在2020年第二季度(2020年4月1日至2020年6月30日),这种DDoS攻击增加的趋势一直持续甚至在增加:
- 与今年前三个月相比,观察到的L3 / 4 DDoS攻击次数翻了一番;
- 大规模的L3 / 4 DDoS攻击大大增加;Cloudflare观察到部署了更多的攻击媒介,并且攻击在地理位置上更加分散;
- 第二季度全球L3 / 4 DDoS攻击次数翻了一番。
Gatebot是Cloudflare的主要DDoS保护系统,它会自动检测并缓解DDoS攻击。全球DDoS攻击是Cloudflare在多个数据中心中观察到的攻击,这些攻击通常是由使用数万至数百万个僵尸程序的攻击者产生的。
Gatebot在第二季度检测到并缓解的全球L3 / 4 DDoS攻击总数比上一季度增长了一倍,在Cloudflare的第一季度DDoS报告中,Cloudflare报告了攻击次数和规模激增。2020年全球所有DDoS攻击中有超过66%发生在第二季度(增长了近100%)。 5月是2020年上半年最繁忙的月份,其次是6月和4月。三分之一的L3 / 4 DDoS攻击发生在5月。
实际上,在所有峰值超过100 Gbps的L3 / 4 DDoS攻击中,有63%发生在5月。随着新冠疫情在5月份在全球范围内的蔓延,攻击者也更加猖狂了。
随着大型攻击规模的扩大,小型攻击继续占主导地位
DDoS攻击的强度与它的大小相等,淹没链路以压倒目标的数据包或比特率的实际数量。“大型”DDoS攻击指的是在互联网流量很高时达到峰值的攻击。速率可以用数据包或比特率来衡量。高比特率的攻击试图使网络链接饱和,而高数据包速率的攻击则会使路由器或其他嵌入式硬件设备不堪重负。
与第一季度类似,就Cloudflare的网络规模而言,Cloudflare在第二季度观察到的大多数L3 / 4 DDoS攻击也相对较小。在第二季度,Cloudflare看到的所有L3 / 4 DDoS攻击中将近90%的峰值低于10 Gbps。如果不受基于云的DDoS缓解服务的保护,峰值低于10 Gbps的小型攻击仍然很容易导致世界上大多数网站和网络中断。
同样,从数据包速率的角度来看,第二季度所有L3 / 4 DDoS攻击中有76%的峰值达到每秒100万个数据包(pps)。通常,1 Gbps以太网接口可以提供80k到1.5M的pps。假设该接口还可以提供合法流量,并且大多数组织的接口都少于1 Gbps,那么你可以看到,即使这些“小”数据包速率DDoS攻击也可以轻松地破坏网络属性。
就持续时间而言,83%的攻击持续时间在30至60分钟之间。Cloudflare在第一季度看到了类似的趋势,其中79%的攻击属于同一持续时间范围。这似乎持续时间很短,但是可以想象这是你的安全团队和攻击者之间的30至60分钟的网络战。现在看来还不算短,此外,如果DDoS攻击造成中断或服务降级,则重新启动设备和重新启动服务的恢复时间会更长。
本季度,从数据包速率和比特率方面。Cloudflare看到越来越多的大规模攻击。实际上,2020年所有峰值超过100 Gbps的DDoS攻击中,有88%是在3月就地庇护所生效后发起的。同样,五月不仅是攻击次数最多的最繁忙的月份,而且是超过100 Gbps的大型攻击次数最多的月份。
从数据包的角度来看,6月以7.54亿pps的惊人攻击率遥遥领先。除了该攻击,整个季度的最大数据包速率几乎保持一致,约为2亿个pps。
Cloudflare自动检测并缓解了7.54亿pps的攻击,这次攻击是为期4天的攻击的一部分,该攻击从6月18日持续到21日。作为攻击的一部分,来自31.6万个IP地址的攻击流量以一个Cloudflare IP地址为目标。
Cloudflare的DDoS保护系统会自动检测并缓解攻击,并且由于Cloudflare网络的规模和全球覆盖范围,因此对性能没有影响。当缓解大型攻击以便能够吸收攻击流量并缓解源头附近的攻击时,同时还继续为合法客户流量提供服务而不会引起延迟或服务中断,那么全球互连网络至关重要。
美国成为攻击的重灾区
当Cloudflare查看按国家划分的L3 / 4 DDoS攻击分布时,在美国的数据中心受到的攻击次数最多(22.6%),其次是德国(4.4%),加拿大(2.7%)和英国(2.6 %)。
但是,当Cloudflare查看每个Cloudflare数据中心缓解的攻击字节总数时,美国仍然领先(34.9%),其次是香港(6.6%),俄罗斯(6.5%),德国(4.5%)和哥伦比亚( 3.7%)。发生此更改的原因是由于每次攻击产生的带宽总量。例如,虽然由于在香港发现的攻击次数相对较少(1.8%)而未进入前十名,但这些攻击的次数巨大,并且产生了大量的攻击流量。
在分析L3 / 4 DDoS攻击时,Cloudflare按Cloudflare边缘数据中心位置而不是按源IP的位置对流量进行分类。原因是当攻击者发起L3 / 4攻击时,他们可以“欺骗”(更改)源IP地址,以掩盖攻击源。如果要基于欺骗性的源IP找到对应的国家,则将得到一个欺骗性的国家。 Cloudflare能够通过在观察到攻击的Cloudflare数据中心的位置显示攻击数据,从而克服欺骗IP的问题。由于Cloudflare在全球200多个城市设有数据中心,因此Cloudflare能够在报告中进行准确的分析。
第二季度所有L3 / 4 DDoS攻击中有57%是 SYN Flood
SYN Flood (SYN Flood ) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。
攻击媒介是用于描述攻击方法的术语,在第二季度,Cloudflare观察到攻击者在L3 / 4 DDoS攻击中使用的媒介次数有所增加。第二季度共使用了39种不同类型的攻击媒介,而第一季度共使用了34种。 SYN Flood 占了绝大多数,份额超过57%,其次是RST(13%),UDP(7%),CLDAP(6%)和SSDP(3%)攻击。
SYN Flood攻击旨在利用TCP连接的握手过程,通过重复发送带有同步标志(SYN)的初始连接请求数据包,攻击者试图淹没跟踪TCP连接状态的路由器连接表。路由器以包含同步确认标志(SYN-ACK)的数据包进行答复,为每个给定的连接分配一定次数的内存,并错误地等待客户端以最终确认(ACK)进行响应。如果有足够次数的SYN占用路由器的内存,则路由器将无法为合法客户端分配更多的内存,从而导致拒绝服务。
无论攻击源是什么,Cloudflare都会使用3种保护方法(包括Cloudflare自定义的DDoS保护系统)自动检测并缓解有状态或无状态DDoS攻击:
- Gatebot:Cloudflare的集中式DDoS防护系统,用于检测和缓解全球分布的批量DDoS攻击。 Gatebot在Cloudflare网络的核心数据中心中运行,它从Cloudflare每个边缘数据中心接收样本,对其进行分析,并在检测到攻击时自动发送缓解指令。Gatebot还同步到Cloudflare每个客户的Web服务器,以识别其运行状况并相应地触发给用户自定义的保护。
- dosd(拒绝服务守护程序):Cloudflare的分散式DDoS保护系统。 dosd在全球每个Cloudflare数据中心的每台服务器中自主运行,分析流量并在需要时应用本地缓解规则。除了能够以超快的速度检测和缓解攻击外,dosd还通过将检测和缓解功能委托给边缘数据中心来显着提高Cloudflare的网络防护能力。
- flowtrackd(flow tracking daemon,流量跟踪守护程序):Cloudflare的TCP状态跟踪机,用于检测和缓解单向路由拓扑中最随机、最复杂的基于TCP的DDoS攻击。flowtrackd能够识别TCP连接的状态,然后删除、质询或速率限制不属于合法连接的数据包。
除了Cloudflare的自动化DDoS保护系统之外,Cloudflare还可以生成实时威胁情报,以自动缓解攻击。此外,Cloudflare还为其客户提供防火墙、速率限制和其他工具,以进一步自定义和优化其保护。
Cloudflare针对 DDoS的缓解措施
随着企业和个人互联网使用的不断发展,DDoS策略也将随之改变。Cloudflare保护网站、应用程序和整个网络免受任何规模、种类或复杂程度的DDoS攻击。
Cloudflare的客户和行业分析师推荐Cloudflare的综合解决方案的原因主要有以下三个:
- 网络规模:Cloudflare的37个Tbps网络可以轻松阻止任何规模、类型或复杂程度的攻击。
- 缓解时间:Cloudflare在全球范围内在10秒内缓解大多数网络层攻击,并且在预先配置静态规则时立即缓解(0秒)。Cloudflare可以以最小的延迟缓解源头附近的攻击。在某些情况下,流量甚至比通过公共网络更快。
- 威胁情报:Cloudflare的DDoS缓解措施由威胁情报提供支持,该情报利用了超过2700万个网络属性。此外,威胁情报已集成到面向客户的防火墙和工具中,以增强Cloudflare的客户的能力。
本文翻译自:https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q2-2020/