2023年第一季DDoS威脅情報大解析

在本報告中,Cloudflare將針對在全球網路中觀察到的 DDoS 攻擊情勢,提供最新的深入解析與趨勢。
2023-04-27
by 樂雲

在本報告中,Cloudflare將針對在全球網路中觀察到的 DDoS 攻擊情勢,提供最新的深入解析與趨勢。

 

本季度的主要重點

  1. 第 1 季度,16% 的受訪客戶報告稱遭受了 DDoS 勒索攻擊——與上一季度相比保持穩定,但較去年同期增長了 60%
  2. 超過 100 Gbps 的大規模巨流量 DDoS 攻擊數環比增長了 6%。基於 DNS 的攻擊成為最熱門的手段。同樣,我們觀察到,基於 SPSS 的 DDoS 攻擊、DNS 放大攻擊和基於 GRE 的 DDoS 攻擊數量均有激增。
  3. 非營利組織和廣播媒體是遭受攻擊最多的兩個產業。就攻擊流量百分比而言,芬蘭是最大的 HTTP DDoS 攻擊來源,也是網路層 DDoS 攻擊的主要目標。以色列是全世界遭受 HTTP DDoS 攻擊最多的國家/地區。

 

Cloudflare 幫助遭受 TB 流量強度攻擊的南美電信公司正常營運


第 1 季度,另一起大型攻擊是針對南美電信提供者發起的 1.3 Tbps(TB/秒)的 DDoS 攻擊。該攻擊僅持續了一分鐘。這是一起涉及 DNS UDP 攻擊流量的多手段攻擊。該攻擊是更廣泛的活動的一部分,該活動包括多個 TB 強度的攻擊,其源於 Mirai 變體多達 20,000 個的殭屍網路。大部分攻擊流量源於美國、巴西、日本、香港特別行政區和印度。Cloudflare 系統會自動偵測並緩解攻擊,且不會對客戶的網路產生任何影響。

 

Cloudflare 自動緩解了一起 1.3 Tbps 的 Mirai DDoS 攻擊
Cloudflare 自動緩解了一起 1.3 Tbps 的 Mirai DDoS 攻擊



 

超流量攻擊

 
從Cloudflare報告中確實看到由其他威脅執行者發起的超流量 DDoS 攻擊數量有所增長,規模最大的一起達到每秒 7100 萬個要求 (rps) 的尖峰,相較於 Google 上一個世界紀錄(4600 萬 rps),超出了 55%。

 

高效能殭屍網路

 
超流量攻擊會利用新一代殭屍網路,它們由虛擬私人伺服器 (VPS) 而非物聯網 (IoT) 裝置組成。


以往,大型殭屍網路依賴智慧監視攝影機等可利用發起攻擊的 IoT 裝置來策劃攻擊。儘管每個 IoT 裝置的輸送量有限,但由於總數通常會達到幾十上百萬,因此,會產生足夠的流量來中斷目標。

新一代殭屍網路使用的只是一小部分裝置,但每個裝置都要強大得多。雲端運算提供者提供虛擬私人伺服器,可讓新創公司和企業建立高效能應用程式。而缺點在於,它也可讓攻擊者建立高效能殭屍網路,其效果可增強 5,000 倍。攻擊者可透過入侵未修補的伺服器,並使用外洩的 API 認證駭入管理主控台,來存取虛擬私人伺服器。


 



一、DDoS 勒索攻擊介紹:

 

通常情況下,實施 DDoS 攻擊是為了勒索贖金。Cloudflare會繼續調查客戶,並追蹤目標收到勒索信的 DDoS 事件的比率。2022年  Q4開始持續上升,目前為 16%,2023年第一季比率與 2022 年第 4 季度持平。

 

每季度報告 DDoS 勒索攻擊或威脅的使用者百分比



1. 勒索軟體攻擊通常會誘騙受害者下載檔案或按一下電子郵件連結,然後加密並鎖定其電腦檔案,直到他們支付贖金,而執行 DDoS 勒索攻擊對於攻擊者來說則容易多了。DDoS 勒索攻擊不必誘騙受害者開啟電子郵件或按一下連結,也不需要入侵網路或在公司資產中取得立足點。

 

2. 在 DDoS 勒索攻擊中,攻擊者不必存取受害者的電腦,只需用足夠大的流量來轟炸它們,即可摧毀其網站、DNS 伺服器以及與網際網路連線的任何其他類型資產,從而導致使用者無法使用或效能降低。攻擊者會要求支付贖金(通常是以比特幣的形式),以停止及/或避免進一步攻擊


二、主要攻擊目標國家/地區

1.第七層應用層:

2023年第一季度,在 Cloudflare 所處理的所有 HTTP 流量中,只有不到百分之一屬於針對以色列網站發起的 HTTP DDoS 攻擊。緊隨以色列之後的是美國、加拿大和土耳其。

 

HTTP DDoS 攻擊的主要目標國家/地區(攻擊流量佔全世界總流量的百分比)


 

2.第三網路層:
從網路層 DDoS 攻擊流量的總量來看,中國位居第一。在所有網路層 DDoS 攻擊流量中,將近 18% 來自中國。新加坡緊隨其後,以 17% 的份額位居第二。美國排在第三位,然後便是芬蘭。


 

網路層 DDoS 攻擊的主要目標國家/地區(攻擊流量佔全世界所有 DDoS 流量的百分比)



三、DDoS主要攻擊的目標產業

就整體頻寬而言,在全球範圍內,網際網路公司的 HTTP DDoS 攻擊流量最大。之後依次為行銷和廣告業、電腦軟體產業、遊戲/博彩以及電信業。

 

HTTP DDoS 攻擊的主要目標產業(攻擊流量佔所有產業總流量的百分比)



依攻擊流量佔某個產業的總流量百分比來看,今年第一季度,非營利組織是受到攻擊最多的產業,其次是會計師事務所。儘管有關醫療保健的攻擊數量有所上升,但並未進入前十名。此外,位居前列的還有化工、政府、能源公用事業以及廢棄物處理產業。從美國來看,在美國聯邦網站的所有流量中,幾乎 2% 屬於 DDoS 攻擊。

 

HTTP DDoS 攻擊的主要目標產業(攻擊流量佔每個產業總流量的百分比)



在地區範圍內,遊戲和博弈業是亞洲、歐洲和中東遭受攻擊最多的產業。在南美洲和中美洲,銀行、金融服務和保險 (BFSI) 業是遭受攻擊最多的產業。在北美洲則是行銷和廣告業,其次為電信業,也是非洲遭受攻擊最多的產業。最後但同樣重要的是,在大洋洲,醫療健康產業是遭受 HTTP DDoS 攻擊最多的產業。

 



第 3/4 層攻擊流量的總量,遭受攻擊最多的產業為資訊技術和服務、遊戲/博彩以及電信。

 

第 3/4 層 DDoS 攻擊的主要目標產業(攻擊流量佔所有產業 DDoS 總流量的百分比)



四、攻擊來源:主要攻擊的來源國家/地區

1.第7層攻擊來源國家:
2023 年第一季度,就攻擊流量佔每個國家/地區所有流量的百分比而言,芬蘭是最大的 HTTP DDoS 攻擊來源。英屬維京群島緊隨芬蘭之後,位居第二,然後依次為利比亞和巴貝多。


 

HTTP DDoS 攻擊的主要來源國家/地區(攻擊流量佔每個國家/地區總流量的百分比)



就絕對數量而言,來自美國 IP 位址的 HTTP DDoS 攻擊流量最多。中國位居第二,然後依次為德國、印尼、巴西和芬蘭。

 

HTTP DDoS 攻擊的主要來源國家/地區(攻擊流量佔全世界總流量的百分比)



2.第3/4層攻擊來源國家:
在第 3/4 層方面,越南是最大的第 3/4 層 DDoS 攻擊流量的來源。我們在越南資料中心擷取的所有第 3/4 層流量中,將近三分之一是攻擊流量。排在越南之後的依次為巴拉圭、摩爾多瓦和牙買加。


 

第 3/4 層 DDoS 攻擊的主要來源國家/地區(攻擊流量佔每個國家/地區總流量的百分比)



五、攻擊規模和持續時間

發現大多數攻擊持續時間較短且規模較小;86% 的網路層 DDoS 攻擊會在 10 分鐘內結束,而 91% 的攻擊從未超過 500 Mbps。

 

網路層 DDoS 攻擊:持續時間分佈



超過 10 Gbps 的攻擊僅佔五十分之一,而超過 100 Gbps 的攻擊僅佔千分之一。

 

依位元速率的網路層 DDoS 攻擊



六、攻擊手法

本季度,我們看到了一個結構性轉變。佔比 22% 的 SYN 洪水衝到了第二位,讓基於 DNS 的 DDoS 攻擊成為最熱門的攻擊手段 (30%)。在所有第 3/4 層 DDoS 攻擊中,將近三分之一基於 DNS(DNS 洪水或 DNS 放大/反射攻擊)。基於 UDP 的攻擊緊隨其後,以 21% 的份額位居第三。

 

主要 DDoS 攻擊手段



七、新興DDoS威脅手法介紹:

每個季度,有時觀察攻擊手法會發現,甚至會重新出現古老的攻擊手段。這種情況表明,即便是十年前的弱點仍可被利用來發起攻擊。威脅執行者會反覆使用老舊的方法。

2023 年第一季度,基於 SPSS 的 DDoS 攻擊、DNS 放大攻擊和基於 GRE 的 DDoS 攻擊數量均有大幅激增。


 

主要 DDoS 新興威脅



數據資料提供如下:

1. 基於 SPSS 的 DDoS 攻擊較上一季度增長了 1,565%
2. DNS 放大 DDoS 攻擊較上一季度增長了 958%
3. 基於 GRE 的 DDoS 攻擊較上一季度增長了 835%


八、DDoS 威脅情勢

近幾個月來,各行各業中持續時間較長且規模較大的 DDoS 攻擊越來越多,其中巨流量攻擊尤為突出。非營利和廣播媒體公司成為主要的目標產業。而 DNS DDoS 攻擊也越來越普遍。

DDoS 攻擊通常由機器人執行,自動化偵測和緩解對於實現有效防禦至關重要。Cloudflare 的自動化系統為客戶提供持續的 DDoS 攻擊防禦,讓客戶能夠專注於業務而不遭受DDoS攻擊。


如果您對於資安或Cloudflare相關資訊想進一步洽談了解,歡迎找樂雲,我們會盡快與您聯繫。