生的資料包數，以資料包速率為單位（例如， Mpps：百萬資料包/每秒）。
高位元速率的攻擊試圖使互聯網鏈路飽和，而高資料包速率的攻擊會使路由器或其他聯網硬體設備不堪重負。這些設備分配一定的記憶體和計算能力來處理每個資料包。因此，通過向設備發送大量資料包，該設備的處理資源就可能被耗盡。在這種情況下，資料包就會“被丟棄”，即設備無法再處理資料包。對使用者而言，這會導致服務中斷和拒絕服務。

大多數網路層 DDoS 攻擊的包速率在 50 kpps 以下。雖然 50 kpps 在 Cloudflare 的尺度上處於較低水準，但其仍能輕鬆地壓垮不受保護的互聯網資產，甚至能堵塞標準的千兆乙太網連接。

從攻擊規模的變化來看，超過 50 kpps 的資料包密集型攻擊環比有所減少，導致小規模攻擊增加了 4%。

第二季度期間，大多數網路層 DDoS 攻擊的包速率在 500 Mbps 以下。對 Cloudflare 的規模而言，這也是微不足道的，但仍能在很短時間內導致容量較小且未受保護的互聯網資產宕機，或至少導致堵塞，即使標準的千兆乙太網連接也有可能受到影響。

值得關注的是，介於 500 Mbps 和 100 Gbps 的大型攻擊環比減少了 20-40%，但超過 100 Gbps 的大規模攻擊增長了 8%。

在第二季度，持續 3 小時以上的攻擊增加了 9%。
我們測量攻擊持續時間的方式是：記錄系統首次檢測到攻擊與具備該攻擊特徵的最後一個資料包之間的時間差。
在第二季度，52% 的網路層 DDoS 攻擊持續不到 10 分鐘。另外 40% 持續 10-20 分鐘。餘下 8% 包括從 20 分鐘到 3 小時以上的的攻擊。
值得注意的是，即使某一次攻擊僅持續幾分鐘，如果能夠取得成功，則其影響會遠遠超過最初的攻擊持續時間。對於一次成功的攻擊，IT 人員可能要花費數小時或甚至數天才能恢復服務。

雖然大多數攻擊都很短，但我們發現，持續 20-60 分鐘的攻擊增長超過 15%，持續3 小時以上的攻擊增長 12%。

短時間的攻擊很可能不被察覺，特別是突髮式攻擊，此類攻擊會在幾秒鐘內用大量的包、位元組或請求轟擊目標。在這種情況下，依賴于安全分析來手動緩解的 DDoS 保護服務沒有機會及時緩解攻擊。此類服務只能從攻擊後分析中吸取教訓，然後部署過濾該攻擊指紋的新規則，期望下次能捕捉到它。同樣，使用“按需”服務（即安全團隊在遭到攻擊時將流量重定向至 DDoS 保護提供商）也無濟於事，因為在流量到達按需 DDoS 保護提供商前，攻擊就已經結束了。
建議企業使用始終啟用的自動化 DDoS 防護服務，此類服務能分析流量並應用即時指紋識別，從而及時攔截短暫的攻擊。