歡迎閱讀 2023 年的第二份 DDoS 威脅報告。DDoS 攻擊全稱為分散式阻斷服務攻擊,這是一種網路攻擊類型,旨在利用超過網站處理能力的大量流量使網站不堪重負,中斷網站服務(和其他類型的網際網路內容),使其無法供合法使用者存取——這就像一個前往雜貨店的司機陷於交通堵塞之中。
我們看到了各種類型和規模的大量 DDoS 攻擊,我們的網路是全球最大的網路之一,覆蓋 100 多個國家的 300 多座城市。透過這個網路,我們在高峰時每秒可為超過 6300 萬 HTTP 請求提供服務,每天處理超過 2 萬億個 DNS 查詢。這一龐大的資料量為我們提供了獨特的優勢,以便為社群提供富有洞察力的 DDoS 趨勢解析。
常年關注我們的讀者可能會注意到,這份報告的版面配置發生了改變。我們過去遵循一套固定的模式,來分享有關 DDoS 攻擊的深入解析和趨勢。但是,隨著 DDoS 威脅情勢發生變化,DDoS 攻擊變得越來越強大和複雜,我們認為有必要改變一下我們呈現發現結果的方式。因此,我們將從快速的全球概觀開始,然後深入剖析我們在全球 DDoS 攻擊中觀察到的重大變化。
溫馨提示:Cloudflare Radar 上也提供了本報告的互動式版本。此外,我們還增加了一個新的互動式元件,可讓您更深入地瞭解每個國家或地區的攻擊活動。
DDoS 情勢:全球模式一覽
2023 年第二季的特點是深思熟慮、量身定製和持續的 DDoS 攻擊攻擊浪潮,包括:
- 親俄駭客組織 REvil、Killnet 和 Anonymous Sudan 聯合對西方興趣網站發起了多次 DDoS 攻擊。
- 謹慎策劃且有針對性的 DNS 攻擊有所增加,同時,利用 Mitel 漏洞 (CVE-2022-26143) 的 DDoS 攻擊劇增了 532%。去年,Cloudflare 為披露這一 zero-day 漏洞做出了貢獻。
- 針對加密貨幣公司的攻擊增長了 600%,同時觀察到 HTTP DDoS 攻擊增長了 15%。其中,我們注意到攻擊複製程度出現了驚人的升級,我們將對此進行更深入的說明。
此外,這一季度我們觀察到的一次最大的攻擊是 ACK 洪水 DDoS 攻擊,源自一個 Mirai 變種的殭屍網路,包含大約一萬一千個 IP 位址。該攻擊針對一家美國網際網路服務提供者。其峰值為每秒 1.4 TB (Tbps),Cloudflare 的系統自動偵測到並緩解了這一攻擊。
儘管一般數據表明整體攻擊持續時間有所增加,但大部分攻擊時間都很短,這一次也是如此。這次攻擊僅持續了兩分鐘。然而,總體來說,我們發現超過 3 小時的攻擊環比增長了 103%。
現在,我們已經瞭解了整體情況,接下來我們將深入探討 DDoS 情勢的這些變化。
被稱為「Darknet Parliament(暗網議會)」的駭客聯盟主要針對西方銀行和 SWIFT 網路
6 月 14 日,親俄駭客組織 Killnet、死灰復燃的 REvil 和 Anonymous Sudan 宣佈,他們聯合對西方金融系統發起了「大規模」網路攻擊,包括歐洲和美國銀行,以及美國聯邦儲備系統。這三個組織合稱為「暗網議會」,其宣稱其首要目標是使 SWIFT(世界銀行間金融電信協會)癱瘓。由於 SWIFT 是金融機構進行全球金融交易的主要服務,因此對 SWIFT 的成功 DDoS 攻擊可能會產生嚴重的後果。
除了媒體報道過的少數公開事件(如 Microsoft 服務中斷)外,我們沒有發現任何針對我們客戶的新奇 DDoS 攻擊或中斷。我們的系統一直在自動偵測和緩解與此活動相關的攻擊。在過去幾週中,暗網議會對 Cloudflare 保護的網站發起了多達 10,000 次此類 DDoS 攻擊(參見下方圖表)。
儘管駭客組織發佈了攻擊聲明,但根據我們在此次活動中觀察到的針對我們客戶的攻擊,銀行和金融服務網站只是第九大遭受攻擊的產業。
遭受攻擊最多的產業是電腦軟體、博彩和遊戲。電信和媒體渠道分別排名第四和第五。總體而言,在這次活動中,我們觀察到的最大攻擊峰值為每秒 1700 萬個請求 (rps),平均值為 65,000 rps。
為了讓您進行對比,今年早些時候我們緩解了一次有史以來最大的攻擊,峰值高達 7100 萬 rps。因此,相較於 Cloudflare 的規模而言,這些攻擊都非常小,但對於一般網站而言則並非如此。因此,我們不能低估這些攻擊對未受保護或未獲得最佳設定的網站所能造成的損害。
複雜的 HTTP DDoS 攻擊
HTTP DDoS 攻擊是透過超文字傳輸通訊協定 (HTTP) 進行的 DDoS 攻擊。其針對網站和 API 閘道等網際網路內容。在過去這一季度中,HTTP DDoS 攻擊環比增長了 15%,但同比減少了 35%。
此外,我們觀察到,在過去幾個月內,高度隨機和複雜的 HTTP DDoS 攻擊出現了驚人的增長。似乎是這些攻擊背後的威脅執行者有意策劃攻擊,非常準確且熟練地模仿瀏覽器行為,在某些情況下,在使用者代理程式和 JA3 指紋等多種內容上引入了高度隨機化,從而試圖戰勝緩解系統。下面提供了一個此類攻擊的範例。每個不同的顏色代表不同的隨機化功能。
此外,在許多此類攻擊中,威脅執行者似乎想要將其每秒的攻擊速率保持在一個相對較低的層級,以避免偵測並隱藏在合法流量中。
在之前,只有國家層級和國家讚助的威脅執行者能夠展現出這種程度的複雜性,而現在,網路罪犯似乎已普遍擁有這些能力。這些操作已針對主要企業,例如大型 VoIP 提供者、領先的半導體公司,以及主要的付款和信用卡提供者,等等。
保護網站免受複雜的 HTTP DDoS 攻擊,需要自動化且快速的智慧保護,這種保護會利用威脅情報、流量分析和機器學習/統計分析來區分攻擊流量和使用者流量。此外,儘可能增加快取有助於減少攻擊流量影響源站的風險。在此處閱讀有關 DDoS 防護的更多內容。
DNS Laundering DDoS 攻擊
Domain Name System (DNS) 相當於網際網路的電話簿。DNS 幫助將人類友好的網站地址(如 www.cloudflare.com)轉譯為機器友好的 IP 位址(如 104.16.124.96)。中斷 DNS 伺服器,攻擊者即可影響電腦連線到網站的能力,從而導致使用者無法存取網站。
在過去這一個季度中,最常見的攻擊手段是基於 DNS 的 DDoS 攻擊。在所有 DDoS 攻擊中,有 32% 透過 DNS 通訊協定進行。其中,DNS Laundering 攻擊有所增長,成為一種更受關注的攻擊類型。這種攻擊會給營運自己的權威 DNS 伺服器的組織帶來嚴峻挑戰。
2023 年第二季的主要 DDoS 攻擊手段
DNS Laundering 攻擊中的詞彙「Laundering」是指洗錢這一類比用法,洗錢是採用各種手段使非法收入(通常稱為「黑錢」)看起來合法的狡詐過程。與此相似,在 DDoS 環境中,DNS Laundering 攻擊是指透過聲譽良好的遞迴 DNS 解析程式對壞的惡意流量進行清洗,使其看起來是好的合法流量的過程。
在 DNS Laundering 攻擊中,威脅執行者將查詢由受害者的 DNS 伺服器管理的網域的子網域。定義子網域的首碼是隨機的,在這樣的攻擊中絕不會使用超過一次或兩次。由於隨機化元素,遞迴 DNS 伺服器不可能擁有已快取的回應,需要將查詢轉寄至受害者的權威 DNS 伺服器。然後,權威 DNS 伺服器就會被過多的查詢轟炸,直到其無法處理合法查詢,甚至完全崩溃。
從保護的角度來看,DNS 管理員無法封鎖攻擊來源,因為來源包含聲譽良好的遞迴 DNS 伺服器,如 Google 的 8.8.8.8 和 Clouflare 的 1.1.1.1。管理員也無法封鎖前往受攻擊網域的所有查詢,因為這是一個合法網域,他們需要保留對合法查詢的存取。
由於上面所述的這些因素,區分合法查詢和惡意查詢非常具有挑戰性。此類攻擊最近的受害者中包括一家大型亞洲吉榮機構和一家北美 DNS 提供者。下面提供了一個此類攻擊的範例。
與針對 HTTP 應用程式的保護策略相似,保護 DNS 伺服器也需要一種精確、快速且自動化的方法。善用受管 DNS 服務或 DNS 反向代理(如 Cloudflare 的 DNS 反向代理)可協助承受和緩解攻擊流量。對於這些更複雜的 DNS 攻擊,需要一種更智慧的解決方案,能夠善用對歷史資料的統計分析來區分合法查詢和攻擊查詢。
虛擬機器殭屍網路的增加
正如我們之前披露的那樣,我們正在見證殭屍網路 DNA 的進化。VM 型 DDoS 殭屍網路的時代已經到來,隨之而來的是超流量 DDoS 攻擊。這些殭屍網路由虛擬機器(VM,或虛擬私人伺服器 (VPS))組成,而不是物聯網 (IoT) 裝置,這使得它們更加強大,強度高達 5,000 倍。
由於這些 VM 型殭屍網路可支配的運算和頻寬資源,與 IoT 型殭屍網路相比,它們能夠利用更少的裝置群產生超流量攻擊。
這些殭屍網路發起了一些有史以來最大的 DDoS 攻擊,包括一次峰值達每秒 7100 萬個請求的 DDoS 攻擊。此新一代殭屍網路已經將包括產業領先遊戲平台提供者在內的諸多組織作為目標。
Cloudflare 已主動與主要的雲端運算提供者協作,來打擊這些新的殭屍網路。透過這些提供者快速且專門的行動,這些殭屍網路的主要元件已被無效化。自出現這一干預以來,我們尚未觀察到更多的超流量攻擊,這證明了我們的合作極富成效。
在發現大型攻擊時,我們與網路安全社群的聯盟在打擊殭屍網路方面已卓有成效,但我們的目標是進一步簡化和自動化此過程。我們邀請雲端運算提供者、代管提供者和其他一般服務提供者加入 Cloudflare 的免費 Botnet Threat Feed。這將提供對源自這些網路的攻擊的可見度,幫助我們共同努力瓦解殭屍網路。
「Startblast」:利用 Mitel 漏洞執行 DDoS 攻擊
2022 年 3 月,我們披露了一個 zero-day 漏洞 (CVE-2022-26143),此漏洞命名為 TP240PhoneHome,是在 Mitel MiCollab 商務電話系統中發現的,該漏洞會使系統面臨 UDP 放大 DDoS 攻擊的風險。
此漏洞利用的運作方式是:反射易受攻擊伺服器的流量,在此過程中進行放大,放大係數高達百分之 2200 億。此漏洞源於一個暴露在公用網際網路上的未經驗證 UDP 連接埠,這可能允許惡意執行者發出「startblast」偵錯命令,模擬大量呼叫來測試系統。
其結果是,對於每個測試呼叫,都會向發佈者傳送兩個 UDP 封包,使攻擊者能夠將此流量導向任意 IP 和連接埠號以放大 DDoS 攻擊。儘管存在這一漏洞,但只暴露了幾千個此類裝置,限制了潛在的攻擊範圍,而且此攻擊必須逐次執行,這意味著每個裝置一次只能發起一場攻擊。
整體來說,在過去的一個季度裡,我們看到了一些其他新興威脅,例如濫用 TeamSpeak3 通訊協定的 DDoS 攻擊。在該季度,此攻擊手段呈現出 403% 的驚人漲幅。
TeamSpeak 是一種透過 UDP 執行的專有網際網路語音通訊協定 (VoIP),可以幫助遊戲玩家與其他玩家即時對話。玩家之間進行對話而不只是聊天,可以大大提高遊戲團隊的效率並幫助他們獲勝。競爭對手團體可能發起針對 TeamSpeak 伺服器的 DDoS 攻擊,以試圖破壞他們在即時多人遊戲中的通訊路徑,從而影響其團隊的表現。
DDoS 熱點:攻擊的來源
整體來說,儘管 HTTP DDoS 攻擊環比增長了 15%,但同比減少了 35%。此外,在該季度,網路層 DDoS 攻擊減少了大約 14%。
從總攻擊流量來看,美國是最大的 HTTP DDoS 攻擊來源。我們觀察到的 HTTP DDoS 攻擊中,十分之三的請求源自美國。中國位居第二,德國居於第三。
由於市場規模等多種因素,有些國家天然會收到更多的流量,因此也會遭受更多的攻擊。因此,瞭解總攻擊流量源自某個特定國家不止是一件有意思的事,我們還可以根據某個特定國家的總流量,得出產生這一攻擊流量實屬正常的結論,從而有助於消除偏見。
這樣做時,我們觀察到了不同的模式。美國甚至沒有進入前十。在計算 HTTP DDoS 攻擊流量在總流量的佔比時,莫三比克、埃及和芬蘭成為了 DDoS 攻擊流量的最大來源國。在源於莫三比克 IP 位址的所有 HTTP 流量中,近五分之一屬於 HTTP DDoS 攻擊。
針對位元組數使用相同的計算方法,越南連續第二個季度成為最大的網路層 DDoS 攻擊(又稱為 L3/4 DDoS 攻擊)來源,其數量甚至環比增長了 58%。在 Cloudflare 的越南資料中心擷取的所有位元組中,超過 41% 屬於 L3/4 DDoS 攻擊。
遭受攻擊的產業:審查 DDoS 攻擊目標
在審查第二季的 HTTP DDoS 攻擊活動時,加密貨幣網站是 HTTP DDoS 攻擊流量的最大目標。在前往受 Cloudflare 保護的加密貨幣網站的每一萬個 HTTP 請求中,就有 6 個屬於這些攻擊。這意味著與上一季度相比增長了 600%。
在加密網站之後,遊戲和博彩網站位居第二,其攻擊份額環比增長了 19%。行銷和廣告網站緊隨其後,排名第三,其攻擊份額變化不大。
然而,當我們研究給定產業的攻擊流量相對於所有流量的佔比時,數據呈現出不同的畫面。上個季度,非盈利組織遭受了最多的攻擊,在前往非盈利組織的流量中,12% 屬於 HTTP DDoS 攻擊。作為 Galileo 專案的一部分,Cloudflare 保護了位於 111 個國家/地區的 2,271 個非盈利組織,Galileo 專案今年已來到它的第九週年。在過去幾個月內,每天平均有 6770 萬個網路攻擊針對非盈利組織。
整體而言,非盈利組織的 DDoS 攻擊量增長了 46%,其攻擊流量百分比達到 17.6%。然而,儘管非盈利組織出現了這一增長,但管理諮詢產業憑藉 18.4% 的流量為 DDoS 攻擊流量,躍居第一位。
沿著 OSI 模型的層級往下,遭受最多攻擊的網際網路為資訊科技和服務產業。在路由至該產業的位元組中,幾乎三分之一都屬於 L3/4 DDoS 攻擊。
令人震驚的是,音樂產業的公司是第二大目標產業,隨後是廣播媒體與航空。
遭受最多攻擊的產業:地區視角
加密貨幣網站遭遇了全球最高的攻擊數量,而考慮到總流量,管理諮詢和非盈利組織是最大的攻擊目標。然而,當我們研究單個地區時,情況略有不同。
非洲
電信產業連續第二個季度成為非洲遭受攻擊最多的產業。銀行、金融服務和保險 (BFSI) 業位居第二。大部分攻擊流量源自亞洲 (35%) 和歐洲 (25%)。
亞洲
在過去兩個季度中,遊戲和博彩業是亞洲遭受攻擊最多的產業。然而,在第二季度,遊戲和博彩業掉到了第二的位置,加密貨幣成為遭受攻擊最多的產業 (~50%)。相當大一部分攻擊流量源自亞洲本身 (30%) 和北美 (30%)。
歐洲
遊戲和博彩業連續第三個季度成為歐洲遭受攻擊最多的產業。旅遊服務業和廣播媒體產業緊隨其後,分別居於第二和第三。大部分攻擊流量源自歐洲本身 (40%) 和亞洲 (20%)。
拉丁美洲
令人驚訝的是,在針對拉丁美洲的所有攻擊流量中,有一半是針對體育用品產業。在前一個季度,BFSI 是遭受攻擊最多的產業。大約 35% 的攻擊流量源自亞洲,另有 25% 源自歐洲。
中東
媒體和報紙是中東遭受攻擊最多的產業。絕大部分攻擊流量源自歐洲 (74%)。
北美洲
行銷和廣告公司連續第二個季度成為北美遭受攻擊最多的目標(大約 35%)。製造業和電腦軟體公司分別位於第二和第三。主要攻擊流量來源是歐洲 (42%) 和美國本身 (35%)。
大洋洲
這個季度,生物技術產業遭受的攻擊最多。上一季度為醫療健康產業。大部分攻擊流量源自亞洲 (38%) 和歐洲 (25%)。
遭受攻擊的國家和地區:審查 DDoS 攻擊目標
當審查攻擊流量的總量時,上個季度,以色列躍升為遭受攻擊最多的國家。這一季度,針對以色列網站的攻擊減少了 33%,使其掉落至第四位。美國重新佔據榜首,成為遭受攻擊最多的國家,隨後是加拿大和新加坡。
如果我們將每個國家和地區的資料標準化,將攻擊流量除以總流量,我們可以得到一個不同的結果。巴勒斯坦一躍成為遭受攻擊最多的國家。在前往巴勒斯坦網站的所有流量中,大約 12% 為 HTTP DDoS 攻擊。
上個季度,我們觀察到網路層發生了顯著的偏差,受 Cloudflare 保護的芬蘭網路成為新的主要目標。這種激增可能與促使芬蘭正式加入 NATO 的外交談判有關。在芬蘭的所有傳入流量中,大約 83% 屬於網路攻擊,中國緊隨其後,68% 的流量為攻擊流量。
然而,這一季度,情況截然不同。芬蘭掉出前十,受 Cloudflare 保護的中國網際網路躍居第一。在前往受 Cloudflare 保護的中國網路的位元組流中,幾乎三分之二是惡意的。在中國之後,瑞士一半的輸入流量屬於攻擊流量,土耳其位居第三,四分之一的輸入流量為惡意流量。
DDoS 勒索攻擊
有時,DDoS 攻擊會被用於勒索贖金。至今為止,我們已對 Cloudflare 客戶展開了三年多的調查,並一直在追蹤勒索型 DDoS 攻擊活動的發生情況。
在勒索軟體攻擊中,受害者通常是因為下載了惡意檔案或點按了遭入侵的電子郵件連結而成為犧牲品,如果不支付贖金,這可能會導致其檔案被鎖定、刪除或洩露。與此不同,對於攻擊者而言,勒索型 DDoS 攻擊執行起來要簡單得多。勒索型 DDoS 攻擊並不需要欺騙戰術(比如誘使受害者開啟可疑的電子郵件或點擊欺詐連結),也不一定要入侵網路或存取公司資源。
在過去這一個季度中,對勒索型 DDoS 攻擊的報告有所減少。有十分之一的受訪者表示遭受了勒索型 DDoS 攻擊的威脅或成為其受害者。
總結:DDoS 威脅情勢不斷變化
在最近幾個月中,DDoS 攻擊的複雜程度展現出驚人的升級。即使是我們所見到的最大型和最複雜的攻擊,也僅持續了幾分鐘甚至幾秒鐘,人們根本沒有足夠的時間來作出回應。甚至還沒來得及發出 PagerDuty 警示,攻擊可能就已經結束了,而損害已經造成。從一場 DDoS 攻擊中復原的時間要比攻擊本身的時間長得多,就像拳擊手可能需要好一會,才能從不到一秒的當面一拳中恢復過來。
安全性並不是單一產品或點按一個按鈕,而是利用多個防禦層級減少影響風險的過程。Cloudflare 的自動化 DDoS 防禦系統持續守護我們的客戶,使其免受 DDoS 攻擊,並讓他們能夠專注於其核心業務營運。除了這些系統之外,還有大量的 Cloudflare 功能作為補充,如防火牆、機器人偵測、API 保護以及快取,這些都有助於降低影響的風險。
DDoS 威脅情勢不斷變化且日漸複雜,快速修復方案已不再足夠。幸運的是,利用 Cloudflare 的多層防禦和自動化 DDoS 防護,我們的客戶足以自信應對這些挑戰。我們的使命是協助構建更好的網際網路,因此,我們將繼續站崗,確保為所有人提供一個更安全、更可靠的數位領域。
方法
如何計算 DDoS 勒索攻擊深入解析
Cloudflare 的系統會不斷地分析流量,並在偵測到 DDoS 攻擊時自動套用緩解措施。每個受到攻擊的客戶都會收到提示,邀請他們參與一項自動化調查,以幫助我們更好地瞭解該攻擊的性質以及緩解措施的成功率。兩年多以來,Cloudflare 一直在對受到攻擊的客戶進行調查。在調查中,有一個問題是問受訪者是否收到過威脅或勒索信。在過去兩年間,我們平均每個季度收集了 164 份回覆。此調查的回覆會用於計算 DDoS 勒索攻擊的百分比。
如何計算地理和產業深入解析
來源國家/地區
在應用程式層,我們使用發起攻擊的 IP 位址來瞭解攻擊的來源國家/地區。這是因為在該層,無法偽裝(即變更)IP 位址。然而,在網路層,可以偽裝來源 IP 位址。因此,我們不依賴 IP 位址來瞭解來源,而是使用擷取攻擊封包的資料中心的位置。由於我們的網路涵蓋了全世界超過 285 個位置,因此能夠獲得準確的地理位置。
目標國家/地區
針對應用程式層和網路層 DDoS 攻擊,我們依客戶的帳單國家/地區將攻擊和流量分組。然後便可瞭解哪些國家/地區受到的攻擊更多。
目標產業
針對應用程式層和網路層 DDoS 攻擊,我們根據客戶關係管理系統,依客戶的產業將攻擊和流量分組。然後便可瞭解哪些產業受到的攻擊更多。
總量與百分比
針對來源和目標深入解析,我們會將攻擊流量總量與作為一個資料點的所有流量作比較。此外,我們還會考量進出特定國家/地區、流向特定國家/地區或流向特定產業的攻擊流量的百分比。這會提供特定國家/產業的「攻擊活動率」,而我們會使用總流量對該比率進行標準化。這有助於我們消除對某個國家/地區或產業的偏見,它們通常會收到大量流量,因此也會收到大量攻擊流量。
如何計算攻擊特性
為了計算攻擊規模、持續時間、攻擊手段和新興威脅,我們會貯存攻擊,然後提供每個貯體佔每個維度總量的份額。在新的 Radar 元件上,這些趨勢將改為按位元組數計算。由於不同攻擊的位元組數可能相差巨大,這可能導致報告中的趨勢與 Radar 元件中的趨勢有所不同。
一般免責聲明與釐清
當我們說「主要國家/地區」是攻擊來源或目標時,並不一定意味著該國家/地區作為一個國家/地區遭受攻擊,而是使用該國家/地區作為帳單國家/地區的組織成為攻擊目標。同樣,源於某個國家/地區的攻擊並不意味著該國家/地區發起了攻擊,而是從對應至該國家/地區的 IP 位址發起了攻擊。威脅執行者營運的全球殭屍網路節點遍佈全世界,在很多情況下,也會使用虛擬私人網路和代理來混淆其真實位置。因此,如果要說有什麼不同的話,那就是來源國家/地區可以指出該國家/地區內存在結束節點或殭屍網路節點。