2023 年第一季 DDoS 威脅報告

歡迎閱讀 2023 年第一份 DDoS 威脅報告。DDoS 攻擊（即分散式阻斷服務攻擊）是一種網路攻擊，旨在以超出網際網路服務（如網站）處理能力的流量使其不堪重負，從而中斷這些服務，讓合法使用者無法使用。在本報告中，我們將針對在全球網路中觀察到的 DDoS 攻擊情勢，提供最新的深入解析與趨勢。

威脅執行者以一記重擊拉開了 2023 年的序幕。今年年初的一大特點是，針對西方目標（包括銀行、機場、醫療保健和大學）的一系列駭客活動——這些活動主要由 Telegram 組織的親俄團體 Killnet 以及更近期的 AnonymousSudan 發起。

雖然 Killnet 主導和 AnonymousSudan 主導的網路攻擊成功吸引了大家的眼球，但我們尚未發現他們發起過任何新穎或超大型的攻擊。

然而，我們確實看到由其他威脅執行者發起的_超流量_ DDoS 攻擊數量有所增長，規模最大的一起達到每秒 7100 萬個要求 (rps) 的尖峰，相較於 Google 上一個世界紀錄（4600 萬 rps），超出了 55%。

回到 Killnet 和 AnonymousSudan，雖然未報告任何值得注意的攻擊，但我們不應低估潛在的風險。如果網際網路資產未受保護，則 Killnet 主導和 AnonymousSudan 主導的網路活動仍然可以將其摧毀，並且已經這麼做了。組織應採取主動防禦措施來降低風險。

第 1 季度，另一起大型攻擊是針對南美電信提供者發起的 1.3 Tbps（TB/秒）的 DDoS 攻擊。該攻擊僅持續了一分鐘。這是一起涉及 DNS 和 UDP 攻擊流量的多手段攻擊。該攻擊是更廣泛的活動的一部分，該活動包括多個 TB 強度的攻擊，其源於 Mirai 變體多達 20,000 個的殭屍網路。大部分攻擊流量源於美國、巴西、日本、香港特別行政區和印度。Cloudflare 系統會自動偵測並緩解攻擊，且不會對客戶的網路產生任何影響。

Cloudflare 自動緩解了一起 1.3 Tbps 的 Mirai DDoS 攻擊

超流量攻擊會利用新一代殭屍網路，它們由虛擬私人伺服器 (VPS) 而非物聯網 (IoT) 裝置組成。

以往，大型殭屍網路依賴智慧監視攝影機等可利用發起攻擊的 IoT 裝置來策劃攻擊。儘管每個 IoT 裝置的輸送量有限，但由於總數通常會達到幾十上百萬，因此，會產生足夠的流量來中斷目標。

新一代殭屍網路使用的只是一小部分裝置，但每個裝置都要強大得多。雲端運算提供者提供虛擬私人伺服器，可讓新創公司和企業建立高效能應用程式。而缺點在於，它也可讓攻擊者建立_高效能殭屍網路_，其效果可增強 5,000 倍。攻擊者可透過入侵未修補的伺服器，並使用外洩的 API 認證駭入管理主控台，來存取虛擬私人伺服器。

Cloudflare 一直在與主要雲端運算提供者合作，來打擊這些基於 VPS 的殭屍網路。由於雲端運算提供者回應快速且認真勤奮，大部分的此類殭屍網路已經停用。自那以後，我們再未發現過超流量攻擊——這證明了共同作業極富成效。  

我們與網路安全社群通力合作，可在偵測到此類大規模攻擊後摧毀殭屍網路，但我們希望推動這一程序進一步簡化和自動化。

我們邀請雲端運算提供者、代管提供者和一般服務提供者註冊 Cloudflare 的免費 Botnet Threat Feed，以瞭解從其網路內發起的攻擊，從而幫助我們拆除殭屍網路。

1. 第 1 季度，16% 的受訪客戶報告稱遭受了 DDoS 勒索攻擊——與上一季度相比保持穩定，但較去年同期增長了 60%。

2. 非營利組織和廣播媒體是遭受攻擊最多的兩個產業。就攻擊流量百分比而言，芬蘭是最大的 HTTP DDoS 攻擊來源，也是網路層 DDoS 攻擊的主要目標。以色列是全世界遭受 HTTP DDoS 攻擊最多的國家/地區。

3. 超過 100 Gbps 的大規模巨流量 DDoS 攻擊數環比增長了 6%。基於 DNS 的攻擊成為最熱門的手段。同樣，我們觀察到，基於 SPSS 的 DDoS 攻擊、DNS 放大攻擊和基於 GRE 的 DDoS 攻擊數量均有激增。

查看 Cloudflare Radar 上的互動式報告。

通常情況下，實施 DDoS 攻擊是為了勒索贖金。我們會繼續調查 Cloudflare 客戶，並追蹤目標收到勒索信的 DDoS 事件的比率。這一數字在 2022 年一直穩步上升，目前為 16%，與 2022 年第 4 季度持平。

每季度報告 DDoS 勒索攻擊或威脅的使用者百分比

勒索軟體攻擊通常會誘騙受害者下載檔案或按一下電子郵件連結，然後加密並鎖定其電腦檔案，直到他們支付贖金，而執行 DDoS 勒索攻擊對於攻擊者來說則容易多了。DDoS 勒索攻擊不必誘騙受害者開啟電子郵件或按一下連結，也不需要入侵網路或在公司資產中取得立足點。

在 DDoS 勒索攻擊中，攻擊者不必存取受害者的電腦，只需用足夠大的流量來轟炸它們，即可摧毀其網站、DNS 伺服器以及與網際網路連線的任何其他類型資產，從而導致使用者無法使用或效能降低。攻擊者會要求支付贖金（通常是以比特幣的形式），以停止及/或避免進一步攻擊。

據我們的使用者報告，2023 年 1 月和 3 月是 DDoS 勒索活動第二多的月份。迄今為止，最多的月份仍然是 2022 年 11 月，即黑色星期五、感恩節以及中國的光棍節所在的月份，威脅執行者在該月獲利頗豐。  

每月報告 DDoS 勒索攻擊或威脅的使用者百分比

也許與司法改革和反對抗議有關，或者與約旦河西岸持續的緊張局勢有關，第 1 季度，以色列一躍成為 HTTP DDoS 攻擊流量最多的國家/地區，甚至超過了美國。這個數字實在令人大跌眼鏡。今年第一季度，在 Cloudflare 所處理的所有 HTTP 流量中，只有不到百分之一屬於針對以色列網站發起的 HTTP DDoS 攻擊。緊隨以色列之後的是美國、加拿大和土耳其。

HTTP DDoS 攻擊的主要目標國家/地區（攻擊流量佔全世界總流量的百分比）

就攻擊流量佔特定國家/地區所有流量的百分比而言，斯洛維尼亞和格魯吉亞遙遙領先。在斯洛維尼亞和格魯吉亞網站的所有流量中，大約 20% 為 HTTP DDoS 攻擊。接下來依次為加勒比海地區雙島小國聖克里斯多福及尼維斯和土耳其。雖然以色列在上圖中位居榜首，但在遭受攻擊最多的國家/地區中位居第九——高於俄羅斯。與前幾個季度相比仍然較高。

HTTP DDoS 攻擊的主要目標國家/地區（攻擊流量佔每個國家/地區總流量的百分比）

從網路層 DDoS 攻擊流量的總量來看，中國位居第一。在所有網路層 DDoS 攻擊流量中，將近 18% 來自中國。新加坡緊隨其後，以 17% 的份額位居第二。美國排在第三位，然後便是芬蘭。

網路層 DDoS 攻擊的主要目標國家/地區（攻擊流量佔全世界所有 DDoS 流量的百分比）

若我們依據某個國家/地區的所有流量來標準化針對該國家/地區的攻擊，則芬蘭躍居第一，這可能是因為它最近剛剛獲准加入了北大西洋公約組織。在芬蘭的所有流量中，將近 83% 為網路層攻擊流量。中國以 68% 緊隨其後，然後是新加坡，佔 49%。

網路層 DDoS 攻擊的主要目標國家/地區（攻擊流量佔每個國家/地區所有流量的百分比）

就整體頻寬而言，在全球範圍內，網際網路公司的 HTTP DDoS 攻擊流量最大。之後依次為行銷和廣告業、電腦軟體產業、遊戲/博彩以及電信業。

HTTP DDoS 攻擊的主要目標產業（攻擊流量佔所有產業總流量的百分比）

依攻擊流量佔某個產業的總流量百分比來看，今年第一季度，非營利組織是受到攻擊最多的產業，其次是會計師事務所。儘管有關醫療保健的攻擊數量有所上升，但並未進入前十名。此外，位居前列的還有化工、政府、能源公用事業以及廢棄物處理產業。從美國來看，在美國聯邦網站的所有流量中，幾乎 2% 屬於 DDoS 攻擊。

HTTP DDoS 攻擊的主要目標產業（攻擊流量佔每個產業總流量的百分比）

在地區範圍內，遊戲和博彩業是亞洲、歐洲和中東遭受攻擊最多的產業。在南美洲和中美洲，銀行、金融服務和保險 (BFSI) 業是遭受攻擊最多的產業。在北美洲則是行銷和廣告業，其次為電信業，也是非洲遭受攻擊最多的產業。最後但同樣重要的是，在大洋洲，醫療健康產業是遭受 HTTP DDoS 攻擊最多的產業。

深入到 OSI 堆疊的較低層級中，基於第 3/4 層攻擊流量的總量，遭受攻擊最多的產業為資訊技術和服務、遊戲/博彩以及電信。

第 3/4 層 DDoS 攻擊的主要目標產業（攻擊流量佔所有產業 DDoS 總流量的百分比）

將攻擊流量與每個產業的總流量進行比較時，我們看到了不同的情況。幾乎傳輸到廣播媒體公司的每秒位元組都是第 3/4 層 DDoS 攻擊流量。

第 3/4 層 DDoS 攻擊的主要目標產業（攻擊流量佔每個產業總流量的百分比）

2023 年第一季度，就攻擊流量佔每個國家/地區所有流量的百分比而言，芬蘭是最大的 HTTP DDoS 攻擊來源。英屬維京群島緊隨芬蘭之後，位居第二，然後依次為利比亞和巴貝多。

HTTP DDoS 攻擊的主要來源國家/地區（攻擊流量佔每個國家/地區總流量的百分比）

就絕對數量而言，來自美國 IP 位址的 HTTP DDoS 攻擊流量最多。中國位居第二，然後依次為德國、印尼、巴西和芬蘭。

HTTP DDoS 攻擊的主要來源國家/地區（攻擊流量佔全世界總流量的百分比）

在第 3/4 層方面，越南是最大的第 3/4 層 DDoS 攻擊流量的來源。我們在越南資料中心擷取的所有第 3/4 層流量中，將近三分之一是攻擊流量。排在越南之後的依次為巴拉圭、摩爾多瓦和牙買加。

第 3/4 層 DDoS 攻擊的主要來源國家/地區（攻擊流量佔每個國家/地區總流量的百分比）

當觀察針對我們的客戶以及我們自己的網路和應用程式發起的攻擊類型時，我們發現大多數攻擊持續時間較短且規模較小；86% 的網路層 DDoS 攻擊會在 10 分鐘內結束，而 91% 的攻擊從未超過 500 Mbps。

網路層 DDoS 攻擊：持續時間分佈

超過 10 Gbps 的攻擊僅佔五十分之一，而超過 100 Gbps 的攻擊僅佔千分之一。

依位元速率的網路層 DDoS 攻擊

儘管如此，規模較大的攻擊無論在數量上還是頻率上都在緩慢增長。上個季度，超過 100 Gbps 的攻擊數量環比增長了 67%。本季度，增長速度減緩至 6%，但仍在增長。實際上，所有巨流量攻擊數量都在增長，但不包括大多數攻擊所處於的「小」貯體，如下圖所示。最大的增長位於 10-100 Gbps 範圍內；環比增長 89%。

依規模的網路層 DDoS 攻擊：環比變化

本季度，我們看到了一個結構性轉變。佔比 22% 的 SYN 洪水衝到了第二位，讓基於 DNS 的 DDoS 攻擊成為最熱門的攻擊手段 (30%)。在所有第 3/4 層 DDoS 攻擊中，將近三分之一基於 DNS（DNS 洪水或 DNS 放大/反射攻擊）。基於 UDP 的攻擊緊隨其後，以 21% 的份額位居第三。

主要 DDoS 攻擊手段

每個季度，我們都會看到老舊的，有時甚至是古老的攻擊手段重新出現。這種情況表明，即便是十年前的弱點仍可被利用來發起攻擊。威脅執行者會反覆使用老舊的方法，也許是希望組織已經不再防範這些老舊的方法。

2023 年第一季度，基於 SPSS 的 DDoS 攻擊、DNS 放大攻擊和基於 GRE 的 DDoS 攻擊數量均有大幅激增。

主要 DDoS 新興威脅

統計產品與服務解決方案 (SPSS) 是 IBM 開發的軟體套件，可用於資料管理、商業智慧和犯罪調查等使用案例。Sentinel RMS License Manager 伺服器可用於管理 IBM SPSS 系統等軟體產品的授權。早在 2021 年，Sentinel RMS License Manager 伺服器中就發現了兩個弱點（CVE-2021-22713 和 CVE-2021-38153），可用來發起反射 DDoS 攻擊。攻擊者可將大量特製的授權要求傳送至伺服器，使其產生比原始要求大得多的回應。將此回應傳送回受害者的 IP 位址後，會有效地放大攻擊的規模，並用流量使受害者的網路不堪重負。此類型的攻擊稱為反射 DDoS 攻擊，會嚴重干擾依賴 Sentinel RMS License Manager 的軟體產品（例如，IBM SPSS Statistics）的可用性。必須對授權管理程式套用可用的修補程式，以防止這些弱點被利用並防禦反射 DDoS 攻擊。

DNS 放大攻擊是一種 DDoS 攻擊，它會惡意探索網域名稱系統 (DNS) 基礎架構中的弱點來產生針對受害者網路的大量流量。攻擊者會將 DNS 要求傳送至開啟的 DNS 解析程式（這些解析程式因設定錯誤而允許從任意來源進行遞迴查詢），並使用這些要求來產生比原始查詢大得多的回應。然後，攻擊者會偽裝受害者的 IP 位址，導致大量回應湧向受害者網路，用流量使其不堪重負並造成服務阻斷。緩解 DNS 放大攻擊的挑戰在於，攻擊流量很難與合法流量區分開，因此很難在網路層級進行封鎖。為了緩解 DNS 放大攻擊，組織可以採取正確設定 DNS 解析程式、實作限速技術和使用流量篩選工具等措施來封鎖來自已知攻擊來源的流量。

基於 GRE 的 DDoS 攻擊使用一般路由封裝 (GRE) 通訊協定，來以大量的流量淹沒受害者的網路。攻擊者會在遭入侵的主機之間建立多個 GRE 通道，將流量傳送至受害者的網路。這些攻擊很難偵測並篩選，因為流量在受害者的網路上看起來是合法流量。攻擊者也可以使用來源 IP 位址偽裝，使流量看起來是來自合法來源的，從而很難在網路層級進行封鎖。基於 GRE 的 DDoS 攻擊會為目標組織帶來數種風險，包括停機、中斷業務作業以及可能的資料竊取或網路滲透。若要緩解上述攻擊，必須使用進階流量篩選工具來基於特性偵測和封鎖攻擊流量，以及限速和來源 IP 位址篩選等技術來封鎖來自已知攻擊來源的流量。

近幾個月來，各行各業中持續時間較長且規模較大的 DDoS 攻擊越來越多，其中巨流量攻擊尤為突出。非營利和廣播媒體公司成為主要的目標產業。而 DNS DDoS 攻擊也越來越普遍。

由於 DDoS 攻擊通常由機器人執行，自動化偵測和緩解對於實現有效防禦至關重要。Cloudflare 的自動化系統為客戶提供持續的 DDoS 攻擊防禦，讓他們能夠專注於業務的其他方面。我們認為，DDoS 保護應便於各種規模的組織使用，因此，自 2017 年以來，一直提供免費的無限制保護。

Cloudflare 的使命是幫助構建更好的網際網路——一個對所有人都更安全、更快速的網際網路。

我們誠邀您參加 DDoS 趨勢網路研討會，以深入瞭解新興威脅以及有效的防禦策略。

如何計算 DDoS 勒索攻擊深入解析Cloudflare 的系統會不斷地分析流量，並在偵測到 DDoS 攻擊時自動套用緩解措施。每個受到攻擊的客戶都會收到提示，邀請他們參與一項自動化調查，以幫助我們更好地瞭解該攻擊的性質以及緩解措施的成功率。兩年多以來，Cloudflare 一直在對受到攻擊的客戶進行調查。在調查中，有一個問題是問受訪者是否收到過威脅或勒索信。在過去兩年間，我們平均每個季度收集了 164 份回覆。此調查的回覆會用於計算 DDoS 勒索攻擊的百分比。

如何計算地理和產業深入解析來源國家/地區在應用程式層，我們使用發起攻擊的 IP 位址來瞭解攻擊的來源國家/地區。這是因為在該層，無法偽裝（即變更）IP 位址。然而，在網路層，可以偽裝來源 IP 位址。因此，我們不依賴 IP 位址來瞭解來源，而是使用擷取攻擊封包的資料中心的位置。由於我們的網路涵蓋了全世界超過 285 個位置，因此能夠獲得準確的地理位置。

目標國家/地區針對應用程式層和網路層 DDoS 攻擊，我們依客戶的帳單國家/地區將攻擊和流量分組。然後便可瞭解哪些國家/地區受到的攻擊更多。

目標產業針對應用程式層和網路層 DDoS 攻擊，我們根據客戶關係管理系統，依客戶的產業將攻擊和流量分組。然後便可瞭解哪些產業受到的攻擊更多。

總量與百分比針對來源和目標深入解析，我們會將攻擊流量總量與作為一個資料點的所有流量作比較。此外，我們還會考量進出特定國家/地區、流向特定國家/地區或流向特定產業的攻擊流量的百分比。這會提供特定國家/產業的「攻擊活動率」，而我們會使用總流量對該比率進行標準化。這有助於我們消除對某個國家/地區或產業的偏見，它們通常會收到大量流量，因此也會收到大量攻擊流量。  

如何計算攻擊特性為了計算攻擊規模、持續時間、攻擊手段和新興威脅，我們會貯存攻擊，然後提供每個貯體佔每個維度總量的份額。

一般免責聲明與釐清當我們說「主要國家/地區」是攻擊來源或目標時，並不一定意味著該國家/地區作為一個國家/地區遭受攻擊，而是使用該國家/地區作為帳單國家/地區的組織成為攻擊目標。同樣，源於某個國家/地區的攻擊並不意味著該國家/地區發起了攻擊，而是從對應至該國家/地區的 IP 位址發起了攻擊。威脅執行者營運的全球殭屍網路節點遍佈全世界，在很多情況下，也會使用虛擬私人網路和代理來混淆其真實位置。因此，如果要說有什麼不同的話，那就是來源國家/地區可以指出該國家/地區內存在結束節點或殭屍網路節點。