2023年第一季度DDoS威脅報告（下）

主要目標行業(yè)

全球范圍內，按總帶寬計算，互聯網公司遭受到最多HTTP DDoS攻擊流量。排在其后的是營銷和廣告行業(yè)、計算機軟件行業(yè)、游戲/泛娛樂和電信行業(yè)。

HTTP DDoS攻擊的主要目標行業(yè)

（攻擊流量占所有行業(yè)總流量的百分比）

根據攻擊流量占行業(yè)總流量的百分比，非營利組織是今年第一季度受攻擊最多的行業(yè)，其次是會計事務所。盡管針對醫(yī)療保健行業(yè)的攻擊有所增長，但該行業(yè)并沒有進入前十名。另外，化學、政府和能源公用事業(yè)和廢物處理行業(yè)前列。在美國，到美國聯邦政府網站的所有流量中，近2%是DDoS攻擊流量。

HTTP DDoS攻擊的主要目標行業(yè)

（攻擊流量占該行業(yè)總流量的百分比）

按區(qū)域劃分，游戲/泛娛樂行業(yè)是亞洲、歐洲和中東地區(qū)受攻擊最多的行業(yè)。在南美和中美地區(qū)，銀行、金融服務和保險（BFSI）行業(yè)是受攻擊最多的行業(yè)。在北美地區(qū)，營銷和廣告行業(yè)是受攻擊最多的行業(yè)，其次是電信行業(yè)。而在非洲地區(qū)，電信行業(yè)是受攻擊最多的行業(yè)。最后，在大洋洲地區(qū)，醫(yī)療和健身行業(yè)是HTTP DDoS攻擊最多的行業(yè)。

在OSI模型的更低層，按L3/4攻擊的總流量計算，受攻擊最多的行業(yè)是信息技術與服務、游戲/泛娛樂和電信行業(yè)。

L3/4 DDoS攻擊的主要目標行業(yè)

（攻擊流量占所有行業(yè)總DDoS流量的百分比）

將攻擊流量與每個行業(yè)的總流量進行比較時，情況有所不同。發(fā)送到廣播媒體公司的流量中，接近一半為L3/4 DDoS攻擊流量。

L3/4 DDoS攻擊的主要目標行業(yè)

（攻擊流量占該行業(yè)總流量的百分比）

攻擊來源

·主要來源國家/地區(qū)

根據攻擊流量占該國總流量的百分比，在2023年第一季度，芬蘭是HTTP DDoS攻擊的最重要來源國家。緊隨芬蘭之后，英屬維爾京群島排名第二，利比亞和巴巴多斯分別排名第三和第四。

HTTP DDoS攻擊的主要來源國家/地區(qū)

（攻擊流量占該國總流量的百分比）

就絕對流量而言，大部分HTTP DDoS攻擊流量來自美國IP地址。中國位列第二，其后是德國、印度尼西亞、巴西和芬蘭。

HTTP DDoS攻擊的主要來源國家

（占全球攻擊總流量的百分比）

就L3/4 DDoS攻擊流量而言，越南是最大的來源國家。在我們的越南數據中心，接收到的L3/4流量中近三分之一為攻擊流量。排在越南之后的是巴拉圭、摩爾多瓦和牙買加。

L3/4 DDoS攻擊的主要來源國家/地區(qū)

（攻擊流量占該國總流量的百分比）

我們觀察到的攻擊類型和規(guī)模

·攻擊規(guī)模和持續(xù)時間

從針對我們的客戶和我們自己的網絡和應用發(fā)起的攻擊類型來看，大多數攻擊都是短暫且規(guī)模較小的；86%的網絡層DDoS攻擊持續(xù)時間不到10分鐘，而且91%的攻擊從未超過500 Mbps。

網絡層DDoS攻擊：持續(xù)時間分布

50次攻擊中僅一次超過10 Gbps，1000次攻擊中僅一次超過100 Gbps。

網絡層DDoS攻擊按比特率分布

盡管如此，較大規(guī)模攻擊的數量和頻率正在緩慢增加。上個季度，超過100 Gbps的攻擊數量環(huán)比增長了67%。本季度，超過100 Gbps的攻擊數量增幅放緩至6%，但仍在增長。實際上，除了大多數攻擊所屬的“小型”類別以外，所有容量耗盡型攻擊均有所增加，如下圖所示。最大增長來自10-100 Gbps范圍內的攻擊，較上季度增長了89%。

網絡層DDoS攻擊按規(guī)模分布：季度環(huán)比變化

·攻擊手段

本季度，我們觀察到一個重大變化。SYN洪水以22%的份額滑落到第二位，使基于DNS的DDoS攻擊成為最流行的攻擊手段（30%）。近三分之一的L3/4 DDoS攻擊是基于DNS的攻擊，包括DNS洪水或DNS放大/反射攻擊。緊隨其后，基于UDP的攻擊占21%，位居第三。

主要DDoS攻擊手段

·新興威脅

每個季度我們都會看到舊的，甚至是古老的攻擊手段反復出現。由此可見，即使是十年前的漏洞仍然被利用來發(fā)動攻擊。威脅行為者正在循環(huán)和重復使用舊的方法——也許是希望組織已經放棄了針對較舊方法的保護。

在2023年第一季度，基于SPSS的DDoS攻擊、DNS放大攻擊和基于GRE DDoS攻擊大幅增加。

主要的新興DDoS威脅

·基于SPSS的DDoS攻擊較上季度增長1565%

統(tǒng)計產品與服務解決方案（SPSS）是IBM開發(fā)的軟件套件，用于數據管理、商業(yè)智能和刑事調查等用例。Sentinel RMS許可證管理器服務器用于管理諸如IBM SPSS系統(tǒng)之類的軟件產品的許可證。早在2021年，Sentinel RMS許可證管理器服務器中發(fā)現了兩個漏洞（CVE-2021-22713和CVE-2021-38153），可被利用發(fā)動反射DDoS攻擊。攻擊者可以向服務器發(fā)送大量特別構造的許可請求，導致服務器生成比原始請求大得多的響應。該響應被發(fā)送回受害者的IP地址，有效放大攻擊的規(guī)模，用流量淹沒受害者的網絡。這種類型的攻擊被稱為反射DDoS攻擊，它可能會對依賴Sentinel RMS許可證管理器的軟件產品的可用性造成重大影響，例如IBM SPSS Statistics。為防止這些漏洞被利用并有效防御反射DDoS攻擊，必須對許可證管理器打上可用的補丁。

·DNS放大DDoS攻擊較上季度增長了958%

DNS放大攻擊是一種DDoS攻擊，利用域名系統(tǒng)（DNS）基礎設施中的漏洞來產生大量針對受害者網絡的流量。攻擊者向已被錯誤配置而允許任何來源的遞歸查詢的開放DNS解析器發(fā)送DNS請求，并使用這些請求生成比原始查詢大得多的響應。然后，攻擊者假冒受害者的IP地址，導致大規(guī)模響應被定向到受害者的網絡，用流量淹沒后者并導致拒絕服務。緩解DNS放大攻擊的挑戰(zhàn)在于很難區(qū)分攻擊流量與合法流量，使得在網絡層阻止攻擊變得困難。為了緩解DNS放大攻擊，組織可以采取一些措施，例如正確配置DNS解析器、實施速率限制技術，并使用流量過濾工具阻止已知攻擊來源的流量。

·基于GRE的DDoS攻擊較上季度增長835%

基于GRE的DDoS攻擊利用通用路由封裝（GRE）向受害者的網絡發(fā)送大量流量以將其淹沒。攻擊者在被入侵的主機之間創(chuàng)建多個GRE隧道，以向受害者的網絡發(fā)送流量。這些攻擊很難檢測和過濾，因為流量在受害者的網絡上看起來像合法流量。攻擊者還可以使用源IP地址欺騙，使流量看似來自合法來源，使得在網絡層阻止攻擊變得困難?；贕RE的DDoS攻擊給目標組織造成多種風險，包括停機、業(yè)務運營中斷以及潛在的數據盜竊或網絡滲透。緩解這些攻擊需要使用先進的流量過濾工具，可以基于攻擊流量的特征進行檢測和阻止，同時使用速率限制和源IP地址過濾等技術來阻止已知攻擊來源的流量。

DDoS威脅趨勢

近幾個月來，在各行各業(yè)，持續(xù)時間較長、規(guī)模較大的DDoS攻擊有所增加，其中容量耗盡型攻擊尤其突出。非營利和廣播媒體公司是部分受到最多攻擊的行業(yè)。DNS DDoS攻擊也越來越普遍。

由于DDoS攻擊通常是由僵尸網絡執(zhí)行，因此自動化的檢測和緩解對于有效的防御至關重要。Cloudflare的自動化系統(tǒng)持續(xù)為客戶檢測和緩解DDoS攻擊，讓其專注于業(yè)務的其他方面。我們認為，DDoS保護應該易于為各種規(guī)模的組織所用，并自2017以來一直提供免費、無限的保護。

Cloudflare的使命是幫助構建更好的互聯網，而更好的互聯網就是對每個人都更安全、更快和更可靠。

有關報告統(tǒng)計方法的說明

我們如何計算勒索DDoS攻擊洞察

Cloudflare的系統(tǒng)不斷分析流量，并在檢測到DDoS攻擊時自動應用緩解措施。每個遭到攻擊的客戶都會收到自動調查的提示，以幫助我們更好地了解攻擊的性質和緩解是否成功。兩年多來，Cloudflare一直對受到攻擊的客戶進行調查。調查的問題之一是客戶是否收到威脅或勒索信。過去兩年來，我們平均每個季度收集到167份答卷。本調查的答卷用于計算勒索DDoS攻擊的比例。

我們如何計算地域和行業(yè)洞察

來源國家/地區(qū)

在應用層，我們使用攻擊IP地址來了解攻擊的來源國家/地區(qū)。這是因為，應用層的IP地址不能偽造（更改）。然而，網絡層的來源IP地址可以被偽造。因此，我們不依賴IP地址來了解來源，而是使用接收到攻擊數據包的數據中心位置。由于在全球超過285個地點的廣泛覆蓋，我們能夠獲得準確的地理位置。

目標國家/地區(qū)

對于應用層和網絡層DDoS攻擊，我們均使用客戶賬單國家/地區(qū)來分類攻擊和流量。這讓我們了解哪些國家/地區(qū)受到更多攻擊。

目標行業(yè)

對于應用層和網絡層DDoS攻擊，我們均使用客戶關系管理系統(tǒng)中的客戶行業(yè)來分類攻擊和流量。這讓我們了解哪些行業(yè)受到更多攻擊。

總流量vs.百分比

對于來源和目標分析，我們通常將攻擊流量和總流量的比較作為一個數據點。另外，我們還考慮流向或從特定國家/地區(qū)到特定國家/地區(qū)或特定行業(yè)的攻擊流量占總流量的比例。這可以提供某個國家/地區(qū)或行業(yè)的“攻擊活動率”，根據其總流量水平進行標準化。這種方法有助于消除某個國家/地區(qū)或行業(yè)因為其本身流量很大、攻擊流量也很大而產生的偏差。

我們如何計算攻擊特征

為了計算攻擊大小、持續(xù)時間、攻擊手段和新興威脅，我們通常會將攻擊分組，然后為每個維度提供每個分組所占總量的比例。

一般免責聲明和澄清

當我們描述作為攻擊來源或目標的主要國家/地區(qū)時，這并不一定意味著該國家/地區(qū)作為一個整體被攻擊，而是指使用該國家作為賬單國家的組織受到了攻擊。同樣地，攻擊源于某個國家/地區(qū)并不意味著該國家/地區(qū)發(fā)動了攻擊，而是指攻擊是從被映射到該國家/地區(qū)的IP地址發(fā)起的。威脅行為者使用節(jié)點遍布全球的僵尸網絡，很多情況下也使用虛擬專用網絡（VPN）和代理來混淆自己的真實位置。因此，來源國家/地區(qū)可能表明該國家/地區(qū)存在出口節(jié)點或僵尸網絡節(jié)點。