2024 年第一季度 DDoS 威胁趋势报告

欢迎阅读 Cloudflare 的第 17 版 DDoS 威胁报告。本版涵盖 2024 年第一季度期间从 Cloudflare 网络观察到的 DDoS 威胁形势以及主要发现。

什么是 DDoS 攻击？

但首先让我们快速回顾一下。DDoS 攻击是分布式拒绝服务攻击的简称，这是一种网络攻击，旨在使网站或移动应用程序等互联网服务瘫痪或中断，导致用户无法使用。 DDoS 攻击一般通过向受害者的服务器发送超出其处理能力的流量来实施。

要进一步了解 DDoS 攻击和其他类型的攻击，请访问我们的学习中心。

访问以前的报告

温馨提示：您可在 Cloudflare 博客上访问以往版本的 DDoS 威胁报告。这些报告也可在我们的交互式中心 Cloudflare Radar 上找到。Radar 提供有关全球互联网流量、攻击的信息，以及技术趋势和见解，并具有向下钻取和过滤功能，以便您聚焦到特定的国家/地区、行业和网络。我们还提供一个免费 API，以便学者、数据研究院和其他 Web 爱好者调查全球互联网趋势。

要了解我们如何准备本报告，请参阅我们的方法论。

2024 年第一季度关键洞察

2024 年第一季度的关键洞察包括：

2024 年以轰轰烈烈的方式开始了。Cloudflare 的防御系统在第一季度自动缓解了 450 万次 DDoS 攻击，同比增长了 50%。
基于 DNS 的 DDoS 攻击同比增长了 80%，仍然是最主要的攻击手段。
瑞典加入北约后，针对该国的 DDoS 攻击激增了 466%，类似于芬兰 2023 年加入北约时观察到的模式。

2024 年以轰轰烈烈的方式开始

2024 年第一季度刚刚结束，而我们的自动化防御系统已经缓解了 450 万次 DDoS 攻击，相当于我们 2023 年缓解 DDoS 攻击总数的 32%。

按攻击类型细分，HTTP DDoS 攻击同比增长 93%，环比增长 51%。网络层 DDoS 攻击，即 L3/4 DDoS 攻击同比增长 28%，环比增长 5%。

2024 年第一季度：Cloudflare 缓解了 450 万次 DDoS 攻击

通过比较 HTTP DDoS 攻击和 L3/4 DDoS 攻击的合计数量，2024 年第一季度攻击总数同比增长了 50%，环比增长了 18%。

DDoS attacks by year and quarter — DDoS 攻击统计数据（分年度和季度）

第一季度期间，我们的系统总共缓解了 10.5 万亿个 HTTP DDoS 攻击请求。我们的系统还缓解了超过 59 PB 的 DDoS 攻击流量——仅在网络层。

在这些网络层 DDoS 攻击中，许多攻击的速率超过了 1 Tbps，几乎每周都有。 2024 年迄今为止我们缓解的最大规模攻击是由 Mirai 变种僵尸网络发起的。这一攻击达到 2 Tbps，目标是一家受 Cloudflare Magic Transit 保护的亚洲托管服务提供商。 Cloudflare 的系统自动检测并缓解了攻击。

Mirai 僵尸网络因其大规模 DDoS 攻击而臭名昭著，它主要由受感染的物联网(IoT)设备组成。在 2016 年，一个 Mirai 僵尸网络通过对 DNS 服务提供商发动攻击导致美国各地的互联网访问中断。将近八年过去了，Mirai 僵尸网络攻击仍然非常普遍。每 100 次 DDoS HTTP 攻击中有四次，每 100 次 L3/4 攻击有两次是由 Mirai 变体僵尸网络发起的。我们之所以说“变体”，是因为 Mirai 源代码已被公开，多年来出现了原始代码的许多变体。

Mirai botnet targets Asian hosting provider with 2 Tbps DDoS attack — Mirai 僵尸网络针对亚洲托管服务提供商发动 2 Tbps DDoS 攻击

DNS 攻击激增 80%

2024 年 3 月，我们推出了最新的 DDoS 防御系统之一——Advanced DNS Protection 系统。这是对我们现有系统的补充，旨在防御最复杂的基于 DNS 的 DDoS 攻击。

我们决定投资开发这个新系统并非心血来潮。基于 DNS 的 DDoS 攻击已成为最主要的攻击手段，在所有网络层攻击中所占比例继续增长。 2024 年第一季度，基于 DNS 的 DDoS 攻击同比增长 80%，占比达到约 54%。

DNS-based DDoS attacks by year and quarter — 基于 DNS 的 DDoS 攻击（分年度和季度）

尽管 DNS 攻击激增，但引人注目的是，由于所有类型的 DDoS 攻击总体均增加了，每种攻击类型的占比仍然与我们的 2023 年第四季度报告中所见相同。HTTP DDoS 攻击在 DDoS 攻击总数中的比例保持在 37%，DNS DDoS 攻击占 33%，余下 30% 为所有其他类型的 L3/4 攻击，例如 SYN Flood 和 UDP Flood。

而且事实上，SYN Flood 是第二最常见的 L3/4 攻击。排名第三的是 RST Flood，这是另一种基于 TCP 的 DDoS 攻击。 UDP Flood 排名第四，占 6%。

在分析最常见的攻击手段时，我们还会查看那些增长最快、但不一定进入前十名的攻击手段。在增长最快的攻击手段（新兴威胁）中，Jenkins Flood 季度环比增长超过 826%。

Jenkins Flood 是一种 DDoS 攻击，利用 Jenkins 自动化服务器中的漏洞，特别是通过 UDP 多播/广播和 DNS 多播服务。攻击者可以向 Jenkins 服务器的公共 UDP 端口发送精心制作的小型请求，导致服务器以不合比例的大量数据进行响应。此举可显著放大流量，使目标网络不堪重负并导致服务中断。Jenkins 在 2020 年通过在后续版本中默认禁用这些服务来解决了这个漏洞（CVE-2020-2100）。然而，如我们所见，即使 4 年后，这个漏洞仍在被滥用以发动 DDoS 攻击。

Attack vectors that experienced the largest growth QoQ — 季度环比增长最快的攻击手段

HTTP/2 Continuation Flood

另一种值得讨论的攻击手段是 HTTP/2 Continuation Flood。研究人员 Bartek Nowotarski 在 2024 年 4 月 3 日发现并公开的一个漏洞使这种攻击手段成为可能。

HTTP/2 Continuation Flood 漏洞的目标是未正确处理 HEADERS 和多个 CONTINUATION 帧的 HTTP/2 协议实现。威胁行为者发送一系列不带 END_HEADERS 标志的 CONTINUATION 帧，导致潜在的服务器问题，例如内存不足崩溃或 CPU 耗尽。 HTTP/2 Continuation Flood 允许甚至单台机器破坏使用 HTTP/2 的网站和 API，但由于 HTTP 访问日志中没有可见的请求，这种攻击难以被发现。

这个漏洞构成的潜在严重威胁比之前已知的更具破坏性 HTTP/2 Rapid Reset，这种攻击手段导致了历史上一些最大规模的 HTTP/2 DDoS 攻击活动。其中一次活动中，数千次超大规模 DDoS 攻击以 Cloudflare 为目标。这些攻击的速率高达数百万次请求 /秒(rps)。根据 Cloudflare 记录，本轮活动的平均攻击速率为 3000 万 rps。其中大约 89 次攻击的峰值超过 1 亿 rps，我们看到的最大一次攻击达到 2.01亿 rps。更多内容请参见我们的 2023 年第三季度 DDoS 威胁趋势报告。

HTTP/2 Rapid Reset campaign of hyper-volumetric DDoS attacks in 2023 Q3 — 2023 年第三季度的 HTTP/2 Rapid Reset 超大规模 DDoS 攻击活动

Cloudflare 的网络、其 HTTP/2 实现以及我们的 WAF/CDN 服务的客户不受此漏洞的影响。此外，我们目前没有发现互联网上有任何威胁行为者利用此漏洞。

多个 CVE 已被分配给受此漏洞影响的各种 HTTP/2 实现。卡内基梅隆大学的 Christopher Cullen 发布的一个 CERT 警报（ Bleeping Computer 对此进行了报道）列出了各种 CVE：

受影响的服务	CVE	详情
Node.js HTTP/2 服务器	CVE-2024-27983	发送少数几个 HTTP/2 帧可造成竞态条件和内存泄漏，可能导致拒绝服务事件。
Envoy 的 oghttp 编解码器	CVE-2024-27919	超出标头映射限制时不重置请求可造成无限的内存消耗，可能导致拒绝服务事件。
Tempesta FW	CVE-2024-2758	其速率限制对空的 CONTINUATION 帧洪水并不完全有效，可能导致拒绝服务事件。
amphp/http	CVE-2024-2653	它在无界缓冲区中收集 CONTINUATION 帧如果超过标头大小限制则有内存不足 (OOM) 崩溃的风险可能导致拒绝服务事件。
Go 的 net/http 和 net/http2 包	CVE-2023-45288	允许攻击者发送任意大的标头集，造成 CPU 消耗过高，可能导致拒绝服务事件。
nghttp2 库	CVE-2024-28182	涉及使用 nghttp2 库的实现，其继续接收 CONTINUATION 帧，在没有适当的流重置回调的情况下，可能导致拒绝服务事件。
Apache Httpd	CVE-2024-27316	可会发送大量未设置 END_HEADERS 标志的 CONTINUATION 帧，造成请求的不当终止，可能导致拒绝服务事件。
Apache Traffic Server	CVE-2024-31309	HTTP/2 CONTINUATION 洪水可造成服务器资源消耗过多，可能导致拒绝服务事件。
Envoy 版本 1.29.2 或更早	CVE-2024-30255	在 CONTINUATION 帧洪水期间消耗大量服务器资源，可造成 CPU 耗尽，进而可能导致拒绝服务事件。

受攻击最多的行业

在分析攻击统计数据时，我们使用系统中记录的客户行业来确定受攻击最多的行业。 2024 年第一季度，北美地区受到最多 HTTP DDoS 攻击的行业是营销和广告。在非洲和欧洲，信息技术和互联网行业受到最多攻击。在中东，受攻击最多的行业是计算机软件。亚洲受攻击最多的行业是游戏和泛娱乐。在南美，受攻击最多的是银行、金融服务和保险 (BFSI)。最后（但并非最不重要），大洋洲受到最多攻击的行业是电信。

Top attacked industries by HTTP DDoS attacks, by region — 受到最多 HTTP DDoS 攻击的行业（分地区）

在全球范围内，游戏和泛娱乐是 HTTP DDoS 攻击第一大目标。 Cloudflare 缓解的每 100 个 DDoS 请求中，超过 7 个针对游戏和泛娱乐。第二位是信息技术和互联网行业，第三位是营销和广告。

Top attacked industries by HTTP DDoS attacks — 受 HTTP DDoS 攻击最多的行业

信息技术和互联网行业是网络层 DDoS 攻击的第一大目标，占网络层 DDoS 攻击字节总数的 75%。这一巨大比例的一个可能解释是信息技术和互联网公司可成为攻击的“超级聚合者”，它们受到的 DDoS 攻击实际上是针对其最终客户的。其次是电信、银行、金融服务和保险 (BFSI)、游戏和泛娱乐以及计算机软件，合计占 3%。

Top attacked industries by L3/4 DDoS attacks — 受 L3/4 DDoS 攻击最多的行业

通过将攻击流量除以给定行业的总流量来对数据进行标准化，我们会得到完全不同的状况。在 HTTP 方面，律师事务所和法律服务是受到最多攻击的行业，其流量中超过 40%是 HTTP DDoS 攻击流量。生物技术行业位居第二，HTTP DDoS 攻击流量占比达到 20%。第三位是非营利组织， HTTP DDoS 攻击占比 13%。航空和航天排名第四，前十的其他行业依次为交通运输、批发、政府关系、电影、公共政策和成人娱乐。

Top attacked industries by HTTP DDoS attacks (normalized) — 受 HTTP DDoS 攻击最多的行业（标准化后）

回到网络层，标准化后信息技术和互联网仍然是受到 L3/4 DDoS 攻击最多的行业，其流量中近三分之一为攻击。第二位是纺织行业，攻击流量占比为 4%。土木工程排名第三，前十的其他行业依次是银行、金融服务和保险(BFSI)、军事、建筑、医疗器械、国防和航天、游戏和泛娱乐，最后是零售。

Top attacked industries by L3/4 DDoS attacks (normalized) — 受 L3/4 DDoS 攻击最多的行业（标准化后）

DDoS 攻击的最大来源

在分析 HTTP DDoS 攻击的来源时，我们通过查看源 IP 地址以确定这些攻击的来源位置。某个国家/地区成为大量攻击的来源地，表明在虚拟专用网络 (VPN) 或代理端点后面很可能存在大量僵尸网络节点，可被攻击者利用来混淆其来源。

在 2024 年第一季度，美国是 HTTP DDoS 攻击流量的最大来源，所有 DDoS 攻击请求的五分之一来自美国 IP 地址。中国位居第二，其后是德国、印度尼西亚、巴西、俄罗斯、伊朗、新加坡、印度和阿根廷。

The top sources of HTTP DDoS attacks — HTTP DDoS 攻击的主要来源

在网络层，源 IP 地址可被伪造。因此我们不依赖于 IP 地址来了解来源，而是使用我们接收到攻击流量的数据中心位置。由于 Cloudflare 的网络覆盖全球 310 多个城市，我们可以获得准确的地理位置。

通过使用我们的数据中心位置，我们可以看到，2024 年第一季度期间超过 40% 的 L3/4 DDoS 攻击流量被我们的美国数据中心接收，使美国成为 L3/4 攻击的最大来源。远远落后的第二位是德国，占 6%，其后是巴西、新加坡、俄罗斯、韩国、中国香港、英国、荷兰和日本。

The top sources of L3/4 DDoS attacks — L3/4 DDoS 攻击的主要来源

通过将攻击流量除以给定国家或地区的总流量来标准化数据，我们得到一个完全不同的排名。来自直布罗陀的 HTTP 流量中有近三分之一是 DDoS 攻击流量，使其成为最大的来源。第二名是圣赫勒拿，其后是英属维尔京群岛、利比亚、巴拉圭、马约特、赤道几内亚、阿根廷和安哥拉。

The top sources of HTTP DDoS attacks (normalized) — HTTP DDoS 攻击的主要来源（标准化后）

回到网络层，标准化处理后的情况也大不相同。在我们位于津巴布韦的数据中心，所接收流量中近 89% 是 L3/4 DDoS 攻击。在巴拉圭，攻击流量占比超过 56%，其后是蒙古，占比接近 35%。排在前列的其他地点包括摩尔多瓦、刚果民主共和国、厄瓜多尔、吉布提、阿塞拜疆、海地和多米尼加共和国。

The top sources of L3/4 DDoS attacks (normalized) — L3/4 DDoS 攻击的主要来源（标准化后）

受攻击最多的地点

在分析针对我们客户的 DDoS 攻击时，我们使用客户的账单国家/地区来确定“受攻击的国家/地区”。 2024 年第一季度，美国是受 HTTP DDoS 攻击最多的国家。 Cloudflare 缓解的 DDoS 请求中，大约十分之一针对美国。中国大陆位居第二，其后是加拿大、越南、印度尼西亚、新加坡、中国香港、中国台湾、塞浦路斯和德国。

Top attacked countries and regions by HTTP DDoS attacks — 受到最多 HTTP DDoS 攻击的国家和地区

通过将攻击流量除以给定国家或地区的总流量来标准化数据时，排名也变得截然不同。流向尼加拉瓜的 HTTP 流量中超过 63% 是 DDoS 攻击流量，使其成为受攻击最多的国家/地区。第二位是阿尔巴尼亚，其后是约旦、几内亚、圣马力诺、格鲁吉亚、印度尼西亚、柬埔寨、孟加拉国和阿富汗。

Top attacked countries and regions by HTTP DDoS attacks (normalized) — 受到最多 HTTP DDoS 攻击的国家/地区（标准化后）

在网络层，中国大陆是受攻击最多的地区。2024 年第一季度 Cloudflare 缓解的所有 DDoS 攻击中，有 39% 是针对 Cloudflare 的中国客户。中国香港位居第二，其后是中国台湾、美国和巴西。

Top attacked countries and regions by L3/4 DDoS attacks — 受 L3/4 DDoS 攻击最多的国家和地区

回到网络层，标准化后中国香港成为受攻击最多的地区。在发送到香港的所有流量中，超过 78% 为 L3/4 DDoS 攻击流量。位居第二的是中国大陆，DDoS 占比 75%。其后是哈萨克斯坦、泰国、圣文森特和格林纳丁斯、挪威、中国台湾、土耳其、新加坡和巴西。

Top attacked countries and regions by L3/4 DDoS attacks (normalized) — 受 L3/4 DDoS 攻击最多的国家和地区（标准化后）

无论攻击类型、规模或持续时间如何，Cloudflare 均可提供帮助

Cloudflare 的使命是帮助构建更好的互联网，使其安全、高效运行且人人可用。鉴于HTTP DDoS 攻击，大约十分之四持续 10 分钟以上，大约十分之三持续一小时以上，形势非常严峻。然而，无论攻击达到 10 万个请求/秒（占攻击总数的十分之一），甚至超过 100 万个请求/秒（罕见情况，仅占 4/1000），Cloudflare 的防御系统始终滴水不漏。

自 2017 年率先推出不计量 DDoS 防护以来，Cloudflare一直坚定不移地兑现向所有组织免费提供企业级 DDoS 防护的承诺，确保我们先进的技术和强大的网络架构不仅抵御攻击，还能维持性能不受影响。

Cloudflare 博客