分布式拒绝服务(DDoS)攻击是一种网络攻击,旨在压垮和破坏在线服务,使用户无法访问这些服务。通过利用分布式设备网络,DDoS攻击会向目标系统发送过多请求,消耗其带宽或耗尽计算资源,直至发生故障。这些攻击对未受保护的站点非常有效,而且攻击者发动攻击的成本相对较低。尽管DDoS攻击是最古老的攻击类型之一,但它仍然是一个持续的威胁,通常针对知名或高流量的网站、服务或关键基础设施。自2024年初以来,Cloudflare已经缓解了超过1450万次DDoS攻击、平均每小时2200次DDoS攻击。(我们于近期发布的《2024年第三季度DDoS威胁报告》中包含了更多相关统计数据)。
如果我们查看与过去10年缓解的大型攻击相关的指标,得出的数据图表中是会显示一条稳步增长的指数曲线并在过去几年里越来越陡峭?还是更接近于线性增长?-事实是增长不是直线式的,而是指数曲线,斜率取决于我们正在查看的指标。
为什么要讨论这个问题?答案很简单-为了解攻击者不断演变的思路及策略、其工具的复杂程度,以及这些信息可以为防御机制的准备程度提供宝贵的见解。
例如,每秒请求数(rps)呈上升曲线表明攻击者正在更改其端侧的某些内容,从而能够生成大量请求。这一发现提示我们进行更多调查并查看其他数据,以了解是否有任何新情况发生。
例如,在其中一个时刻,我们查看了流量来源,发现从订阅者/企业IP地址空间(表明是IoT)转移到了云提供商IP地址空间(表明是VM),并意识到攻击者使用的设备类型和功能发生了变化。
再举一个例子:当HTTP/2 Rapid Reset攻击发生时,当时每秒创纪录的请求数表明攻击者正在采用一种新技术,促使我们迅速调查正在执行的操作并调整我们的防御措施。
定义单次攻击
对单个攻击的时间划分出奇的模糊。首先,攻击分析可能会在OSI模型的不同层提供不一致的观察结果。对于同一攻击,在所有这些不同层看到的足迹可能展现的是不同的情况。然而,我们可以将一些变量组合在一起来创建一个指纹,并对一系列事件进行分组,从而确定它们是否属于同一次攻击。示例包括:
-我们是否发现这组事件使用了相同的攻击手段?
-所有攻击事件是否都针对相同的目标?
-事件的有效负载是否共用相同的签名?(特定数据有效负载或请求类型是特定攻击或僵尸网络所独有的,例如Mirai,它可能使用独特的HTTP请求标头或数据包结构。)
DDoS攻击规模
在深入分析过去10年DDoS攻击的增长情况之前,让我们先回顾一下通常用于衡量DDoS攻击的指标:每秒请求数(rps)、每秒数据包数(pps)和每秒比特数(bps)。每个指标都反映了攻击规模和影响的不同方面。
-每秒请求数(rps):衡量每秒发出的HTTP或类似协议请求数。此指标与应用程序层攻击(第7层)特别相关,此类攻击的目的是使用超过其处理能力的请求数来压垮特定应用程序或服务。该指标对于衡量针对Web服务器、API或应用程序的攻击非常有用,因为它反映的是请求量,而不仅仅是原始数据传输量。
-每秒数据包数(pps):表示每秒发送到目标的单个数据包的数量,无论其大小如何。此指标对于网络层攻击(第3层和第4层)至关重要,此类攻击的目标是使用超出其数据包处理能力的数据包量来压垮网络基础设施。pps测量值对于容量耗尽攻击非常有用,可以识别可能影响路由器、交换机或防火墙的数据包数量。
-每秒比特数(bps):该指标衡量的是每秒传输的总数据量,尤其适用于评估旨在使目标或其上游提供商的带宽饱和的网络层攻击。bps广泛用于衡量第3层和第4层攻击,例如UDP洪水攻击,此类攻击旨在阻塞网络带宽。该指标在DDoS攻击中通常尤为重要,因为高bps值(通常以GB或TB为单位)表示带宽饱和,这是大规模DDoS活动的共同目标。
过去十年DDoS攻击规模的演变
那么,过去十年间DDoS攻击规模有何变化?
-过去十年中,DDoS攻击规模越来越大,攻击强度也越来越迅猛,每年都有可能造成更严重的破坏。
纵观过去十年间与大型攻击相关的指标,是呈指数曲线稳定增长并不断变得陡峭(特别是在过去几年里),还是更接近于线性增长?
-我们发现它是呈指数曲线增长的,在下文中我们会进一步阐述得出这一结论的原因:
在本次分析中,我们使用了Google在2010年到2022年间观察到的攻击作为基线(图1),再加上Cloudflare在2023年和2024年观察到的攻击事件(图2)。
回顾过去,在21世纪10年代初期,最大规模的攻击以每秒千兆位(Gbps)为单位,但如今,攻击以每秒太比特(Tbps)为单位。正如我们观测到的,如今每秒请求数(rps)和每秒比特数(bps)也在显著增加。
下方图1中显示的Google历史数据表明,在2010年至2022年期间观察到的DDoS攻击中,每秒请求数呈上升趋势,在2020年达到每秒600万个请求(Mrps)的峰值。这一增长凸显了这十年间攻击量的显著增加。
图1:2010-2022年已知最大的DDoS攻击。(来源:Google)
图2(下图)展示了不同指标的趋势。Google统计数据中的上升趋势也体现在Cloudflare 2023年和2024年观察到且已缓解的大规模DDoS攻击数据中,在2024年9月达到201 Mrps(绿线)。每秒数据包数(pps)的速率(蓝线)随着时间的推移呈现轻微的指数增长,从2015年的230 Mpps上升到2024年的2,100 Mpps,这表明攻击者正在实现更高的吞吐量。每秒比特数(bps)的趋势线也是指数曲线,并且更为陡峭(红线),从2013年的309 Gbps级攻击发展到2024年的5.6 Tbps(5,600 Gbps)级攻击。
在过去十年间,推动这些指标的攻击显著增长:
-2013年至2024年期间,每秒比特数增长了20倍
-2015年至2024年期间,每秒数据包数增长了10倍
-2014年到2024年期间,每秒请求数增长了70倍
图2:图1中的数据加上Cloudflare在2023年和2024年观察到的大规模攻击。
表1中列出的博客文章重点介绍了我们在2021年至2024年期间观察到的一些攻击。
表1:Cloudflare在2021-2024年期间观察到的值得注意的DDoS攻击。
Cloudflare学习中心中提供了过去十年发生的其他重大高流量DDoS攻击的概述,包括2018年的Memcached滥用和2023年的HTTP/2“Rapid Reset”攻击。
攻击持续时间指标
攻击持续时间并不是衡量攻击强度的有效指标,因为确定单次攻击或攻击活动的持续时间具有挑战性,这是因为它们可能具有间歇性,可能同时使用多种攻击手段,或者随着时间的推移而触发不同的防御层。
攻击模式可能差异很大,有些只有一个大的峰值,而另一些则包含多个紧密聚集的峰值,或者在一段时间内保持连续负载,以及其他不断变化的特征。
用于发起攻击的设备类型趋势
DDoS攻击正逐渐从基于IoT的僵尸网络转向更强大的基于VM的僵尸网络。这种变化主要是因为云托管虚拟机具有更高的计算能力和吞吐量,这让攻击者能够使用更少的设备发动更大规模攻击。
这种转变是由多种因素促成的:VM僵尸网络比IoT僵尸网络更容易建立,因为它们不一定需要大范围的恶意软件感染,因为攻击者可以使用从数据泄露或Magecart攻击中窃取的支付信息匿名将它们部署在云提供商基础设施上。
这一趋势表明DDoS攻击策略正在演变,因为攻击者利用虚拟机的处理能力和对云资源的匿名访问,使得更小、更高效的僵尸网络能够发动更大规模攻击,省去了感染和管理大量IoT设备所带来的复杂性。
Cloudflare如何帮助防御DDoS攻击?
Cloudflare的全球连通云建立在我们广泛的Anycast全球网络上,通过利用自动检测、流量分配和快速响应功能,在防御DDoS攻击方面发挥着至关重要的作用。以下是其增强DDoS防护的方法:
自动攻击检测和缓解:Cloudflare的DDoS防护在很大程度上依赖于自动化,使用机器学习算法实时识别可疑流量模式。通过自动化检测过程,Cloudflare可以快速识别和阻止DDoS攻击,而无需人工干预,这一点在抵御足以压垮人类响应者的大规模攻击时至关重要。
使用IP Anycast进行全球流量分配:Cloudflare的网络覆盖全球330多座城市,DDoS流量会在我们的多个数据中心之间分散。IP Anycast使我们能够在整个全球网络中分配流量,这种广泛的分布有助于吸收和缓解大规模攻击,因为攻击流量不会流向单个点,从而减轻了单个服务器和网络的压力。
分层防御:Cloudflare的全球连通云提供跨多个层的防御,包括网络层(第3层)、传输层(第4层)和应用程序层(第7层)。这种分层方法允许根据攻击类型部署定制化的防御策略,确保能有效缓解复杂的多层攻击。欢迎阅读我们的DDoS防护文档,进一步了解第3层、第4层和第7层的DDoS防护策略。
不计量的DDoS缓解:Cloudflare自2017年以来率先采用这种方法来确保互联网安全,提供不计量的DDoS防护,这意味着客户可以在攻击期间受到保护,而无需担心带宽或成本限制。这种方法有助于确保拥有不同规模或预算的企业都能受益于强大的DDoS防护。
Cloudflare的分布式云基础设施和先进技术使我们能够以可扩展且响应迅速的方式检测、吸收和缓解DDoS攻击,避免停机并保持服务可靠性,与传统方案选项相比,这提供了强大的解决方案来应对不断上升的DDoS攻击强度和频率。
对于任何规模的企业及组织来说,防范DDoS攻击都至关重要。虽然这些攻击是由人类发起的,但它们是由机器人执行的,因此有效的防御需要自动化工具来对抗机器人驱动的威胁。实时检测和缓解应尽可能自动化,仅依靠人工干预会使防御者处于不利地位,因为攻击者会适应新的障碍,且能够改变攻击手段、流量行为、恶意有效负载签名等,从而产生不可预测的情况,致使一些手动配置变得毫无用处。Cloudflare的自动化系统会代表我们的客户持续识别和阻止DDoS攻击,从而提供满足不同需求的定制化防护方案。