文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

2020年第二季度DDoS攻击趋势分析

2024-12-24 16:19

关注

在2020年第二季度(2020年4月1日至2020年6月30日),这种DDoS攻击增加的趋势一直持续甚至在增加:

Gatebot是Cloudflare的主要DDoS保护系统,它会自动检测并缓解DDoS攻击。全球DDoS攻击是Cloudflare在多个数据中心中观察到的攻击,这些攻击通常是由使用数万至数百万个僵尸程序的攻击者产生的。


Gatebot在第二季度检测到并缓解的全球L3 / 4 DDoS攻击总数比上一季度增长了一倍,在Cloudflare的第一季度DDoS报告中,Cloudflare报告了攻击次数和规模激增。2020年全球所有DDoS攻击中有超过66%发生在第二季度(增长了近100%)。 5月是2020年上半年最繁忙的月份,其次是6月和4月。三分之一的L3 / 4 DDoS攻击发生在5月。

实际上,在所有峰值超过100 Gbps的L3 / 4 DDoS攻击中,有63%发生在5月。随着新冠疫情在5月份在全球范围内的蔓延,攻击者也更加猖狂了。

随着大型攻击规模的扩大,小型攻击继续占主导地位

DDoS攻击的强度与它的大小相等,淹没链路以压倒目标的数据包或比特率的实际数量。“大型”DDoS攻击指的是在互联网流量很高时达到峰值的攻击。速率可以用数据包或比特率来衡量。高比特率的攻击试图使网络链接饱和,而高数据包速率的攻击则会使路由器或其他嵌入式硬件设备不堪重负。

与第一季度类似,就Cloudflare的网络规模而言,Cloudflare在第二季度观察到的大多数L3 / 4 DDoS攻击也相对较小。在第二季度,Cloudflare看到的所有L3 / 4 DDoS攻击中将近90%的峰值低于10 Gbps。如果不受基于云的DDoS缓解服务的保护,峰值低于10 Gbps的小型攻击仍然很容易导致世界上大多数网站和网络中断。


同样,从数据包速率的角度来看,第二季度所有L3 / 4 DDoS攻击中有76%的峰值达到每秒100万个数据包(pps)。通常,1 Gbps以太网接口可以提供80k到1.5M的pps。假设该接口还可以提供合法流量,并且大多数组织的接口都少于1 Gbps,那么你可以看到,即使这些“小”数据包速率DDoS攻击也可以轻松地破坏网络属性。


就持续时间而言,83%的攻击持续时间在30至60分钟之间。Cloudflare在第一季度看到了类似的趋势,其中79%的攻击属于同一持续时间范围。这似乎持续时间很短,但是可以想象这是你的安全团队和攻击者之间的30至60分钟的网络战。现在看来还不算短,此外,如果DDoS攻击造成中断或服务降级,则重新启动设备和重新启动服务的恢复时间会更长。

 

 

 

在第二季度,Cloudflare看到了Cloudflare网络上最大的DDoS攻击

 

本季度,从数据包速率和比特率方面。Cloudflare看到越来越多的大规模攻击。实际上,2020年所有峰值超过100 Gbps的DDoS攻击中,有88%是在3月就地庇护所生效后发起的。同样,五月不仅是攻击次数最多的最繁忙的月份,而且是超过100 Gbps的大型攻击次数最多的月份。


从数据包的角度来看,6月以7.54亿pps的惊人攻击率遥遥领先。除了该攻击,整个季度的最大数据包速率几乎保持一致,约为2亿个pps。


Cloudflare自动检测并缓解了7.54亿pps的攻击,这次攻击是为期4天的攻击的一部分,该攻击从6月18日持续到21日。作为攻击的一部分,来自31.6万个IP地址的攻击流量以一个Cloudflare IP地址为目标。

Cloudflare的DDoS保护系统会自动检测并缓解攻击,并且由于Cloudflare网络的规模和全球覆盖范围,因此对性能没有影响。当缓解大型攻击以便能够吸收攻击流量并缓解源头附近的攻击时,同时还继续为合法客户流量提供服务而不会引起延迟或服务中断,那么全球互连网络至关重要。

美国成为攻击的重灾区

当Cloudflare查看按国家划分的L3 / 4 DDoS攻击分布时,在美国的数据中心受到的攻击次数最多(22.6%),其次是德国(4.4%),加拿大(2.7%)和英国(2.6 %)。


但是,当Cloudflare查看每个Cloudflare数据中心缓解的攻击字节总数时,美国仍然领先(34.9%),其次是香港(6.6%),俄罗斯(6.5%),德国(4.5%)和哥伦比亚( 3.7%)。发生此更改的原因是由于每次攻击产生的带宽总量。例如,虽然由于在香港发现的攻击次数相对较少(1.8%)而未进入前十名,但这些攻击的次数巨大,并且产生了大量的攻击流量。

在分析L3 / 4 DDoS攻击时,Cloudflare按Cloudflare边缘数据中心位置而不是按源IP的位置对流量进行分类。原因是当攻击者发起L3 / 4攻击时,他们可以“欺骗”(更改)源IP地址,以掩盖攻击源。如果要基于欺骗性的源IP找到对应的国家,则将得到一个欺骗性的国家。 Cloudflare能够通过在观察到攻击的Cloudflare数据中心的位置显示攻击数据,从而克服欺骗IP的问题。由于Cloudflare在全球200多个城市设有数据中心,因此Cloudflare能够在报告中进行准确的分析。

第二季度所有L3 / 4 DDoS攻击中有57%是 SYN Flood

SYN Flood (SYN Flood ) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。

攻击媒介是用于描述攻击方法的术语,在第二季度,Cloudflare观察到攻击者在L3 / 4 DDoS攻击中使用的媒介次数有所增加。第二季度共使用了39种不同类型的攻击媒介,而第一季度共使用了34种。 SYN Flood 占了绝大多数,份额超过57%,其次是RST(13%),UDP(7%),CLDAP(6%)和SSDP(3%)攻击。


SYN Flood攻击旨在利用TCP连接的握手过程,通过重复发送带有同步标志(SYN)的初始连接请求数据包,攻击者试图淹没跟踪TCP连接状态的路由器连接表。路由器以包含同步确认标志(SYN-ACK)的数据包进行答复,为每个给定的连接分配一定次数的内存,并错误地等待客户端以最终确认(ACK)进行响应。如果有足够次数的SYN占用路由器的内存,则路由器将无法为合法客户端分配更多的内存,从而导致拒绝服务。

无论攻击源是什么,Cloudflare都会使用3种保护方法(包括Cloudflare自定义的DDoS保护系统)自动检测并缓解有状态或无状态DDoS攻击:

除了Cloudflare的自动化DDoS保护系统之外,Cloudflare还可以生成实时威胁情报,以自动缓解攻击。此外,Cloudflare还为其客户提供防火墙、速率限制和其他工具,以进一步自定义和优化其保护。

Cloudflare针对 DDoS的缓解措施

随着企业和个人互联网使用的不断发展,DDoS策略也将随之改变。Cloudflare保护网站、应用程序和整个网络免受任何规模、种类或复杂程度的DDoS攻击。

Cloudflare的客户和行业分析师推荐Cloudflare的综合解决方案的原因主要有以下三个:


本文翻译自:https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q2-2020/

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯