2020年第四季度網路層 DDoS 攻擊趨勢

　　2020 年第四季度的DDoS攻擊趨勢在許多方面一反常態。Cloudflare觀察到大型DDoS攻擊數量增加，為 2020 年期間首次。具體而言，超過 500Mbps 和 50K pps的攻擊數量大幅上升。

　　此外，攻擊手段也在不斷變化，基於協議的攻擊相當於上一季度的 3-10 倍。攻擊時間也比以往更長，在 10 月至 12 月期間觀察到的所有攻擊中，近 9% 的攻擊持續時間超過 24 小時。

　　以下是 2020 年第四季度其他值得注意的觀察結果，下文將進行更詳細的探討。

　　• 攻擊數量：第四季度觀察到的攻擊總數與上一季度相比有所下降，這是 2020 年的第一次。

　　• 攻擊持續時間：在觀察到的所有攻擊中，73% 的攻擊持續時間不到 1 小時，這與第三季度的 88％相比有所下降。

　　• 攻擊手段：儘管 SYN、ACK 和 RST 洪水仍然是主要的攻擊手段，但基於 NetBIOS 的攻擊增長了驚人的 5400％，其次是基於 ISAKMP 和 SPSS 的攻擊。

　　• 全球 DDoS 活動：我們位於模里西斯、羅馬尼亞和汶萊的資料中心記錄的 DDoS 活動（相對於非攻擊流量）的百分比最高。

　　• 其他攻擊策略：DDoS勒索（RDDoS）攻擊繼續瞄準世界各地的組織，犯罪團伙嘗試透過 DDoS 攻擊威脅來獲得比特幣形式的贖金。

　　攻擊數量

　　我們觀察到網路層DDoS攻擊總數與上一季度相比有所下降，這是 2020 年的第一次。2020 年第四季度的攻擊數量佔全年的 15%，相比之下，第三季度佔 48%。實際上，僅與 9 月相比，第四季度的攻擊總數就銳減了 60％。按月來看，12 月是第四季度中攻擊者最活躍的月份。

　　攻擊速率

　　衡量 L3/4 DDoS攻擊規模有不同的方法。一種方法是攻擊產生的流量大小，即位元率（以每秒千兆位元 Gbps 為單位）。另一種是攻擊產生的資料包數，即資料包速率（以每秒資料包數pps為單位）。高位元率的攻擊試圖使目標的最後一英里網路連結飽和，而高資料包速率的攻擊則試圖使路由器或其他內聯硬體裝置不堪重負。

　　在第四季度，與前幾個季度一樣，大多數攻擊的規模都很小。具體而言，大多低於 1 Gbps 和 1 Mpps。這種趨勢並不奇怪，因為大多數攻擊都是由業餘攻擊者發起的，他們使用的工具都很簡單，最多隻需要幾美元。另外，小規模攻擊也可能作為煙幕，用於分散安全團隊對其他型別網路攻擊的注意，或者用於測試網路的現有防禦機制。

　　然而，小規模攻擊總體上常見並未反映第四季度的全部情況。與前幾個季度相比，超過 500 Mbps 和 50 K pps的攻擊佔總攻擊數的比例更高。實際上，與第三季度相比，超過 100 Gbps 的攻擊數量增加了 9倍，超過 10 Mpps 的攻擊數量增加了 2.6 倍。

　　Cloudflare觀察到一次獨特的大型攻擊是 ACK 洪水 DoS 攻擊，我們的系統自動檢測並緩解了這次攻擊。這次攻擊的獨特之處不在於資料包速率最大，而是其攻擊方式似乎借鑑於聲學領域。

　　無論是資料包密集型攻擊還是位元密集型攻擊，大型DDoS攻擊數量的增加都是令人不安的趨勢。這表明攻擊者變得愈加肆無忌憚，並在使用讓他們可以發起更大型攻擊的工具。更糟糕的是，較大型攻擊往往不僅影響到目標網路，還會影響為目標網路下游提供服務的中間服務提供商。

　　攻擊持續時間

　　在 2020 年第四季度，73％的攻擊持續時間不到 1 小時。另一方面，近 9％的攻擊持續時間超過 24 小時，相比之下，2020 年第三季度僅為 1.5%。這種增長使得更有必要採用實時和始終開啟的防禦系統，以防止各種規模和持續時間的攻擊。

　　攻擊手段

　　攻擊手段是用於描述攻擊方式的術語。最常見的方式是 SYN 洪水攻擊，佔第三季度觀察到的所有攻擊的近 42％，其次是 ACK、RST 和基於 UDP 的 DDoS 攻擊。這與前幾個季度觀察到的情況相對一致。但是，ACK 攻擊數量從第三季度時的第 9 位躍升至第 2 位，比上一季度增加了 12 倍，取代了 RST 攻擊的第 2 位。

　　主要新型威脅

　　儘管 SYN 和 RST 洪水等基於 TCP 的攻擊仍然流行，但針對特定 UDP 協議的攻擊（如基於 NetBIOS 和 ISAKMP 的 DDoS 攻擊）與上一季度相比呈爆發式增長。

　　NetBIOS 是一種協議，允許不同計算機上的應用程式透過區域網進行通訊和訪問共享資源；ISAKMP 也是一種協議，用於在設定 IPsec VPN 連線時建立安全關聯（SA）和加密金鑰（IPsec 使用網際網路金鑰交換（IKE）協議確保安全連線，並對透過網際網路協議（IP）網路傳送的資料包進行身份驗證和加密）。

　　Cloudflare 繼續觀察到攻擊者採用基於協議的攻擊，甚至是多手段攻擊來嘗試使網路癱瘓。隨著攻擊複雜性不斷提高，我們需要採取足夠的DDoS保護措施，以確保組織始終保持安全和線上狀態。

　　全球DDoS攻擊活動

　　為了瞭解這些攻擊的來源，我們檢視接收這些流量的Cloudflare邊緣網路資料中心，而不是源 IP 的地址。原因何在？在發動 L3/4 攻擊時，攻擊者可以偽造源 IP 地址，以掩蓋攻擊來源。

　　在本報告中，我們還將某個Cloudflare資料中心觀察到的攻擊流量與同一資料中心觀察到的非攻擊流量進行對比，以瞭解地域分佈情況。這使我們能夠更準確地確定那些觀察到更多威脅的地理位置。由於在全球 100 多個國家/地區的 200 多個城市設有資料中心，我們能夠在報告中提供準確的地理位置資訊。

　　在第四季度的指標中，有一些耐人尋味之處：在我們位於模里西斯、羅馬尼亞和汶萊的資料中心，所記錄的攻擊流量相對於非攻擊流量的百分比最高。具體而言，在這些國家/地區的所有流量中，有 4.4％至 4.9％來自 DDoS 攻擊。換句話說，每 100 位元組中有近 5 位元組屬於攻擊流量。這些觀察結果表明，以上國家/地區的殭屍網路活動有所增加。

　　這些國家/地區DDoS攻擊發生率相對較高的可能原因是什麼呢？雖然不可能確定，但對於上述兩個攻擊流量佔比最高的國家/地區來說，原因可能如下：模里西斯：2020 年 8 月，一艘載有近 4,000 噸燃油的貨船船體破裂後，模里西斯宣佈進入環境緊急狀態。漏油事件引發了反政府抗議活動，民眾強烈要求總理辭職。在那之後，政府兩次暫停舉行議會，還被指壓制報導此事的當地媒體和獨立人士。即使到了 5 個月後，隨著一系列人權醜聞曝光，抗議活動仍在繼續。模里西斯以上事件可能與DDoS活動的增加有關。

　　羅馬尼亞：羅馬尼亞境內DDoS攻擊活動的增加可能源於兩起事件。第一起事件是，羅馬尼亞最近舉行了議會選舉，選舉已於 2020 年 12 月 6 日結束。第二起事件是，歐盟於 12 月 9 日宣佈，羅馬尼亞將設立新的網路安全研究中心，即歐洲網路安全工業、技術和研究能力中心（ECCC）。另一個可能的解釋是，羅馬尼亞是擁有世界上最便宜的超高速寬頻網路，使攻擊者更容易從羅馬尼亞境內發動容量耗盡攻擊。

　　各地區的DDoS活動

　　非洲

　　亞太地區和大洋洲

　　歐洲

　　中東

　　北美

　　南美

　　美國

　

　　勒索攻擊繼續困擾著各種組織

　　在我們上一份季度DDoS報告中，我們指出全球敲詐勒索 DDoS（RDDoS）攻擊有所增加。在RDDoS攻擊中，惡意攻擊者向個人或組織發出威脅，除非他們支付贖金，否則就會發動網路攻擊來使其網路、網站或應用程式斷線一定時間。您可以從此處閱讀有關RDDoS攻擊的更多內容。

　　在 2020 年第四季度，這種令人不安的趨勢依然存在。各種規模的組織向Cloudflare尋求幫助，讓我們在他們考慮如何回應勒索信的同時，使其網路基礎設施保持線上。閱讀本文，瞭解一家《財富》世界 500 強公司在收到勒索信時如何應對，以及該公司給其他組織的建議。

　　Cloudflare繼續密切關注這一趨勢。當您收到威脅時：

　　1. 不要驚慌失措。建議您不要支付贖金：支付贖金只會助長不良行為者的氣焰，並且為不法活動提供資金。而且，無法保證攻擊者不會依然攻擊您的網路。

　　2. 通知當地執法機構：他們也可能會要求您提供所收到的勒索信。

　　3. 聯絡Cloudflare：我們可以幫助您的網站和網路基礎設施防範這些勒索攻擊。

　　Cloudflare DDoS 防護

　　Cloudflare提供全面的 L3-L7 DDoS 保護。2017 年，我們率先取消了針對 DDoS 攻擊的行業標準激增定價，為客戶提供不計量和無限的DDoS保護。自那時以來，我們吸引了數以千計各種規模的客戶，其中包括 Wikimedia、Panasonic 和 Discord，這些組織都依賴 Cloudflare 保護並加速其網際網路資產。他們選擇 Cloudflare 的三大原因：

　　1.不設清洗中心

　　Cloudflare並不運營清洗中心，因為我們認為清洗中心模式是一種有缺陷的 DDoS 保護措施。清洗中心的構建和執行成本高昂，並導致延遲。而且，DDoS攻擊是非對稱的，攻擊者的可用頻寬遠遠超過單個清洗中心的處理能力。

　　Cloudflare的網路架構使每個資料中心的每臺機器都可以執行DDoS緩解。在邊緣進行緩解是在不影響效能的前提下實現大規模防護的唯一方法。基於 Anycast 的架構使我們的容量等同於我們的 DDoS 清洗能力，達到 51 Tbps，在市場中居第一位。這意味著Cloudflare在接近源頭的位置檢測並緩解DDoS攻擊。錦上添花的是，Cloudflare 的全球威脅情報就如同網際網路的免疫系統一樣，利用我們的機器學習模型，在針對任何客戶發動的攻擊中學習並進行緩解，從而保護所有客戶。

　　2. 速度至關重要

　　大多陣列織都處於從本地遷移到雲端的某個階段。威脅環境、功能需求和業務應用程式的規模正在以前所未有的速度發展，而即使是最先進的企業，網路攻擊的數量和複雜性也已經使其防禦能力倍感壓力。在採用雲服務時，許多企業所關心的一個問題是應用程式延遲增加。大多數基於雲的 DDoS 保護服務都依賴專門的資料中心（即“清洗中心”）來緩解DDoS攻擊。視乎與目標伺服器的相對位置，將流量回傳到這些資料中心可能會大幅增加延遲。

　　組織對不同網路功能使用不同供應商時，問題會更為嚴重。如果流量必須在提供商之間跳躍，延遲可能達到數百毫秒。

　　Cloudflare 地理分散式網路確保全球範圍內檢測和緩解攻擊的平均時間不超過 3 秒，在業界處於領先地位。

　　3. 不止於 DDoS 攻擊

　　DDoS 攻擊只是各種組織目前所面臨的諸多網路威脅之一。隨著企業轉向零信任方式，網路和安全性買家將面臨更大規模的網路訪問相關威脅，機器人攻擊的頻率和複雜性也會持續激增。

　　Cloudflare構建產品時的一個關鍵設計原則是整合。Cloudflare One 解決方案採用零信任安全模型，為公司提供保護裝置、資料和應用程式的更佳手段，並與我們現有的安全性平臺和DDoS解決方案深度整合。

　　如需進一步瞭解 Cloudflare 的DDoS解決方案，請聯絡我們。您也可以馬上註冊並在儀表板上開始使用。