2024 年第一季度 DDoS 威胁趋势报告

什么是 DDoS 攻击?

但首先让我们快速回顾一下。DDoS 攻击是分布式拒绝服务攻击的简称,这是一种网络攻击,旨在使网站或移动应用程序等互联网服务瘫痪或中断,导致用户无法使用。DDoS 攻击一般通过向受害者的服务器发送超出其处理能力的流量来实施。要进一步了解 DDoS 攻击和其他类型的攻击,

2024 年第一季度关键洞察
2024 年第一季度的关键洞察包括:

  • 2024 年以轰轰烈烈的方式开始:Cloudflare 的防御系统在第一季度自动缓解了 450 万次 DDoS 攻击,同比增长了 50%。
  • 基于 DNS 的 DDoS 攻击同比增长了 80%,仍然是最主要的攻击手段。
  • 瑞典加入北约后,针对该国的 DDoS 攻击激增了 466%,类似于芬兰 2023 年加入北约时观察到的模式。

2024 年以轰轰烈烈的方式开始

2024 年第一季度才刚刚结束,我们的自动化防御系统就已经缓解了 450 万次 DDoS 攻击,相当于我们 2023 年缓解 DDoS 攻击总数的 32%。按攻击类型细分,HTTP DDoS 攻击同比增长 93%,环比增长 51%。网络层 DDoS 攻击,即 L3/4 DDoS 攻击同比增长 28%,环比增长 5%。

2024 年第一季度 DDoS 威胁趋势报告插图
2024 年第一季度:Cloudflare 缓解了 450 万次 DDoS 攻击


通过比较 HTTP DDoS 攻击和 L3/4 DDoS 攻击的合计数量,2024 年第一季度攻击总数同比增长了 50%,环比增长了 18%。

2024 年第一季度 DDoS 威胁趋势报告插图1
DDoS 攻击统计数据(分年度和季度)

第一季度期间,我们的系统总共缓解了 10.5 万亿个 HTTP DDoS 攻击请求。我们的系统还缓解了超过 59 PB 的 DDoS 攻击流量——仅在网络层。在这些网络层 DDoS 攻击中,许多攻击的速率超过了 1 Tbps,几乎每周都有。2024 年迄今为止我们缓解的最大规模攻击是由 Mirai 变种僵尸网络发起的。这一攻击达到 2 Tbps,目标是一家受 Cloudflare Magic Transit 保护的亚洲托管服务提供商。Cloudflare 的系统自动检测并缓解了攻击。Mirai 僵尸网络因其大规模 DDoS 攻击而臭名昭著,它主要由受感染的物联网(IoT)设备组成。在 2016 年,一个 Mirai 僵尸网络通过对 DNS 服务提供商发动攻击导致美国各地的互联网访问中断。将近八年过去了,Mirai 僵尸网络攻击仍然非常普遍。每 100 次 DDoS HTTP 攻击中有四次,每 100 次 L3/4 攻击有两次是由 Mirai 变体僵尸网络发起的。我们之所以说“变体”,是因为 Mirai 源代码已被公开,多年来出现了基于原始代码的许多变体。

2024 年第一季度 DDoS 威胁趋势报告插图2
Mirai 僵尸网络针对亚洲托管服务提供商发动 2 Tbps DDoS 攻击

DNS 攻击激增 80%我们于近期推出了最新的 DDoS 防御系统之一——Advanced DNS Protection 系统。这是对我们现有系统的补充,旨在防御最复杂的基于 DNS 的 DDoS 攻击。我们决定投资开发这个新系统并非心血来潮。基于 DNS 的 DDoS 攻击已成为最主要的攻击手段,在所有网络层攻击中所占比例继续增长。2024 年第一季度,基于 DNS 的 DDoS 攻击同比增长 80%,占比达到约 54%。

2024 年第一季度 DDoS 威胁趋势报告插图3
基于 DNS 的 DDoS 攻击(分年度和季度)

尽管 DNS 攻击激增,但值得注意的是,由于所有类型的 DDoS 攻击总体都进一步增加了,每种攻击类型的占比仍然与我们的 2023 年第四季度报告中所见相同。HTTP DDoS 攻击在 DDoS 攻击总数中的比例保持在 37%,DNS DDoS 攻击占 33%,余下 30% 为所有其他类型的 L3/4 攻击,例如 SYN Flood 和 UDP Flood。

2024 年第一季度 DDoS 威胁趋势报告插图4
攻击类型分布

而且事实上,SYN Flood 是第二种最常见的 L3/4 攻击。排名第三的是 RST Flood,这是另一种基于 TCP 的 DDoS 攻击。UDP Flood 排名第四,占 6%。

2024 年第一季度 DDoS 威胁趋势报告插图5
主要攻击手段

在分析最常见的攻击手段时,我们还会查看那些增长最快、但不一定进入前十名的攻击手段。在增长最快的攻击手段(新兴威胁)中,Jenkins Flood 季度环比增长超过 826%。Jenkins Flood 是一种 DDoS 攻击,利用 Jenkins 自动化服务器中的漏洞,特别是通过 UDP 多播/广播和 DNS 多播服务。攻击者可以向 Jenkins 服务器的公共 UDP 端口发送精心制作的小型请求,导致服务器以不合比例的大量数据进行响应。此举可显著放大流量,使目标网络不堪重负并导致服务中断。Jenkins 在 2020 年通过在后续版本中默认禁用这些服务来解决了这个漏洞(CVE-2020-2100)。然而,如我们所见,即使 4 年后,这个漏洞仍在被滥用以发动 DDoS 攻击。

2024 年第一季度 DDoS 威胁趋势报告插图6
季度环比增长最快的攻击手段

HTTP/2 Continuation Flood

另一种值得讨论的攻击手段是 HTTP/2 Continuation Flood。研究人员 Bartek Nowotarski 在 2024 年 4 月 3 日 发现并公开的一个漏洞使这种攻击手段成为可能。HTTP/2 Continuation Flood 漏洞的目标是未正确处理 HEADERS 和多个 CONTINUATION 帧的 HTTP/2 协议实现。威胁行为者发送一系列不带 END_HEADERS 标志的 CONTINUATION 帧,导致潜在的服务器问题,例如内存不足崩溃或 CPU 耗尽。HTTP/2 Continuation Flood 可以做到通过仅允许单台机器就能够破坏使用 HTTP/2 的网站和 API,但由于 HTTP 访问日志中没有可见的请求,这种攻击难以被发现。这个漏洞构成的潜在严重威胁比之前已知的 HTTP/2 Rapid Reset 更具破坏性,这种攻击手段导致了历史上一些最大规模的 HTTP/2 DDoS 攻击活动。其中一次活动中,数千次超大规模 DDoS 攻击以 Cloudflare 为目标。这些攻击的速率高达数百万次请求 /秒(rps)。根据 Cloudflare 记录,本轮活动的平均攻击速率为 3000 万 rps。其中大约 89 次攻击的峰值超过 1 亿 rps,我们看到的规模最大的一次攻击达到 2.01亿 rps。

2024 年第一季度 DDoS 威胁趋势报告插图7
2023 年第三季度的 HTTP/2 Rapid Reset 超大规模 DDoS 攻击活动

Cloudflare 的网络、其 HTTP/2 实现,以及使用我们的 WAF/CDN 服务的客户不受此漏洞的影响。此外,我们目前没有发现互联网上有任何威胁行为者利用此漏洞。多个 CVE 已被分配给受此漏洞影响的各种 HTTP/2 实现。卡内基梅隆大学的 Christopher Cullen 发布的一个 CERT 警报( Bleeping Computer 对此进行了报道)已经列出了各种 CVE:

受影响的服务CVE详情
Node.js HTTP/2 服务器CVE-2024-27983发送少数几个 HTTP/2 帧可造成竞态条件和内存泄漏,可能导致拒绝服务事件。
Envoy 的 oghttp 编解码器CVE-2024-27919超出标头映射限制时不重置请求可造成无限的内存消耗,可能导致拒绝服务事件。
Tempesta FWCVE-2024-2758其速率限制对空的 CONTINUATION 帧洪水并不完全有效,可能导致拒绝服务事件。
amphp/httpCVE-2024-2653它在无界缓冲区中收集 CONTINUATION 帧如果超过标头大小限制则有内存不足 (OOM) 崩溃的风险可能导致拒绝服务事件。
Go 的 net/http 和 net/http2 包CVE-2023-45288允许攻击者发送任意大的标头集,造成 CPU 消耗过高,可能导致拒绝服务事件。
nghttp2 库CVE-2024-28182涉及使用 nghttp2 库的实现,其继续接收 CONTINUATION 帧,在没有适当的流重置回调的情况下,可能导致拒绝服务事件。
Apache HttpdCVE-2024-27316可会发送大量未设置 END_HEADERS 标志的 CONTINUATION 帧,造成请求的不当终止,可能导致拒绝服务事件。
Apache Traffic ServerCVE-2024-31309HTTP/2 CONTINUATION 洪水可造成服务器资源消耗过多,可能导致拒绝服务事件。
Envoy 版本 1.29.2 或更早CVE-2024-30255在 CONTINUATION 帧洪水期间消耗大量服务器资源,可造成 CPU 耗尽,进而可能导致拒绝服务事件。

受攻击最多的行业

在分析攻击统计数据时,我们使用系统中记录的客户行业来确定受攻击最多的行业。2024 年第一季度,北美地区受到最多 HTTP DDoS 攻击的行业是营销和广告行业。在非洲和欧洲,信息技术和互联网行业受到最多攻击。在中东,受攻击最多的行业是计算机软件。亚洲受攻击最多的行业是游戏和泛娱乐。在南美,受攻击最多的是银行、金融服务和保险 (BFSI)。最后(但并非最不重要),大洋洲受到最多攻击的行业是电信。

2024 年第一季度 DDoS 威胁趋势报告插图8
受到最多 HTTP DDoS 攻击的行业(分地区)

在全球范围内,游戏和泛娱乐是 HTTP DDoS 攻击第一大目标。Cloudflare 缓解的每 100 个 DDoS 请求中,超过 7 个是针对游戏和泛娱乐行业。第二位是信息技术和互联网行业,第三位是营销和广告行业。

2024 年第一季度 DDoS 威胁趋势报告插图9
受 HTTP DDoS 攻击最多的行业

信息技术和互联网行业是网络层 DDoS 攻击的第一大目标,占网络层 DDoS 攻击字节总数的 75%。这一巨大比例的一个可能解释是信息技术和互联网公司可成为攻击的“超级聚合者”,它们受到的 DDoS 攻击实际上是针对其最终客户的。其次是电信、银行、金融服务和保险 (BFSI)、游戏和泛娱乐以及计算机软件,合计占 3%。

2024 年第一季度 DDoS 威胁趋势报告插图10
受 L3/4 DDoS 攻击最多的行业

通过将攻击流量除以给定行业的总流量来对数据进行标准化,我们会得到完全不同的状况。在 HTTP 方面,律师事务所和法律服务是受到最多攻击的行业,其流量中超过 40%是 HTTP DDoS 攻击流量。生物技术行业位居第二,HTTP DDoS 攻击流量占比达到 20%。第三位是非营利组织, HTTP DDoS 攻击占比 13%。航空和航天排名第四,前十的其他行业依次为交通运输、批发、政府关系、电影、公共政策和成人娱乐。

2024 年第一季度 DDoS 威胁趋势报告插图11
受 HTTP DDoS 攻击最多的行业(标准化后)

回到网络层,标准化后信息技术和互联网仍然是受到 L3/4 DDoS 攻击最多的行业,其流量中近三分之一为攻击流量。第二位是纺织行业,攻击流量占比为 4%。土木工程排名第三,前十的其他行业依次是银行、金融服务和保险(BFSI)、军事、建筑、医疗器械、国防和航天、游戏和泛娱乐,最后是零售。

2024 年第一季度 DDoS 威胁趋势报告插图12
受 L3/4 DDoS 攻击最多的行业(标准化后)

DDoS 攻击的最大来源

在分析 HTTP DDoS 攻击的来源时,我们通过查看源 IP 地址以确定这些攻击的来源位置。某个国家/地区成为大量攻击的来源地,表明在虚拟专用网络 (VPN) 或代理端点后面很可能存在大量僵尸网络节点,可被攻击者利用来混淆其来源。在 2024 年第一季度,美国是 HTTP DDoS 攻击流量的最大来源,所有 DDoS 攻击请求的五分之一来自美国 IP 地址。中国位居第二,其后是德国、印度尼西亚、巴西、俄罗斯、伊朗、新加坡、印度和阿根廷。

2024 年第一季度 DDoS 威胁趋势报告插图13
HTTP DDoS 攻击的主要来源

在网络层,源 IP 地址可被伪造。因此我们不依赖于 IP 地址来了解来源,而是使用我们接收到攻击流量的数据中心位置。由于 Cloudflare 的网络覆盖全球 310 多个城市,我们可以获得准确的地理位置。通过使用我们的数据中心位置,我们可以看到,2024 年第一季度期间超过 40% 的 L3/4 DDoS 攻击流量被我们的美国数据中心接收,使美国成为 L3/4 攻击的最大来源。远远落后的第二位是德国,占 6%,其后是巴西、新加坡、俄罗斯、韩国、中国香港、英国、荷兰和日本。

2024 年第一季度 DDoS 威胁趋势报告插图14
L3/4 DDoS 攻击的主要来源

通过将攻击流量除以给定国家或地区的总流量来标准化数据,我们得到一个完全不同的排名。来自直布罗陀的 HTTP 流量中有近三分之一是 DDoS 攻击流量,使其成为最大的来源。第二名是圣赫勒拿,其后是英属维尔京群岛、利比亚、巴拉圭、马约特、赤道几内亚、阿根廷和安哥拉。

2024 年第一季度 DDoS 威胁趋势报告插图15
HTTP DDoS 攻击的主要来源(标准化后)

回到网络层,标准化处理后的情况也大不相同。在我们位于津巴布韦的数据中心,所接收流量中近 89% 是 L3/4 DDoS 攻击。在巴拉圭,攻击流量占比超过 56%,其后是蒙古,占比接近 35%。排在前列的其他地点包括摩尔多瓦、刚果民主共和国、厄瓜多尔、吉布提、阿塞拜疆、海地和多米尼加共和国。

2024 年第一季度 DDoS 威胁趋势报告插图16
L3/4 DDoS 攻击的主要来源(标准化后)

受攻击最多的地点

在分析针对我们客户的 DDoS 攻击时,我们使用客户的账单国家/地区来确定“受攻击的国家/地区”。2024 年第一季度,美国是受 HTTP DDoS 攻击最多的国家。Cloudflare 缓解的 DDoS 请求中,大约十分之一针对美国。中国大陆位居第二,其后是加拿大、越南、印度尼西亚、新加坡、中国香港、中国台湾、塞浦路斯和德国。

2024 年第一季度 DDoS 威胁趋势报告插图17
受到最多 HTTP DDoS 攻击的国家和地区

通过将攻击流量除以给定国家或地区的总流量来标准化数据时,排名也变得截然不同。流向尼加拉瓜的 HTTP 流量中超过 63% 是 DDoS 攻击流量,使其成为受攻击最多的国家/地区。第二位是阿尔巴尼亚,其后是约旦、几内亚、圣马力诺、格鲁吉亚、印度尼西亚、柬埔寨、孟加拉国和阿富汗。

2024 年第一季度 DDoS 威胁趋势报告插图11
受到最多 HTTP DDoS 攻击的国家/地区(标准化后)

在网络层,中国大陆是受攻击最多的地区。2024 年第一季度 Cloudflare 缓解的所有 DDoS 攻击中,有 39% 是针对 Cloudflare 的中国客户。中国香港位居第二,其后是中国台湾、美国和巴西。

2024 年第一季度 DDoS 威胁趋势报告插图18
受 L3/4 DDoS 攻击最多的国家和地区

回到网络层,标准化后中国香港成为受攻击最多的地区。在发送到香港的所有流量中,超过 78% 为 L3/4 DDoS 攻击流量。位居第二的是中国大陆,DDoS 占比 75%。其后是哈萨克斯坦、泰国、圣文森特和格林纳丁斯、挪威、中国台湾、土耳其、新加坡和巴西。

2024 年第一季度 DDoS 威胁趋势报告插图19
受 L3/4 DDoS 攻击最多的国家和地区(标准化后)

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
个人中心
购物车
优惠劵
搜索