什么是 DDoS 攻擊？

但首先讓我們快速回顧一下。DDoS 攻擊是分布式拒絕服務(wù)攻擊的簡稱，這是一種網(wǎng)絡(luò)攻擊，旨在使網(wǎng)站或移動應(yīng)用程序等互聯(lián)網(wǎng)服務(wù)癱瘓或中斷，導(dǎo)致用戶無法使用。DDoS 攻擊一般通過向受害者的服務(wù)器發(fā)送超出其處理能力的流量來實施。要進一步了解 DDoS 攻擊和其他類型的攻擊，

2024 年第一季度關(guān)鍵洞察
2024 年第一季度的關(guān)鍵洞察包括：

• 2024 年以轟轟烈烈的方式開始：Cloudflare 的防御系統(tǒng)在第一季度自動緩解了 450 萬次 DDoS 攻擊，同比增長了 50%。
• 基于 DNS 的 DDoS 攻擊同比增長了 80%，仍然是最主要的攻擊手段。
• 瑞典加入北約后，針對該國的 DDoS 攻擊激增了 466%，類似于芬蘭 2023 年加入北約時觀察到的模式。

2024 年以轟轟烈烈的方式開始

2024 年第一季度才剛剛結(jié)束，我們的自動化防御系統(tǒng)就已經(jīng)緩解了 450 萬次 DDoS 攻擊，相當于我們 2023 年緩解 DDoS 攻擊總數(shù)的 32%。按攻擊類型細分，HTTP DDoS 攻擊同比增長 93%，環(huán)比增長 51%。網(wǎng)絡(luò)層 DDoS 攻擊，即 L3/4 DDoS 攻擊同比增長 28%，環(huán)比增長 5%。

通過比較 HTTP DDoS 攻擊和 L3/4 DDoS 攻擊的合計數(shù)量，2024 年第一季度攻擊總數(shù)同比增長了 50%，環(huán)比增長了 18%。

第一季度期間，我們的系統(tǒng)總共緩解了 10.5 萬億個 HTTP DDoS 攻擊請求。我們的系統(tǒng)還緩解了超過 59 PB 的 DDoS 攻擊流量——僅在網(wǎng)絡(luò)層。在這些網(wǎng)絡(luò)層 DDoS 攻擊中，許多攻擊的速率超過了 1 Tbps，幾乎每周都有。2024 年迄今為止我們緩解的最大規(guī)模攻擊是由 Mirai 變種僵尸網(wǎng)絡(luò)發(fā)起的。這一攻擊達到 2 Tbps，目標是一家受 Cloudflare Magic Transit 保護的亞洲托管服務(wù)提供商。Cloudflare 的系統(tǒng)自動檢測并緩解了攻擊。Mirai 僵尸網(wǎng)絡(luò)因其大規(guī)模 DDoS 攻擊而臭名昭著，它主要由受感染的物聯(lián)網(wǎng)(IoT)設(shè)備組成。在 2016 年，一個 Mirai 僵尸網(wǎng)絡(luò)通過對 DNS 服務(wù)提供商發(fā)動攻擊導(dǎo)致美國各地的互聯(lián)網(wǎng)訪問中斷。將近八年過去了，Mirai 僵尸網(wǎng)絡(luò)攻擊仍然非常普遍。每 100 次 DDoS HTTP 攻擊中有四次，每 100 次 L3/4 攻擊有兩次是由 Mirai 變體僵尸網(wǎng)絡(luò)發(fā)起的。我們之所以說“變體”，是因為 Mirai 源代碼已被公開，多年來出現(xiàn)了基于原始代碼的許多變體。

DNS 攻擊激增 80%我們于近期推出了最新的 DDoS 防御系統(tǒng)之一——Advanced DNS Protection 系統(tǒng)。這是對我們現(xiàn)有系統(tǒng)的補充，旨在防御最復(fù)雜的基于 DNS 的 DDoS 攻擊。我們決定投資開發(fā)這個新系統(tǒng)并非心血來潮?；?DNS 的 DDoS 攻擊已成為最主要的攻擊手段，在所有網(wǎng)絡(luò)層攻擊中所占比例繼續(xù)增長。2024 年第一季度，基于 DNS 的 DDoS 攻擊同比增長 80%，占比達到約 54%。

盡管 DNS 攻擊激增，但值得注意的是，由于所有類型的 DDoS 攻擊總體都進一步增加了，每種攻擊類型的占比仍然與我們的 2023 年第四季度報告中所見相同。HTTP DDoS 攻擊在 DDoS 攻擊總數(shù)中的比例保持在 37%，DNS DDoS 攻擊占 33%，余下 30% 為所有其他類型的 L3/4 攻擊，例如 SYN Flood 和 UDP Flood。

而且事實上，SYN Flood 是第二種最常見的 L3/4 攻擊。排名第三的是 RST Flood，這是另一種基于 TCP 的 DDoS 攻擊。UDP Flood 排名第四，占 6%。

在分析最常見的攻擊手段時，我們還會查看那些增長最快、但不一定進入前十名的攻擊手段。在增長最快的攻擊手段（新興威脅）中，Jenkins Flood 季度環(huán)比增長超過 826%。Jenkins Flood 是一種 DDoS 攻擊，利用 Jenkins 自動化服務(wù)器中的漏洞，特別是通過 UDP 多播/廣播和 DNS 多播服務(wù)。攻擊者可以向 Jenkins 服務(wù)器的公共 UDP 端口發(fā)送精心制作的小型請求，導(dǎo)致服務(wù)器以不合比例的大量數(shù)據(jù)進行響應(yīng)。此舉可顯著放大流量，使目標網(wǎng)絡(luò)不堪重負并導(dǎo)致服務(wù)中斷。Jenkins 在 2020 年通過在后續(xù)版本中默認禁用這些服務(wù)來解決了這個漏洞（CVE-2020-2100）。然而，如我們所見，即使 4 年后，這個漏洞仍在被濫用以發(fā)動 DDoS 攻擊。

HTTP/2 Continuation Flood

另一種值得討論的攻擊手段是 HTTP/2 Continuation Flood。研究人員 Bartek Nowotarski 在 2024 年 4 月 3 日 發(fā)現(xiàn)并公開的一個漏洞使這種攻擊手段成為可能。HTTP/2 Continuation Flood 漏洞的目標是未正確處理 HEADERS 和多個 CONTINUATION 幀的 HTTP/2 協(xié)議實現(xiàn)。威脅行為者發(fā)送一系列不帶 END_HEADERS 標志的 CONTINUATION 幀，導(dǎo)致潛在的服務(wù)器問題，例如內(nèi)存不足崩潰或 CPU 耗盡。HTTP/2 Continuation Flood 可以做到通過僅允許單臺機器就能夠破壞使用 HTTP/2 的網(wǎng)站和 API，但由于 HTTP 訪問日志中沒有可見的請求，這種攻擊難以被發(fā)現(xiàn)。這個漏洞構(gòu)成的潛在嚴重威脅比之前已知的 HTTP/2 Rapid Reset 更具破壞性，這種攻擊手段導(dǎo)致了歷史上一些最大規(guī)模的 HTTP/2 DDoS 攻擊活動。其中一次活動中，數(shù)千次超大規(guī)模 DDoS 攻擊以 Cloudflare 為目標。這些攻擊的速率高達數(shù)百萬次請求 /秒(rps)。根據(jù) Cloudflare 記錄，本輪活動的平均攻擊速率為 3000 萬 rps。其中大約 89 次攻擊的峰值超過 1 億 rps，我們看到的規(guī)模最大的一次攻擊達到 2.01億 rps。

Cloudflare 的網(wǎng)絡(luò)、其 HTTP/2 實現(xiàn)，以及使用我們的 WAF/CDN 服務(wù)的客戶不受此漏洞的影響。此外，我們目前沒有發(fā)現(xiàn)互聯(lián)網(wǎng)上有任何威脅行為者利用此漏洞。多個 CVE 已被分配給受此漏洞影響的各種 HTTP/2 實現(xiàn)?？▋?nèi)基梅隆大學(xué)的 Christopher Cullen 發(fā)布的一個 CERT 警報（ Bleeping Computer 對此進行了報道）已經(jīng)列出了各種 CVE：

受影響的服務(wù)	CVE	詳情
Node.js HTTP/2 服務(wù)器	CVE-2024-27983	發(fā)送少數(shù)幾個 HTTP/2 幀可造成競態(tài)條件和內(nèi)存泄漏，可能導(dǎo)致拒絕服務(wù)事件。
Envoy 的 oghttp 編解碼器	CVE-2024-27919	超出標頭映射限制時不重置請求可造成無限的內(nèi)存消耗，可能導(dǎo)致拒絕服務(wù)事件。
Tempesta FW	CVE-2024-2758	其速率限制對空的 CONTINUATION 幀洪水并不完全有效，可能導(dǎo)致拒絕服務(wù)事件。
amphp/http	CVE-2024-2653	它在無界緩沖區(qū)中收集 CONTINUATION 幀如果超過標頭大小限制則有內(nèi)存不足 (OOM) 崩潰的風險可能導(dǎo)致拒絕服務(wù)事件。
Go 的 net/http 和 net/http2 包	CVE-2023-45288	允許攻擊者發(fā)送任意大的標頭集，造成 CPU 消耗過高，可能導(dǎo)致拒絕服務(wù)事件。
nghttp2 庫	CVE-2024-28182	涉及使用 nghttp2 庫的實現(xiàn)，其繼續(xù)接收 CONTINUATION 幀，在沒有適當?shù)牧髦刂没卣{(diào)的情況下，可能導(dǎo)致拒絕服務(wù)事件。
Apache Httpd	CVE-2024-27316	可會發(fā)送大量未設(shè)置 END_HEADERS 標志的 CONTINUATION 幀，造成請求的不當終止，可能導(dǎo)致拒絕服務(wù)事件。
Apache Traffic Server	CVE-2024-31309	HTTP/2 CONTINUATION 洪水可造成服務(wù)器資源消耗過多，可能導(dǎo)致拒絕服務(wù)事件。
Envoy 版本 1.29.2 或更早	CVE-2024-30255	在 CONTINUATION 幀洪水期間消耗大量服務(wù)器資源，可造成 CPU 耗盡，進而可能導(dǎo)致拒絕服務(wù)事件。

受攻擊最多的行業(yè)

在分析攻擊統(tǒng)計數(shù)據(jù)時，我們使用系統(tǒng)中記錄的客戶行業(yè)來確定受攻擊最多的行業(yè)。2024 年第一季度，北美地區(qū)受到最多 HTTP DDoS 攻擊的行業(yè)是營銷和廣告行業(yè)。在非洲和歐洲，信息技術(shù)和互聯(lián)網(wǎng)行業(yè)受到最多攻擊。在中東，受攻擊最多的行業(yè)是計算機軟件。亞洲受攻擊最多的行業(yè)是游戲和泛娛樂。在南美，受攻擊最多的是銀行、金融服務(wù)和保險 (BFSI)。最后（但并非最不重要），大洋洲受到最多攻擊的行業(yè)是電信。

在全球范圍內(nèi)，游戲和泛娛樂是 HTTP DDoS 攻擊第一大目標。Cloudflare 緩解的每 100 個 DDoS 請求中，超過 7 個是針對游戲和泛娛樂行業(yè)。第二位是信息技術(shù)和互聯(lián)網(wǎng)行業(yè)，第三位是營銷和廣告行業(yè)。

信息技術(shù)和互聯(lián)網(wǎng)行業(yè)是網(wǎng)絡(luò)層 DDoS 攻擊的第一大目標，占網(wǎng)絡(luò)層 DDoS 攻擊字節(jié)總數(shù)的 75%。這一巨大比例的一個可能解釋是信息技術(shù)和互聯(lián)網(wǎng)公司可成為攻擊的“超級聚合者”，它們受到的 DDoS 攻擊實際上是針對其最終客戶的。其次是電信、銀行、金融服務(wù)和保險 (BFSI)、游戲和泛娛樂以及計算機軟件，合計占 3%。

通過將攻擊流量除以給定行業(yè)的總流量來對數(shù)據(jù)進行標準化，我們會得到完全不同的狀況。在 HTTP 方面，律師事務(wù)所和法律服務(wù)是受到最多攻擊的行業(yè)，其流量中超過 40%是 HTTP DDoS 攻擊流量。生物技術(shù)行業(yè)位居第二，HTTP DDoS 攻擊流量占比達到 20%。第三位是非營利組織， HTTP DDoS 攻擊占比 13%。航空和航天排名第四，前十的其他行業(yè)依次為交通運輸、批發(fā)、政府關(guān)系、電影、公共政策和成人娛樂。

回到網(wǎng)絡(luò)層，標準化后信息技術(shù)和互聯(lián)網(wǎng)仍然是受到 L3/4 DDoS 攻擊最多的行業(yè)，其流量中近三分之一為攻擊流量。第二位是紡織行業(yè)，攻擊流量占比為 4%。土木工程排名第三，前十的其他行業(yè)依次是銀行、金融服務(wù)和保險(BFSI)、軍事、建筑、醫(yī)療器械、國防和航天、游戲和泛娛樂，最后是零售。

DDoS 攻擊的最大來源

在分析 HTTP DDoS 攻擊的來源時，我們通過查看源 IP 地址以確定這些攻擊的來源位置。某個國家/地區(qū)成為大量攻擊的來源地，表明在虛擬專用網(wǎng)絡(luò) (VPN) 或代理端點后面很可能存在大量僵尸網(wǎng)絡(luò)節(jié)點，可被攻擊者利用來混淆其來源。在 2024 年第一季度，美國是 HTTP DDoS 攻擊流量的最大來源，所有 DDoS 攻擊請求的五分之一來自美國 IP 地址。中國位居第二，其后是德國、印度尼西亞、巴西、俄羅斯、伊朗、新加坡、印度和阿根廷。

在網(wǎng)絡(luò)層，源 IP 地址可被偽造。因此我們不依賴于 IP 地址來了解來源，而是使用我們接收到攻擊流量的數(shù)據(jù)中心位置。由于 Cloudflare 的網(wǎng)絡(luò)覆蓋全球 310 多個城市，我們可以獲得準確的地理位置。通過使用我們的數(shù)據(jù)中心位置，我們可以看到，2024 年第一季度期間超過 40% 的 L3/4 DDoS 攻擊流量被我們的美國數(shù)據(jù)中心接收，使美國成為 L3/4 攻擊的最大來源。遠遠落后的第二位是德國，占 6%，其后是巴西、新加坡、俄羅斯、韓國、中國香港、英國、荷蘭和日本。

通過將攻擊流量除以給定國家或地區(qū)的總流量來標準化數(shù)據(jù)，我們得到一個完全不同的排名。來自直布羅陀的 HTTP 流量中有近三分之一是 DDoS 攻擊流量，使其成為最大的來源。第二名是圣赫勒拿，其后是英屬維爾京群島、利比亞、巴拉圭、馬約特、赤道幾內(nèi)亞、阿根廷和安哥拉。

回到網(wǎng)絡(luò)層，標準化處理后的情況也大不相同。在我們位于津巴布韋的數(shù)據(jù)中心，所接收流量中近 89% 是 L3/4 DDoS 攻擊。在巴拉圭，攻擊流量占比超過 56%，其后是蒙古，占比接近 35%。排在前列的其他地點包括摩爾多瓦、剛果民主共和國、厄瓜多爾、吉布提、阿塞拜疆、海地和多米尼加共和國。

受攻擊最多的地點

在分析針對我們客戶的 DDoS 攻擊時，我們使用客戶的賬單國家/地區(qū)來確定“受攻擊的國家/地區(qū)”。2024 年第一季度，美國是受 HTTP DDoS 攻擊最多的國家。Cloudflare 緩解的 DDoS 請求中，大約十分之一針對美國。中國大陸位居第二，其后是加拿大、越南、印度尼西亞、新加坡、中國香港、中國臺灣、塞浦路斯和德國。

通過將攻擊流量除以給定國家或地區(qū)的總流量來標準化數(shù)據(jù)時，排名也變得截然不同。流向尼加拉瓜的 HTTP 流量中超過 63% 是 DDoS 攻擊流量，使其成為受攻擊最多的國家/地區(qū)。第二位是阿爾巴尼亞，其后是約旦、幾內(nèi)亞、圣馬力諾、格魯吉亞、印度尼西亞、柬埔寨、孟加拉國和阿富汗。

在網(wǎng)絡(luò)層，中國大陸是受攻擊最多的地區(qū)。2024 年第一季度 Cloudflare 緩解的所有 DDoS 攻擊中，有 39% 是針對 Cloudflare 的中國客戶。中國香港位居第二，其后是中國臺灣、美國和巴西。

回到網(wǎng)絡(luò)層，標準化后中國香港成為受攻擊最多的地區(qū)。在發(fā)送到香港的所有流量中，超過 78% 為 L3/4 DDoS 攻擊流量。位居第二的是中國大陸，DDoS 占比 75%。其后是哈薩克斯坦、泰國、圣文森特和格林納丁斯、挪威、中國臺灣、土耳其、新加坡和巴西。