010 8524 1783 | | 年第二季度 DDoS 攻击趋势CLOUDFLARE 安全洞察2010 8524 1783 | | DDoS）活动，干扰了世界各地关键基础设 施 的多个方面，包 括 最 大的石油管道 系 统 运营商之一，以 及世界最 大肉类 加工公司之一。本 季度早些时 候 ，比 利 时 200 多个组织，包括政府、国会网站和其他服务， 也遭到了 DDoS 攻击 。7 月 4 日 ，美 国 大 部 分 地 区 庆 祝 独 立 日 时 ， 数百家美国公司 遭 到 了 勒 索 软 件 攻 击 ，被 要 求 支 付 7000 万美元的比特币。已知属于俄罗斯勒索软件组织 REvil 的攻击者利用 IT 管理软件中的多个先前未知漏洞 。目标包括学校、小型公共部门机构、旅游和休闲组织以及信用合作社等。虽然勒索软件和勒索型 DDoS 并非新 威 胁（ 详 情 请 看 我 们 有 关 2021 年第一季度 勒索软件 和 勒索型 DDoS的帖文），这些最新攻击针对包括酒厂、专业运动队、轮渡服务和医院在内的互联网资产，使它们从背景噪音成为影响我们日常生活的头条新闻。事实上，最近的攻击已经将勒索软件和 DDoS 推上 拜登总统国家安全议事日程 的首位。2021 年第二季度在 Cloudflare 网络上观察到的 DDoS 攻击趋势描绘了一幅反映全球网络威胁整体格局的 图 景 。以 下 是 2021 年第二季度观察到的 DDoS 攻击趋势的一些亮点。 我们对遭受 DDoS 攻 击 的 客 户 进 行 了 调 查 ，其 中 超 过 11% 报称在今年前六个月内收到过威胁或勒索信 威 胁 。与 2020 年下半年相比， 2021 年上半年因遭受 DDoS 攻击而紧急启用保护服务的客户增加了 41.8%。 针对政府行政 /公共部门网站的 HTTP DDoS 攻击增加了 491%，成 为 仅 次 于 消 费 者 服 务 的 第 二 大 目标 行 业 ，针 对 后 者 的 DDoS 活动较上一季度增加了 684%。 中国依然是最多 DDoS 攻击来源的国家 null 源于中国的每 1000 个 HTTP 请 求 中 ，有 7 个属于某个针对网站的 HTTP DDoS 攻击；在我们位于中国的数据中心所吸收的每 100 字 节 中 ，超 过 null 字节属于某个网络层 DDoS 攻击。 新兴威胁包括滥用 每日格言 （ nullnullD ）协 议 的 放 大 DDoS 攻 击 ，较 上 一 季 度 增 加 了 12null%。此 外 ，随 着 nullnullIC 协议的采用不断增加， 对 nullnullIC 的攻击 也继续增加 nullnull021 年第二季度攻击较上一季度激增了 109%。 10null100 nullnullnullnull 范围的网络层 DDoS 攻击数 量环比增长了 21.4%。受到攻击的客户之一是美国游戏公司 Hnullnullinulll 。即 使 在 遭 受 一 次 超 过 620 nullnullnullnull 的 DDoS 攻击期间， Hnullnullinulll 依然能保持在线而没有宕机，其游戏用户的体验也丝毫未受影响。 在这里查看他们的故事 。要查看世界各地和各行业的 DDoS 攻 击 情 况 ，请 访 问 Cloudflare 的交互式 Radar DDoS 仪表板 。3010 8524 1783 | | DDoS 攻击 应用层 DDoS 攻击 ，特 别 是 HTTP DDoS 攻 击 ，目 的 通 常 是 使 HTTP 服务器无法处理合法用户请求来进行破坏。如果服务器收到的请求数量超过其处理能力，服务器将丢弃合法请求甚至崩溃，从而导致性能损失或合法用户拒绝服务事件。 DDoS 活动行业分布情况在 分 析 攻 击 时 ，我 们 会 计 算 nullDDoS 活动 null率，即攻击流量占总流量（攻击 null 干净）的百分比。通过这样做，我们能够标准化数据点并避免出现偏颇，例如，偏向于处理更多流量（因而发现更多攻击）的数据中心。2021 年第二季度，消费者服务是受攻击最多的行业，其次是政府管理和营销与广告。 应用程序层（null）nullnullonull攻击：行业分布情况4010 8524 1783 | | 活动来源国家/地区分布要了解我们在 Cloudflare 网络上观察到的 HTTP 攻击的来源，可以查看生成攻击 HTTP 请求的客户端的源 IP 地 址 。与 网 络 层 攻 击 不 同 ， HTTP 攻击中的源 IP 无法 假冒 。特 定 国 家 /地区的高 DDoS 活动率表明大型僵尸网络在其境内运行。就源自其境内的 DDoS 活动百分比而言，中国和美国继续分别位居第一和第二。在中国，每 1000 个 HTTP 请求中有 7 个是 HTTP DDoS 攻 击 的 一 部 分 ，而 在 美 国 ，这 个 数 字 为 null。 DDoS 活动目标国家/地区分布为了确定 DDoS 攻击的目标所在的国家 /地区，我们按客户的帐单国家 /地区对 DDoS 活 动 进 行 了 细 分 。请注意， Cloudflare 不 对 攻 击 流 量 收 费 ，并 且 自 2017 年起率先提供 不计量和无限制的 DDoS 保护 。通 过 将攻击数据与我们客户的帐单国家 /地区进行交叉对比，我们可以确定哪些国家 /地区受到最多攻击。2021 年第二季度观察到的数据表明，美国和中国的组织是 HTTP DDoS 攻 击 的 最 主 要 目 标 。事 实 上 ，每 2000 个发送到美国组织的 HTTP 请求中有 1 个是 DDoS 攻击的一部分。 应用程序层（null）nullnullonull攻击：国家/地区分布情况（全球）应用程序层（null）nullnullonull攻击：目标国家/地区分布情况5010 8524 1783 | | DDoS 攻击 应用层攻击的目标是运行最终用户尝试访问的服务的应用程序（ nullSI 模型 的第 7 层 ）， 网络层攻击 则以网络基础结构（例如，内联路由器和其他网络服务器）和互联网链路本身为目标。 上图显示了 2021 年第二季度网络层 DDoS 攻击的分布情况。 按大小（数据包率和比特率）划分的攻击分布衡量 nullnull/4 DDoS 攻击规模有不同的方法。一种方法是测量它产生的流量大小，以比特率为单位（即每秒千兆比特 nullnullnullnull）。另一种是测量它产生的数据包数，以数据包速率为单位（即每秒数据包数 nullnullnull）。高 比 特率的攻击试图使互联网链路饱和，而高数据包速率的攻击则会使路由器或其他联网硬件设备不堪重负。攻击的规模（比特率）和月份分布如下所示。根据图中所示，所有超过 null00 nullnullnullnull 的攻击都发生在 6 月。就比特率而言， 2021 年第二季度所观察到的攻击中，大部分在 null00 nullnullnullnull 以下。 网络层 nullnullonull攻击：各月份分布情况4 月 null 月 6 月网络层 nullnullonull攻击：各月份规模分布情况4 月 null 月 6 月null010 8524 1783 | | 样 ，从 包 速 率 角 度 来 看 ，近 94% 的攻击都在 null0 nullnullnullnull 以 下 。尽 管 1null10 nullnullnullnull 的攻击仅占观察到的所有 DDoS 攻击的 1%，但这个数字比上一季度观察到的数量增加了 27.null%，表 明 较 大 型 攻 击 不 减 反 增 。请注意，虽然与其他引人注目的大型攻击相比， null00 nullnullnullnull 和 null0 nullnullnullnull 以下的攻击可能显得 null很小 null，但 对未受云 DDoS 防护服务保护的互联网资产而言，此类攻击通常足以造成重大破坏。另外，许多组织都拥有由其服务提供商提供的上行链路，带宽容量小于 1 nullnullnullnull。假设它们面向公众的网络接口也服务合法流量 ，则 小 于 null00 nullnullnullnull 的 DDoS 攻击通常能够破坏暴露的互联网资产。网络层 nullnullonull攻击：数据包速率分布情况网络层 nullnullonull攻击：比特率分布情况7010 8524 1783 | | 继续观察到持续时间不到一小时 DDoS 攻 击 占 较 大 比 例 。在 第 二 季 度 ，超 过 97% 的 DDoS 攻击持续时间不到一个小时。 短暂爆发攻击可能企图在不被 DDoS 检测系统检测到的前提下造成破坏。依靠手动分析和缓解的 DDoS 服务可能对这些类型的攻击毫无用处，因为在分析人员识别攻击流量前攻击便已结束。或者，短时间攻击也可能被用来探测攻击目标的网络防御情况。例如，暗网上广泛提供的负载测试工具和自动 DDoS 工具可以生成短时间的 Snullnull 洪水攻击，然后使用不同的攻击手段进行另一次短时间攻击。这允许攻击者在他们决定以更高速率和更长持续时间发起更大的攻击（这将需要一定代价）之前了解目标的安全态势。在 其 他 情 形 下 ，攻 击 者 会 发 动 小 型 DDoS 攻击来警告目标组织，证明他们有能力在稍后造成真正的破坏。随后攻击者通常会向目标发送勒索邮件，要求其通过支付赎金来避免遭受可能更彻底破坏网络基础设施的攻击。这凸显了需要始终在线的自动化 DDoS 保护方法。对这些类型的攻击而言，依赖手动重新路由、分析和缓解的 DDoS 保护服务可能毫无用武之地，因为分析师甚至还没有发现攻击流量之前，攻击就已经结束了。攻击持续时间8010 8524 1783 | | 前 几 个 季 度 中 观 察 到 的 情 况 来 看 ，利 用 Snullnull 洪水和基于 nullDP 协议的攻击依然是攻击者使用最多的 方法。什么是 Snullnull 洪水攻击 ？这 是 一 种 利 用 TCP 协议基础的 DDoS 攻击。客户端与服务器之间的有状态 TCP 连接始于 null 向 TCP 握手 。客 户 端 发 送 带 有 同 步 标 志（ Snullnull）的初始连接请求数据包。服务器以包含同步确 认 标 志（ SnullnullnullCnull ）的数据包来响应。最后，客户端以确认（ null ）数 据 包 来 回 应 。此 时 连 接 已 经 建 立并可交换数据，直到连接关闭为止。这个有状态过程可被攻击者滥用，以造成拒绝服务事件。攻击者通过反复发送 Snullnull 数据包，试图淹没服务器或跟踪 TCP 连接状态的路由器连接表。路由器以 SnullnullnullCnull 数据包答复，为每个给定的连接分配一定数量的内存，并错误地等待客户端回复最终 null 。如果有足够数量的连接占用路由器的内存，路由器将无法为合法客户端分配更多内存，从而导致路由器崩溃或无力处理合法客户端连接，造成拒绝服务事件。 网络层 nullnullonull攻击：热门攻击手段null010 8524 1783 | | 每日格言 nullnullnullDnull 服务的放大 DDoS 攻 击 ，其 环 比 增 加 了 12null%。 nullnullD 在 RnullCnull86null null198nullnull 中 定 义 ，可 以 通 过 nullDP 或 TCP 协议发送。它最初是为调试和测量工具而设计的，没有特定语法 来 编 写 格 言 。不 过 ， RnullC 建议使用 nullSCII 字符并将长度限制为 null12 个字符。此外，我们看到 nullDP Pornullnullanull 和 Enullnullo 攻击的 nullonull 增长了 107%nullnull所有这些都是非常古老的攻击媒介。这可能表明攻击者在挖掘老套的方法和攻击工具来试验并攻克保护系统。如我们在前几个季度所见， nullnullIC 协议 的 采 用 继 续 增 加 。因 此 ，利 用 nullnullIC 的攻击同步增长，或者更具体地说 ，在 我 们 预 期 看 到 nullnullIC 流量的地方出现非 nullnullIC 流量的洪水和放大攻击。 2021 年 第 二 季 度 ，这 些 类型的攻击环比增加了 109%。这种持续的趋势可能表明攻击者正试图滥用进入组织的 nullnullIC 专用端口和网关 null 寻找漏洞和安全缺口。 DDoS 活动 Cloudflare 数据中心所在国家/地区分布2021 年第二季度，我们在海地的数据中心观察到最高比例的网络层 DDoS 攻 击 流 量 ，其 次 为 文 莱（ 每 100 个数据包中有近 null 个 是 攻 击 的 一 部 分 ）和 中 国 。请 注 意 ，在 分 析 网 络 层 DDoS 攻 击 时 ，我 们 按 照 接 收 流 量 的 Cloudflare 边缘数据中心位置而不是源 IP 对流量进行分类。这样做的原因是，攻击者在发起网络层攻击时，可以通过 伪造 源 IP 地址来混淆攻击来源并在攻击属性中引入随机性，这可能会使简单的 DDoS 防护系统更难拦截攻击。因此，如果我们根据伪造的源 IP 推导出源国家 /地区，我们将得到一个伪造的国家 /地区。 Cloudflare 能够通过根据 Cloudflare 观察到攻击的数据中心位置显示攻击数据来克服欺骗 IP 的挑战。我们能够在报告中实现地理准确性，因为我们在全球 200 多个城市 拥有数据中心。网络层 nullnullonull攻击：热门新兴威胁手段10010 8524 1783 | | Radar DDoS 报告仪表板的交互式地图 。网络层 nullnullonull攻击：排名前列的国家/地区（全球）11010 8524 1783 | | DDoS（日益严重的全球性威胁）的说明 过去几周， 勒索软件 和 勒索 DDoS（ RDDoS） 等勒索驱动的网络威胁卷土重来。那么什么是勒索软件和勒索 nullnullonull，两者有何不同？勒索软件是一种恶意软件，它对组织的系统和数据库进行加密，使其无法访问和使用。恶意软件一般通过 网络钓鱼电子邮件 （诱骗员工点击链接或下载文件）进入组织的系统。一旦恶意软件安装于员工的设备上，就会对设备进行加密，并可传播到组织服务器和员工设备的整个网络。攻击者通常索要比特币形式的金钱，以换取解密组织的系统并恢复他们访问其系统的权限。与勒索软件攻击不同，勒索 DDoS 攻击不会加密公司的系统；如不支付赎金，攻击者将使系统下线。勒索 DDoS 攻击更加危险的原因在于，它们不需要攻击者在发动攻击之前访问企业的内部系统。然而，只要拥有强大的 DDoS 保护策略，勒索 DDoS 攻击对企业几乎毫无影响。勒索软件和勒索 DDoS 威胁正在影响全球大多数行业 nullnull 金融、运输、石油和天然气、消费品，甚至教育和医疗保健。自称 nullnullanullnull nullearnull 、 nullConullnullnullearnull 和 nullnullanullarunullnull 的团伙威胁要对各种组织的网站和网络基础设施发动 DDoS 攻击，除非在给定期限前收到赎金。对于 DDoS 威胁的情况，在发送勒索信之前，攻击者通常会发起一次小型 DDoS 攻击作为演示。演示一般通过 nullDP 进 行 ，持 续 约 null0null120 分钟。勒索信通常会发送到公司在网上公开的常用群组电子邮件别名，例如 nullonullnull、 nullunullnullornullnull、 nulllnullnull 、 lenullalnull、 anullunullenull 等。一些情况下，勒索信会进入垃圾邮件箱。在其他情况下，我们曾看到员工将勒索信视为垃圾邮件，增加了组织的响应时间，并导致公司的网络资产受到进一步破坏。Cloudflare 向收到威胁或勒索信的组织提出如下建议：1. 不要惊慌失措，建议您不要支付赎金：这样做只会助长攻击者的气焰并为其提供资金。而且，无法保证攻击者不会依然发动攻击。2. 联系当地执法部门：准备好提供勒索信的副本及任何其他日志或数据包捕获。null. 激活有效的 nullnullonull保护策略：基于云的保护可在发生威胁时快速启动，而且有一个安全专家团队在您身边时，可以快速有效地缓解风险。在这段短视频中 ， Cloudflare 首席技术官 nullonullnullnullranullanullnullCunullnullinullnull 介绍了如何解决勒索 DDoS 攻击威胁。12010 8524 1783 | | 保护 Hypixel 免遭大规模 DDoS 攻击破坏过去一 个季度中， Cloudflare 团队一直异常忙碌，为大量收到勒索信或正在遭受 DDoS 攻击的新老客户快速启用我们的 nullanullinullTranullnullinull 服务 。其中一家客户是 Hnullnullinullel Inullnull，它 是 世 界 上 最 大 的 nullinullenullrafnull 小游戏服务器背后的开发工作室，拥有迄今超过 2400 万次独立登录，创纪录的 21.6 万以上 PC 并发玩家， Hnullnullinulll 团队努力为全球数百万玩家的体验增加价值。游戏行业经常受到一些最大规模的 DDoS 攻击 null 作为一流品牌， Hnullnullinulll 吸引到更多注意。正常运行时间和高性能表现是 Hnullnullinullel 服务器运行的基础。任何感知到的停机时间或明显延迟都可能导致游戏玩家外流。当 Hnullnullinullel 遭受一次大规模 DDoS 攻 击 时 ，他 们 求 助 于 Cloudflare，通 过 Cloudflare 扩展他们的服务以包括 nullanullinull Tranullnullnull ，后 者 是 Cloudflare 为网络基础设施提供的基于 nullnullP 的 DDoS 保 护 服 务 。在 一 夜之间为该公司启用有关服务后， Cloudflare 能够自动检测并缓解针对其网络的 DDoS 攻击 null 其中一些攻击远远超过 620 nullnullnullnull。这 些 DDoS 攻击主要是 TCP 洪水和 nullDP 放大攻击。图中，不同颜色代表帮助检测和缓解多手段攻击的多个 Cloudflare 系统 null 凸显了我们多层 DDoS 方法的价值。尽管攻击模式实时变化， nullanullinull Tranullnullnull 依然成功保护了 Hnullnullinullel 的网络。 事实上，由于该公司的所有干净流量都是通过 Cloudflare 的高性能低延迟网络路由， Hnullnullinulll 的用户并没有注意到游戏体验有任何变化 null 即使在遭受容量耗尽型 DDoS 攻击期间也如此。13010 8524 1783 | | Cloudflare 自动检测并缓解了超过 null000 次 DDoS 攻击： nullnull 为 nullCnull 洪水， null9% 为基于 nullDP 的攻击， 8% 为 Snullnull 洪水。 Hnullnullinulll 与 Cloudflare 的旅程始于他们使用 Cloudflare Snullenullrunull 来帮助保护他们的游戏基础设施免受 DDoS 攻击。随着用户群的增长，他们采用了额外的 Cloudflare 产品来增强所有关键基础设施的稳健性和弹性。今天，他们使用多种 Cloudflare 产 品 ，包 括 CDnull、 速率限制 、 Snullenullrunull 、 nullrnullo SnullarnullRounullinull 和 负载平衡 来构建和保护基础设施，为世界各地的游戏玩家提供他们需要的实时游戏体验。攻击类型分布null我 们 遭 受了多次 远 超 620 nullnullnullnull 的 攻 击 ，但 对 我 们 的 玩 家 没 有 任 何影 响 。多 亏 了 Cloudflare nullnullinullTranullnullinull ，他们的游戏体验保持不间断且快速。 nullSinullonull CollinullnullnullnullaflanullnulleHypixel Inc. 首席执行官14010 8524 1783 | | DDoS 攻击只是各种组织目前所面临的诸多网络威胁之一。随着企业转向 零信任 方式，网络和安全买家将面临更大的网络访问相关威胁，自动程序相关攻击和勒索软件击的频率和复杂性也会持续激增。在 Cloudflare 构建产品时，一个关键设计原则是集成。 Cloudflare nullnulle 解决方案采用零信任安全模型为公司提供更好的方式，来保护设备、数据和应用程序，并与我们现有的安全性和 DDoS 解决方案平台深度集成。事实上， Cloudflare 提供一个由全明星产品阵容组成的集成解决方案，如下为一些例子： nullnull：nullorrenullnuller nullavenull2021 年第一季度 DDoS 缓解解决方案领导者1 null：Cloudflare 成为 2020 年度 nullarnullnuller nullenull 应用程序防火墙魔力象限报告中的挑战者（在 null执行能力 null项目获得最高排名）2 零信任：Cloudflare 成为 nullnulldia 市场雷达： 2020 年零信任访问报告中的领导者null null 保护：nullronullnullnullSullivanull2020 年全球整体 nullenull 保护市场报告中的创新领导者4Cloudflare 覆 盖 全 球（ 并在不断增长的 ）网络具有独特的优势，能以无与伦比的规模、速度和智能提供 DDoS 保护和其他安全、性能和可靠性服务。要了解有关 Cloudflare DDoS 解 决 方 案 的 更 多 信 息 ，请 联系我们 或 开始使用 。15参考资料010 8524 1783 | | nullorrenullnuller nullavenull： DDoS 缓解解决方案， 2021 年第一季度， nullorrenullnuller RenullearnullnullnullInullnull. ， 2021 年 null 月 null 日。 该报告可从以下网址访问： nullnullnullnullnullnull/nullnullnull.nulloudflare.nullonull/nullnullnullnullnull/forrenullnullernullnullavenullddonullnullnullinullinullanullionullnull2021/ 2 nullarnuller 的 nullnull 应用程序防火墙魔力象限 null，分 析 师 ： nullnullerenullnull DnullHoinullnulle、 nulldanullHilnull 、 nullonullnullnullanullnullnull 、 Ranullnullreenullnullur ， 2020年 10 月 19 日 ， nullnullnullnullnullnull/nullnullnull.nullloudflare.nullonull/nullnullnullnull/nullarnullnullernullnullnullnullnullafnull2020/ nullnullnullnullnullnullnull/nullnullnull.nulloudflare.nullonull/nullnullnullnullnull/lnull/onulldianullnulleronullnullrunullnull 4 nullnullnullnullnullnull/nullnullnull.nullloudflare.nullonull/nullnullnullnull/lnull/fronullnullnullradarnullnullolinullnullinullnullnullenull/010 8524 1783 | | nullnullnullnullnullnullnullnullnull202null.2021nullnullnull22CLOUDFLARE 安全洞察null2021 Cloudflare Inullnull. 保留一切权利。 Cloudflare 徽标是 Cloudflare 的商标。 所有其他公司和产品名称分别是与其关联的各自公司的商标。