2021年第四季度DDoS攻击趋势
次
2021年上半年出现了大规模的勒索软件和勒索DDoS攻击活动,导致世界各地的关键基础设施频繁中断(包括美国最大的管道系统运营商之一),在一个针对学校、公共领域、旅游组织和信用联盟等的IT管理软件曝光了一个漏洞。
到了下半年,有史以来最强大的僵尸网络之一(Meris)变本加厉,Cloudflare网络上观察到的HTTP DDoS攻击和网络层攻击均刷新了记录。此外,12月曝光的Log4j2漏洞(CVE-2021-44228)允许攻击者在远程服务器上执行代码——可谓自Heartbleed和Shellshock曝光以来互联网上最严重的漏洞之一。
以上列举的主要网络攻击只是少数几个例子,表明网络安全方面存在一种不断加剧的趋势,从科技公司、政府机构到酒厂和肉类加工厂,所有组织都受到了影响。
如下为2021年、尤其是2021年第四季度的一些DDoS攻击趋势:
DDoS勒索攻击
·在第四季度,勒索DDoS攻击同比增长了29%,环比增长了175%。
·仅12月而言,三分之一的受访者称自己遭受到一次勒索DDoS攻击或收到攻击者的威胁。
应用层DDoS攻击
·制造业是2021年第四季度期间受到最多攻击的行业,攻击数量较上一个季度大幅增长了641%。针对商业服务业和游戏/博彩业的攻击数量分别居第二和第三位。
·今年以来,源于中国网络的攻击流量来源占比连续第四次高居榜首。
·一个名为Meris僵尸网络的新僵尸网络于2021年中出现,并继续肆意攻击世界各地的组织,发动了一些历来最大规模的HTTP攻击,包括一次1720万rps的攻击(被Cloudflare自动缓解)。
网络层DDoS攻击
·2021年第四季度是2021年攻击最活跃的一个季度。仅2021年12月观察到的攻击数量就超过2021年第一季度、第二季度各自的攻击总数。
·虽然大多数攻击规模较小,但TB级攻击在2021年下半年成为新常态。Cloudflare自动缓解了数十次峰值超过1 Tbps的攻击,其中最大规模的一次接近2 Tbps,为我们见过的最大攻击。
·在2021年第四季度,尤其是11月,世界各地持续出现针对VoIP提供商的勒索DDoS攻击活动。
·2021年第四季度期间,源于摩尔多瓦的攻击较前一个季度翻了两番,使其成为网络层DDoS攻击活动占比最高的国家。
·SYN洪水和UDP洪水为最常见的攻击手段,而SNMP攻击等新兴威胁环比增长接近5800%。
本报告是基于Cloudflare DDoS防护系统自动检测并缓解的DDoS攻击。如需进一步了解其工作原理,请查看这篇深入剖析的博客文章。
简要说明一下我们如何测量在我们网络上观察到的DDoS攻击。
为分析攻击趋势,我们计算“DDoS活动”率,即攻击流量占我们全球网络观察到的总流量(攻击+干净)的百分比。通过测量攻击流量占观察到的总流量的百分比,我们能够对数据点进行标准化,并避免绝对数字所反映出来的偏差,例如,如果某个Cloudflare数据中心接收到更多流量,则其也可能受到更多攻击。
本报告的交互式版本可在Cloudflare Radar查看。
勒索攻击
我们的系统持续分析流量,并在检测到DDoS攻击时自动应用缓解措施。每个遭受DDoS攻击的客户都会收到自动调查的提示,以帮助我们更好地了解攻击的性质和缓解是否成功。
两年多来,Cloudflare一直对受到攻击的客户进行调查,其中一个问题是客户是否收到勒索信,要求其支付赎金来换取停止DDoS攻击。2021年第四季度期间录得的勒索威胁调查回应为历来最高水平,显示勒索攻击同比增长了29%,环比增长了175%。具体而言,22%的受访者表示收到攻击者要求支付赎金的勒索信。
受访者中报称遭受勒索DDoS攻击或在攻击前收到威胁的百分比。
按月分析数据,我们可以看到,2021年12月高居榜首,期间有接近三分之一(32%)的受访者报称收到勒索信。
应用层DDoS攻击
应用层DDoS攻击,特别是HTTP DDoS攻击,旨在通过使HTTP服务器无法处理合法用户请求来破坏它。如果服务器收到的请求数量超过其处理能力,服务器将丢弃合法请求甚至崩溃,导致对合法用户的服务性能下降或中断。
应用层DDoS攻击:行业分布
在第四季度,针对制造业公司的DDoS攻击环比增长了641%,针对商业服务业的攻击环比增长了97%。
按行业分析应用层攻击,2021年第四季度期间受到最多攻击的是制造业、商业服务业和游戏/博彩业。
应用层DDoS攻击:来源国家/地区分布
为了解HTTP攻击的来源,我们查看产生攻击HTTP请求的客户端的源IP地址。与网络层攻击不同,HTTP攻击中的源IP无法假冒。特定国家/地区的高DDoS活动率通常表明有僵尸网络在其境内运行。
源于中国境内的DDoS攻击占比连续第四个季度居首位。每1000个来自中国的HTTP请求中,超过3个是HTTP DDoS攻击的一部分。美国依然居第二位,其次为巴西和印度。
应用层DDoS攻击:目标国家/地区分布
为确定哪些国家/地区遭受到最多攻击,我们按客户的账单国家/地区统计DDoS攻击,并计算占DDoS攻击总数的百分比。
位于美国的组织今年连续第三次成为HTTP DDoS攻击的最大目标,其次为加拿大和德国。
网络层DDoS攻击
应用层攻击的目标是最终用户尝试访问的服务所在的应用程序(OSI模型的第7层),而网络层攻击以网络基础结构(例如联网路由器和服务器)和互联网链路本身为目标。
Cloudflare拦截了一次接近2 Tbps的攻击
在11月,我们的系统自动检测并缓解了一次接近2 Tbps的DDoS攻击。该攻击使用了多种手段,包括DNS放大攻击和UDP洪水。攻击仅持续了一分钟。这次攻击是从大约1.5万个僵尸(机器人)程序上发动的,这些机器人在物联网设备和11未打补丁的GitLab实例上运行原始Mirai代码的一个变种。
网络层DDoS攻击:月份分布
12月是2021年攻击最活跃的月份。
第四季度是2021年攻击最活跃的季度。超过43%的网络层DDoS攻击发生在2021年第四季度。虽然10月相对平静,但在11月,期间有中国的光棍节、美国的感恩节、黑色星期五和网络星期一,网络层DDoS攻击的数量几乎翻了一番。12月期间,2021年即将结束的最后几天内,观察到的攻击数量也有所增加。事实上,仅12月的攻击总数就超过了2021年第二季度,并几乎追平2021年第一季度。
网络层DDoS攻击:攻击速率分布
虽然大多数攻击的规模依然相对“较小”,但TB级攻击正在成为常态。
衡量L3/4 DDoS攻击的规模有不同的方法。一种方法是测量它产生的流量大小,以比特率为单位(例如,Tbps或Gbps)。另一种是测量它产生的数据包数,以数据包速率为单位(例如,Mpps:百万数据包/每秒)。
高比特率的攻击试图使互联网链路饱和来导致拒绝服务,而高数据包速率的攻击尝试使服务器、路由器或其他联网硬件设备不堪重负。这些设备分配一定的内存和计算能力来处理每个数据包。因此,通过向设备发送大量数据包,该设备的处理资源就可能被耗尽。在这种情况下,数据包就会“被丢弃”,即设备无法再处理数据包。对用户而言,这会导致服务中断和拒绝服务。
下图为攻击的规模(比特率)和月份分布情况。如上图所示,大多数攻击发生在12月。然而,下图显示,较大型的攻击(超过300 Gbps)发生在11月。大多介于5-20 Gbps的攻击发生在12月。
数据包速率分布
Cloudflare观察到一个值得注意的关联:在攻击数量增加时,攻击的规模和持续时间会下降。在2021年的前三分之二时间内,攻击数量相对较小,其速率则有所增加,例如,在2021年第三季度,速率介于100-1000万pps的攻击增长了196%。在2021年第四季度,攻击数量有所增加,同时Cloudflare观察到的攻击规模出现下降。91%的攻击峰值在5万pps以下,这个速率已经足以弄垮未受保护的互联网资产。
速率超过100万pps的较大型攻击环比减少48%至28%,而峰值速率低于5万pps的攻击环比减少了2.36%。
比特率分布
与数据包密集型攻击的趋势相似,比特率密集型攻击的数量也有所减少。虽然超过1 Tbps的攻击正在成为常态——我们观察到有史以来最大的一个攻击接近2 Tbps,但大多数攻击的规模依然较小,峰值不到500 Mbps(97.2%)。
在2021年第四季度,500 Mbps以上所有范围的较大规模攻击均显著减少,幅度介于35%至57%,其中100 Gbps以上的攻击减少了57%。
网络层DDoS攻击:持续时间分布
大多数攻击的持续时间都在1小时以内,再次表明有必要采取始终启用的自动DDoS缓解解决方案。
我们测量攻击持续时间的方式是:记录系统首次检测到攻击与具备该攻击特征的最后一个数据包之间的时间差。在2021年第四季度,98%的网络层攻击持续时间不到1小时。这种情况非常常见,因为大多数攻击持续时间都很短。我们还观察到一个趋势:在攻击数量增加时(如这个季度),其速率和持续时间会有所下降。
短时间的攻击很可能不被察觉,特别是爆发攻击,此类攻击会在几秒钟内用大量的包、字节或请求轰击目标。在这种情况下,依赖于安全分析来手动缓解的DDoS保护服务没有机会及时缓解攻击。此类服务只能从攻击后分析中吸取教训,然后部署过滤该攻击指纹的新规则,期望下次能捕捉到它。同样,使用“按需”服务(即安全团队在遭到攻击时将流量重定向至DDoS保护提供商)也无济于事,因为在流量到达按需DDoS保护提供商前,攻击就已经结束了。
建议企业使用始终启用的自动化DDoS防护服务,此类服务能分析流量并应用实时指纹识别,从而及时拦截短暂的攻击。
攻击手段
SYN洪水依然是最常见的攻击方式,而基于SNMP的攻击环比激增了接近5800%。
攻击手段是指攻击者用于发动DDoS攻击的方法,即IP协议、数据包属性(如TCP标志)、洪水方法和其他条件。
SYN洪水攻击所占的百分比在2021年内首次大幅减少。2021年,SYN洪水平均占网络层攻击总数的54%。虽然仍是最常见的手段,但所占比例已经较前一个季度减少了38%,至34%。
然而,SYN攻击和UDP攻击已经不相上下。UDP洪水是一种拒绝服务攻击,攻击者将大量用户报文协议(UDP)数据包发送到目标服务器,旨在瘫痪该设备的处理和响应能力。保护目标服务器的防火墙往往也可能因UDP洪水攻击而不堪重负,导致对合法流量的拒绝服务。基于UDP的攻击已从2021年第三季度的第四位上升至2021年第四季度的第二位,占网络层攻击的32%,季度环比增长了1198%。
居第三位的是SNMP攻击。自2021年首次跻身主要攻击手段行列以来,SNMP攻击的占比已大幅提高。
新兴威胁
对新兴攻击手段的分析可见,SNMP、MSSQL和基于UDP的通用攻击均出现大幅增长。
SNMP和MSSQL攻击都是通过在触发攻击的报文中将目标IP地址假冒为源IP来反射和放大目标的流量。
简单网络管理协议(SNMP)是一种基于UDP的协议,通常用于发现和管理家庭或企业网络中位于UDP 161端口上的网络设备,例如打印机、交换机、路由器和防火墙。在SNMP反射攻击中,攻击者发出大量SNMP查询,将数据包中的源IP地址伪装成目标的IP地址,使收到查询的网络设备将把响应发送到目标IP地址。这些网络设备发送的大量响应导致目标网络拒绝服务。
类似于SNMP放大攻击,Microsoft SQL(MSSQL)攻击基于一种滥用Microsoft SQL服务器解析协议来发动反射式DDoS攻击的技术。攻击发生于Microsoft SQL服务器对客户端查询或请求做出响应时,尝试利用侦听UDP 1434端口的Microsoft SQL服务器解析协议(MC-SQLR)。
网络层DDoS攻击:国家/地区分布
源于摩尔多瓦的攻击较前一个季度翻了两番,使其成为网络层DDoS攻击活动占比最高的国家。
在分析网络层DDoS攻击时,我们统计流量的依据是接收流量的Cloudflare边缘数据中心位置,而不是源IP地址。这样做的原因在于,攻击者在发起网络层攻击时,可以通过伪造源IP地址来混淆攻击来源并在攻击属性中引入随机性,这可能会使简单的DDoS防护系统更难拦截攻击。因此,如果我们根据伪造的源IP推导出源国家/地区,我们将得到一个伪造的国家/地区。
Cloudflare能够通过根据Cloudflare观察到攻击的数据中心位置显示攻击数据来克服伪造IP的挑战。我们在全球250多个城市拥有数据中心,因而能够在报告中体现准确的地理位置。
摘要
Cloudflare的使命是帮助构建更好的互联网,使互联网对所有人都更安全、更快速、更可靠——即使面对DDoS攻击也如此。作为这个使命的一部分,我们自2017年以来一直向我们所有客户提供免费的不计量、无限DDoS防护。多年来,攻击者发动DDoS攻击的难度变得越来越低。为了对抗攻击者的优势,我们想确保所有规模的组织也能轻松、免费地防护各种类型的DDoS攻击。
