2020年第二季度网络层DDoS攻击趋势 – 作者:东塔安全学院

DDOS叫做分布式拒绝服务（Distributed Denial of Service，简称DDoS）将多台计算机联合起来作为攻击平台，通过远程连接利用恶意程序，对一个或多个目标发起DDoS攻击，消耗目标服务器性能或网络带宽，从而造成服务器无法正常地提供服务。

攻击原理：通常，攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上，并在网络上的多台计算机上安装代理程序。在所设定的时间内，主控程序与大量代理程序进行通讯，代理程序收到指令时对目标发动攻击，主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。

在2020年第一季度，在短短几周内，我们的生活方式发生了变化。我们比以往任何时候都更加依赖在线服务。可以在家工作的员工，各个年龄段和所有年龄的学生都可以在线上课，公众越是依赖网络,攻击者就越有可能引起混乱，扰乱我们的生活方式。因此，不足为奇的是，在2020年第一季度（2020年1月1日至2020年3月31日），攻击次数肯定有所增加。

在2020年第2季度（2020年4月1日至2020年6月30日），这种DDoS攻击增加的趋势一直持续甚至加速：

• 与今年前三个月相比，在网络上观察到的L3 / 4 DDoS攻击数量翻了一番。
• 最大的L3 / 4 DDoS攻击规模大大增加。实际上，观察到有史以来通过网络记录的一些最大的攻击。
• 观察到部署了更多的攻击媒介，并且攻击在地理上的分布更加广泛。

第二季度全球L3 / 4 DDoS攻击数量翻了一番

Gatebot是Cloudflare的主要DDoS保护系统。它可以自动检测和抵御全球分布的DDoS攻击。全球DDoS攻击是我们在多个边缘数据中心观察到的攻击。这些攻击通常是由复杂的攻击者使用几万到数百万个机器人的僵尸网络来生成的。

复杂的攻击者使Gatebot在第二季度处于繁忙状态。Gatebot在第二季度检测到并缓解的全球L3 / 4 DDoS攻击总数比上一季度增长了一倍。在第一季度DDoS报告中，报告了攻击数量和规模激增。我们继续看到这种趋势将在第二季度加速发展。2020年全球所有DDoS攻击中有66％以上发生在第二季度（增长了近100％）。5月是2020年上半年最繁忙的月份，其次是6月和4月。所有L3 / 4 DDoS攻击中几乎有三分之一发生在5月。

实际上，在所有峰值超过100 Gbps的L3 / 4 DDoS攻击中，有63％发生在5月。随着全球流行病在5月份在全球范围内的蔓延，攻击者尤其渴望关闭网站和其他Internet资产。

随着大型攻击规模的扩大，小型攻击继续占主导地位

DDoS攻击的强度相当于其大小，即淹没链路以压倒目标的数据包或位的实际数量。“大型”DDoS攻击是指以高速互联网流量达到峰值的攻击。速率可以用数据包或比特来衡量。具有高比特率的攻击试图使因特网链路饱和，而具有高分组速率的攻击试图压倒路由器或其他在线硬件设备。

与第一季度类似，第二季度观察到的大多数L3/4 DDoS攻击相对于Cloudflare的网络规模而言也相对“小”。在第二季度，可以看到的所有L3/4 DDoS攻击中，近90%的攻击峰值低于10 Gbps。峰值低于10 Gbps的小型攻击如果不受基于云的DDoS缓解服务的保护，仍然很容易导致世界各地大多数网站和互联网财产中断。

同样，从包速率的角度来看，在第二季度，76%的L3/4 DDoS攻击达到每秒100万包（pps）的峰值。通常，1 Gbps以太网接口可以传输80k到1.5M pps之间的任何位置。假设该接口也服务于合法流量，而且大多数组织的接口远低于1 Gbps，那么你就可以看到即使是这些“小”包速率DDoS攻击也可以轻松地破坏Internet属性。

就持续时间而言，83%的攻击持续时间在30至60分钟之间。第一季度看到了类似的趋势，79%的攻击都在相同的持续时间范围内。这看起来像是一个很短的时间，但想象一下这是一个30到60分钟的网络战，你的安全团队和攻击者。现在看起来不那么短了。此外，如果DDoS攻击造成停机或服务降级，重新启动设备和重新启动服务的恢复时间可能会更长；每分钟都会让您损失收入和声誉。

在第二季度，看到了网络上有史以来最大的DDoS攻击

本季度，看到越来越多的大规模攻击。包速率和比特率方面。实际上，2020年所有峰值超过100 Gbps的DDoS攻击中，有88％是在3月就地庇护所生效后发起的。再次，五月不仅是攻击次数最多的最繁忙的月份，还是100 Gbps以上的最大数量的大型攻击。

从数据包的角度来看，六月以7.54亿pps的惊人攻击率遥遥领先。除了该攻击，整个季度的最大数据包速率几乎保持一致，约为2亿个pps。

Cloudflare自动检测并缓解了7.54亿pps攻击。这次袭击是从6月18日到21日为期四天的有组织的战役的一部分。作为活动的一部分，来自316000多个IP地址的攻击流量针对单个Cloudflare IP地址。

Cloudflare的DDoS保护系统自动检测并减轻了攻击，由于Cloudflare的网络的规模和全球覆盖范围，因此对性能没有影响。全球互联网络在缓解大型攻击时至关重要，以便能够吸收攻击流量并在靠近源的地方进行缓解，同时还可以在不引起延迟或服务中断的情况下继续为合法的客户流量提供服务。

美国是遭受袭击最多的国家

当我们按国家/地区查看L3/4 DDoS攻击分布时，Cloudflare在美国的数据中心收到的攻击数量最多（22.6%），其次是德国（4.4%）、加拿大（2.7%）和英国（2.6%）。

然而，当Cloudflare查看每一个CuldFLARE数据中心减轻的总攻击字节时，美国仍然领先（34.9%），其次是香港（6.6%）、俄罗斯（6.5%）、德国（4.5%）和哥伦比亚（3.7%）。这种变化的原因是每次攻击产生的带宽总量。例如，由于香港在香港（1.8%）中的攻击数量相对较少，没有使其跻身前10名，攻击量很大，产生了大量的攻击流量，将香港推到了第二位。

在分析L3/4 DDoS攻击时，Cloudflare根据Cloudflare边缘数据中心的位置而不是源IP的位置来存储流量。原因是当攻击者发起L3/4攻击时，他们可以“欺骗”（改变）源IP地址，以迷惑攻击源。如果要根据一个伪造的源IP派生国家，Cloudflare将得到一个伪造的国家。Cloudflare能够通过观察到攻击的Cloudflare数据中心的位置显示攻击数据，从而克服欺骗IP的挑战。Cloudflare能够在我们的报告中实现地理精确性，因为Cloudflare在全球200多个城市拥有数据中心。

第二季度所有L3 / 4 DDoS攻击中有57％是SYNFlood

SYN Flood (SYN Flood ) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。在第2季度，Cloudflare观察到攻击者在L3/4 DDoS攻击中使用的向量数量增加。第二季度共使用了39种不同类型的攻击向量，而第一季度使用了34种攻击向量。SYN-floods占大多数，占比超过57%，其次是RST（13%）、UDP（7%）、CLDAP（6%）和SSDP（3%）。

SYN Flood攻击旨在利用TCP连接的握手过程。通过重复发送带有同步标志（SYN）的初始连接请求数据包，攻击者试图淹没跟踪TCP连接状态的路由器连接表。路由器以包含同步确认标志（SYN-ACK）的数据包进行回复，为每个给定的连接分配一定数量的内存，并错误地等待客户端以最终确认（ACK）进行响应。如果有足够数量的SYN占用路由器的内存，则路由器将无法为合法客户端分配更多内存，从而导致拒绝服务。

无论攻击源是什么，Cloudflare都会使用3种保护方法（包括Cloudflare自制的DDoS保护系统）自动检测并缓解有状态或无状态DDoS攻击：

1. Gatebot：Cloudflare的集中式DDoS防护系统，用于检测和缓解全球分布的批量 DDoS攻击。Gatebot在Cloudflare网络的核心数据中心中运行。它从Cloudflare每个边缘数据中心接收样本，对其进行分析，并在检测到攻击时自动发送缓解指令。Gatebot还同步到Cloudflare每个客户的Web服务器，以识别其运行状况并相应地触发量身定制的保护。
2. dosd（拒绝服务守护程序）：Cloudflare的分散式DDoS保护系统。dosd在全球每个Cloudflare数据中心的每台服务器中自主运行，分析流量并在需要时应用本地缓解规则。除了能够以超快的速度检测和缓解攻击外，Dosd还通过将检测和缓解功能委托给边缘来显着提高Cloudflare的网络弹性。
3. flowtrackd（流跟踪守护程序）：Cloudflare的TCP状态跟踪机，用于检测和缓解单向路由拓扑中最随机，最复杂的基于TCP的DDoS攻击。flowtrackd能够识别TCP连接的状态，然后丢弃不属于合法连接的数据包，进行质询或设置速率限制。

除了Cloudflare的自动化DDoS保护系统之外，Cloudflare还可以生成实时威胁情报，以自动缓解攻击。此外，Cloudflare还为其客户提供防火墙，速率限制和其他工具，以进一步自定义和优化其保护。

Cloudflare DDoS缓解

随着企业和个人对Internet的使用不断发展，希望DDoS策略也能适应。Cloudflare保护网站，应用程序和整个网络免受任何规模，种类或复杂程度的DDoS攻击。

Cloudflare的客户和行业分析师推荐Cloudflare的综合解决方案的原因主要有以下三个：

• 网络规模：Cloudflare的37 Tbps网络可以轻松阻止任何规模，类型或复杂程度的攻击。Cloudflare网络具有的DDoS缓解能力高于接下来的四个竞争对手。
• 缓解时间：Cloudflare可以在不到10秒的时间内全局缓解大多数网络层攻击，并在预先配置静态规则后立即缓解（0秒）。通过我们的全球业务，Cloudflare可以以最小的延迟缓解源头附近的攻击。在某些情况下，流量甚至比通过公共Internet更快。
• 威胁情报：Cloudflare的DDoS缓解措施由威胁情报提供支持，该情报利用了超过2700万个Internet属性。此外，威胁情报已集成到面向客户的防火墙和工具中，以增强Cloudflare的客户的能力。

由于Cloudflare的网络架构，Cloudflare的独特定位可提供无与伦比的规模，速度和智能，以提供DDoS缓解。Cloudflare的网络就像一个分形的网络，每个服务都在遍布全球200多个城市的每个Cloudflare数据中心的每台服务器上运行。这使Cloudflare能够检测和缓解靠近源头的攻击，无论攻击的规模，源头或类型如何。

参考来源：

https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q2-2020/

来源：freebuf.com 2020-08-28 16:27:04 by: 东塔安全学院