什么是 DDoS 攻擊？

但首先讓我們快速回顧一下。DDoS 攻擊是分布式拒絕服務(wù)攻擊的簡(jiǎn)稱，這是一種網(wǎng)絡(luò)攻擊，旨在使網(wǎng)站或移動(dòng)應(yīng)用程序等互聯(lián)網(wǎng)服務(wù)癱瘓或中斷，導(dǎo)致用戶無(wú)法使用。DDoS 攻擊一般通過(guò)向受害者的服務(wù)器發(fā)送超出其處理能力的流量來(lái)實(shí)施。要進(jìn)一步了解 DDoS 攻擊和其他類型的攻擊，

2024 年第一季度關(guān)鍵洞察
2024 年第一季度的關(guān)鍵洞察包括：

• 2024 年以轟轟烈烈的方式開(kāi)始：Cloudflare 的防御系統(tǒng)在第一季度自動(dòng)緩解了 450 萬(wàn)次 DDoS 攻擊，同比增長(zhǎng)了 50%。
• 基于 DNS 的 DDoS 攻擊同比增長(zhǎng)了 80%，仍然是最主要的攻擊手段。
• 瑞典加入北約后，針對(duì)該國(guó)的 DDoS 攻擊激增了 466%，類似于芬蘭 2023 年加入北約時(shí)觀察到的模式。

2024 年以轟轟烈烈的方式開(kāi)始

2024 年第一季度才剛剛結(jié)束，我們的自動(dòng)化防御系統(tǒng)就已經(jīng)緩解了 450 萬(wàn)次 DDoS 攻擊，相當(dāng)于我們 2023 年緩解 DDoS 攻擊總數(shù)的 32%。按攻擊類型細(xì)分，HTTP DDoS 攻擊同比增長(zhǎng) 93%，環(huán)比增長(zhǎng) 51%。網(wǎng)絡(luò)層 DDoS 攻擊，即 L3/4 DDoS 攻擊同比增長(zhǎng) 28%，環(huán)比增長(zhǎng) 5%。

通過(guò)比較 HTTP DDoS 攻擊和 L3/4 DDoS 攻擊的合計(jì)數(shù)量，2024 年第一季度攻擊總數(shù)同比增長(zhǎng)了 50%，環(huán)比增長(zhǎng)了 18%。

第一季度期間，我們的系統(tǒng)總共緩解了 10.5 萬(wàn)億個(gè) HTTP DDoS 攻擊請(qǐng)求。我們的系統(tǒng)還緩解了超過(guò) 59 PB 的 DDoS 攻擊流量——僅在網(wǎng)絡(luò)層。在這些網(wǎng)絡(luò)層 DDoS 攻擊中，許多攻擊的速率超過(guò)了 1 Tbps，幾乎每周都有。2024 年迄今為止我們緩解的最大規(guī)模攻擊是由 Mirai 變種僵尸網(wǎng)絡(luò)發(fā)起的。這一攻擊達(dá)到 2 Tbps，目標(biāo)是一家受 Cloudflare Magic Transit 保護(hù)的亞洲托管服務(wù)提供商。Cloudflare 的系統(tǒng)自動(dòng)檢測(cè)并緩解了攻擊。Mirai 僵尸網(wǎng)絡(luò)因其大規(guī)模 DDoS 攻擊而臭名昭著，它主要由受感染的物聯(lián)網(wǎng)(IoT)設(shè)備組成。在 2016 年，一個(gè) Mirai 僵尸網(wǎng)絡(luò)通過(guò)對(duì) DNS 服務(wù)提供商發(fā)動(dòng)攻擊導(dǎo)致美國(guó)各地的互聯(lián)網(wǎng)訪問(wèn)中斷。將近八年過(guò)去了，Mirai 僵尸網(wǎng)絡(luò)攻擊仍然非常普遍。每 100 次 DDoS HTTP 攻擊中有四次，每 100 次 L3/4 攻擊有兩次是由 Mirai 變體僵尸網(wǎng)絡(luò)發(fā)起的。我們之所以說(shuō)“變體”，是因?yàn)?Mirai 源代碼已被公開(kāi)，多年來(lái)出現(xiàn)了基于原始代碼的許多變體。

DNS 攻擊激增 80%我們于近期推出了最新的 DDoS 防御系統(tǒng)之一——Advanced DNS Protection 系統(tǒng)。這是對(duì)我們現(xiàn)有系統(tǒng)的補(bǔ)充，旨在防御最復(fù)雜的基于 DNS 的 DDoS 攻擊。我們決定投資開(kāi)發(fā)這個(gè)新系統(tǒng)并非心血來(lái)潮?；?DNS 的 DDoS 攻擊已成為最主要的攻擊手段，在所有網(wǎng)絡(luò)層攻擊中所占比例繼續(xù)增長(zhǎng)。2024 年第一季度，基于 DNS 的 DDoS 攻擊同比增長(zhǎng) 80%，占比達(dá)到約 54%。

盡管 DNS 攻擊激增，但值得注意的是，由于所有類型的 DDoS 攻擊總體都進(jìn)一步增加了，每種攻擊類型的占比仍然與我們的 2023 年第四季度報(bào)告中所見(jiàn)相同。HTTP DDoS 攻擊在 DDoS 攻擊總數(shù)中的比例保持在 37%，DNS DDoS 攻擊占 33%，余下 30% 為所有其他類型的 L3/4 攻擊，例如 SYN Flood 和 UDP Flood。

而且事實(shí)上，SYN Flood 是第二種最常見(jiàn)的 L3/4 攻擊。排名第三的是 RST Flood，這是另一種基于 TCP 的 DDoS 攻擊。UDP Flood 排名第四，占 6%。

在分析最常見(jiàn)的攻擊手段時(shí)，我們還會(huì)查看那些增長(zhǎng)最快、但不一定進(jìn)入前十名的攻擊手段。在增長(zhǎng)最快的攻擊手段（新興威脅）中，Jenkins Flood 季度環(huán)比增長(zhǎng)超過(guò) 826%。Jenkins Flood 是一種 DDoS 攻擊，利用 Jenkins 自動(dòng)化服務(wù)器中的漏洞，特別是通過(guò) UDP 多播/廣播和 DNS 多播服務(wù)。攻擊者可以向 Jenkins 服務(wù)器的公共 UDP 端口發(fā)送精心制作的小型請(qǐng)求，導(dǎo)致服務(wù)器以不合比例的大量數(shù)據(jù)進(jìn)行響應(yīng)。此舉可顯著放大流量，使目標(biāo)網(wǎng)絡(luò)不堪重負(fù)并導(dǎo)致服務(wù)中斷。Jenkins 在 2020 年通過(guò)在后續(xù)版本中默認(rèn)禁用這些服務(wù)來(lái)解決了這個(gè)漏洞（CVE-2020-2100）。然而，如我們所見(jiàn)，即使 4 年后，這個(gè)漏洞仍在被濫用以發(fā)動(dòng) DDoS 攻擊。

HTTP/2 Continuation Flood

另一種值得討論的攻擊手段是 HTTP/2 Continuation Flood。研究人員 Bartek Nowotarski 在 2024 年 4 月 3 日 發(fā)現(xiàn)并公開(kāi)的一個(gè)漏洞使這種攻擊手段成為可能。HTTP/2 Continuation Flood 漏洞的目標(biāo)是未正確處理 HEADERS 和多個(gè) CONTINUATION 幀的 HTTP/2 協(xié)議實(shí)現(xiàn)。威脅行為者發(fā)送一系列不帶 END_HEADERS 標(biāo)志的 CONTINUATION 幀，導(dǎo)致潛在的服務(wù)器問(wèn)題，例如內(nèi)存不足崩潰或 CPU 耗盡。HTTP/2 Continuation Flood 可以做到通過(guò)僅允許單臺(tái)機(jī)器就能夠破壞使用 HTTP/2 的網(wǎng)站和 API，但由于 HTTP 訪問(wèn)日志中沒(méi)有可見(jiàn)的請(qǐng)求，這種攻擊難以被發(fā)現(xiàn)。這個(gè)漏洞構(gòu)成的潛在嚴(yán)重威脅比之前已知的 HTTP/2 Rapid Reset 更具破壞性，這種攻擊手段導(dǎo)致了歷史上一些最大規(guī)模的 HTTP/2 DDoS 攻擊活動(dòng)。其中一次活動(dòng)中，數(shù)千次超大規(guī)模 DDoS 攻擊以 Cloudflare 為目標(biāo)。這些攻擊的速率高達(dá)數(shù)百萬(wàn)次請(qǐng)求 /秒(rps)。根據(jù) Cloudflare 記錄，本輪活動(dòng)的平均攻擊速率為 3000 萬(wàn) rps。其中大約 89 次攻擊的峰值超過(guò) 1 億 rps，我們看到的規(guī)模最大的一次攻擊達(dá)到 2.01億 rps。

Cloudflare 的網(wǎng)絡(luò)、其 HTTP/2 實(shí)現(xiàn)，以及使用我們的 WAF/CDN 服務(wù)的客戶不受此漏洞的影響。此外，我們目前沒(méi)有發(fā)現(xiàn)互聯(lián)網(wǎng)上有任何威脅行為者利用此漏洞。多個(gè) CVE 已被分配給受此漏洞影響的各種 HTTP/2 實(shí)現(xiàn)?？▋?nèi)基梅隆大學(xué)的 Christopher Cullen 發(fā)布的一個(gè) CERT 警報(bào)（ Bleeping Computer 對(duì)此進(jìn)行了報(bào)道）已經(jīng)列出了各種 CVE：

受影響的服務(wù)	CVE	詳情
Node.js HTTP/2 服務(wù)器	CVE-2024-27983	發(fā)送少數(shù)幾個(gè) HTTP/2 幀可造成競(jìng)態(tài)條件和內(nèi)存泄漏，可能導(dǎo)致拒絕服務(wù)事件。
Envoy 的 oghttp 編解碼器	CVE-2024-27919	超出標(biāo)頭映射限制時(shí)不重置請(qǐng)求可造成無(wú)限的內(nèi)存消耗，可能導(dǎo)致拒絕服務(wù)事件。
Tempesta FW	CVE-2024-2758	其速率限制對(duì)空的 CONTINUATION 幀洪水并不完全有效，可能導(dǎo)致拒絕服務(wù)事件。
amphp/http	CVE-2024-2653	它在無(wú)界緩沖區(qū)中收集 CONTINUATION 幀如果超過(guò)標(biāo)頭大小限制則有內(nèi)存不足 (OOM) 崩潰的風(fēng)險(xiǎn)可能導(dǎo)致拒絕服務(wù)事件。
Go 的 net/http 和 net/http2 包	CVE-2023-45288	允許攻擊者發(fā)送任意大的標(biāo)頭集，造成 CPU 消耗過(guò)高，可能導(dǎo)致拒絕服務(wù)事件。
nghttp2 庫(kù)	CVE-2024-28182	涉及使用 nghttp2 庫(kù)的實(shí)現(xiàn)，其繼續(xù)接收 CONTINUATION 幀，在沒(méi)有適當(dāng)?shù)牧髦刂没卣{(diào)的情況下，可能導(dǎo)致拒絕服務(wù)事件。
Apache Httpd	CVE-2024-27316	可會(huì)發(fā)送大量未設(shè)置 END_HEADERS 標(biāo)志的 CONTINUATION 幀，造成請(qǐng)求的不當(dāng)終止，可能導(dǎo)致拒絕服務(wù)事件。
Apache Traffic Server	CVE-2024-31309	HTTP/2 CONTINUATION 洪水可造成服務(wù)器資源消耗過(guò)多，可能導(dǎo)致拒絕服務(wù)事件。
Envoy 版本 1.29.2 或更早	CVE-2024-30255	在 CONTINUATION 幀洪水期間消耗大量服務(wù)器資源，可造成 CPU 耗盡，進(jìn)而可能導(dǎo)致拒絕服務(wù)事件。

受攻擊最多的行業(yè)

在分析攻擊統(tǒng)計(jì)數(shù)據(jù)時(shí)，我們使用系統(tǒng)中記錄的客戶行業(yè)來(lái)確定受攻擊最多的行業(yè)。2024 年第一季度，北美地區(qū)受到最多 HTTP DDoS 攻擊的行業(yè)是營(yíng)銷和廣告行業(yè)。在非洲和歐洲，信息技術(shù)和互聯(lián)網(wǎng)行業(yè)受到最多攻擊。在中東，受攻擊最多的行業(yè)是計(jì)算機(jī)軟件。亞洲受攻擊最多的行業(yè)是游戲和泛娛樂(lè)。在南美，受攻擊最多的是銀行、金融服務(wù)和保險(xiǎn) (BFSI)。最后（但并非最不重要），大洋洲受到最多攻擊的行業(yè)是電信。

在全球范圍內(nèi)，游戲和泛娛樂(lè)是 HTTP DDoS 攻擊第一大目標(biāo)。Cloudflare 緩解的每 100 個(gè) DDoS 請(qǐng)求中，超過(guò) 7 個(gè)是針對(duì)游戲和泛娛樂(lè)行業(yè)。第二位是信息技術(shù)和互聯(lián)網(wǎng)行業(yè)，第三位是營(yíng)銷和廣告行業(yè)。

信息技術(shù)和互聯(lián)網(wǎng)行業(yè)是網(wǎng)絡(luò)層 DDoS 攻擊的第一大目標(biāo)，占網(wǎng)絡(luò)層 DDoS 攻擊字節(jié)總數(shù)的 75%。這一巨大比例的一個(gè)可能解釋是信息技術(shù)和互聯(lián)網(wǎng)公司可成為攻擊的“超級(jí)聚合者”，它們受到的 DDoS 攻擊實(shí)際上是針對(duì)其最終客戶的。其次是電信、銀行、金融服務(wù)和保險(xiǎn) (BFSI)、游戲和泛娛樂(lè)以及計(jì)算機(jī)軟件，合計(jì)占 3%。

通過(guò)將攻擊流量除以給定行業(yè)的總流量來(lái)對(duì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化，我們會(huì)得到完全不同的狀況。在 HTTP 方面，律師事務(wù)所和法律服務(wù)是受到最多攻擊的行業(yè)，其流量中超過(guò) 40%是 HTTP DDoS 攻擊流量。生物技術(shù)行業(yè)位居第二，HTTP DDoS 攻擊流量占比達(dá)到 20%。第三位是非營(yíng)利組織， HTTP DDoS 攻擊占比 13%。航空和航天排名第四，前十的其他行業(yè)依次為交通運(yùn)輸、批發(fā)、政府關(guān)系、電影、公共政策和成人娛樂(lè)。

回到網(wǎng)絡(luò)層，標(biāo)準(zhǔn)化后信息技術(shù)和互聯(lián)網(wǎng)仍然是受到 L3/4 DDoS 攻擊最多的行業(yè)，其流量中近三分之一為攻擊流量。第二位是紡織行業(yè)，攻擊流量占比為 4%。土木工程排名第三，前十的其他行業(yè)依次是銀行、金融服務(wù)和保險(xiǎn)(BFSI)、軍事、建筑、醫(yī)療器械、國(guó)防和航天、游戲和泛娛樂(lè)，最后是零售。

DDoS 攻擊的最大來(lái)源

在分析 HTTP DDoS 攻擊的來(lái)源時(shí)，我們通過(guò)查看源 IP 地址以確定這些攻擊的來(lái)源位置。某個(gè)國(guó)家/地區(qū)成為大量攻擊的來(lái)源地，表明在虛擬專用網(wǎng)絡(luò) (VPN) 或代理端點(diǎn)后面很可能存在大量僵尸網(wǎng)絡(luò)節(jié)點(diǎn)，可被攻擊者利用來(lái)混淆其來(lái)源。在 2024 年第一季度，美國(guó)是 HTTP DDoS 攻擊流量的最大來(lái)源，所有 DDoS 攻擊請(qǐng)求的五分之一來(lái)自美國(guó) IP 地址。中國(guó)位居第二，其后是德國(guó)、印度尼西亞、巴西、俄羅斯、伊朗、新加坡、印度和阿根廷。

在網(wǎng)絡(luò)層，源 IP 地址可被偽造。因此我們不依賴于 IP 地址來(lái)了解來(lái)源，而是使用我們接收到攻擊流量的數(shù)據(jù)中心位置。由于 Cloudflare 的網(wǎng)絡(luò)覆蓋全球 310 多個(gè)城市，我們可以獲得準(zhǔn)確的地理位置。通過(guò)使用我們的數(shù)據(jù)中心位置，我們可以看到，2024 年第一季度期間超過(guò) 40% 的 L3/4 DDoS 攻擊流量被我們的美國(guó)數(shù)據(jù)中心接收，使美國(guó)成為 L3/4 攻擊的最大來(lái)源。遠(yuǎn)遠(yuǎn)落后的第二位是德國(guó)，占 6%，其后是巴西、新加坡、俄羅斯、韓國(guó)、中國(guó)香港、英國(guó)、荷蘭和日本。

通過(guò)將攻擊流量除以給定國(guó)家或地區(qū)的總流量來(lái)標(biāo)準(zhǔn)化數(shù)據(jù)，我們得到一個(gè)完全不同的排名。來(lái)自直布羅陀的 HTTP 流量中有近三分之一是 DDoS 攻擊流量，使其成為最大的來(lái)源。第二名是圣赫勒拿，其后是英屬維爾京群島、利比亞、巴拉圭、馬約特、赤道幾內(nèi)亞、阿根廷和安哥拉。

回到網(wǎng)絡(luò)層，標(biāo)準(zhǔn)化處理后的情況也大不相同。在我們位于津巴布韋的數(shù)據(jù)中心，所接收流量中近 89% 是 L3/4 DDoS 攻擊。在巴拉圭，攻擊流量占比超過(guò) 56%，其后是蒙古，占比接近 35%。排在前列的其他地點(diǎn)包括摩爾多瓦、剛果民主共和國(guó)、厄瓜多爾、吉布提、阿塞拜疆、海地和多米尼加共和國(guó)。

受攻擊最多的地點(diǎn)

在分析針對(duì)我們客戶的 DDoS 攻擊時(shí)，我們使用客戶的賬單國(guó)家/地區(qū)來(lái)確定“受攻擊的國(guó)家/地區(qū)”。2024 年第一季度，美國(guó)是受 HTTP DDoS 攻擊最多的國(guó)家。Cloudflare 緩解的 DDoS 請(qǐng)求中，大約十分之一針對(duì)美國(guó)。中國(guó)大陸位居第二，其后是加拿大、越南、印度尼西亞、新加坡、中國(guó)香港、中國(guó)臺(tái)灣、塞浦路斯和德國(guó)。

通過(guò)將攻擊流量除以給定國(guó)家或地區(qū)的總流量來(lái)標(biāo)準(zhǔn)化數(shù)據(jù)時(shí)，排名也變得截然不同。流向尼加拉瓜的 HTTP 流量中超過(guò) 63% 是 DDoS 攻擊流量，使其成為受攻擊最多的國(guó)家/地區(qū)。第二位是阿爾巴尼亞，其后是約旦、幾內(nèi)亞、圣馬力諾、格魯吉亞、印度尼西亞、柬埔寨、孟加拉國(guó)和阿富汗。

在網(wǎng)絡(luò)層，中國(guó)大陸是受攻擊最多的地區(qū)。2024 年第一季度 Cloudflare 緩解的所有 DDoS 攻擊中，有 39% 是針對(duì) Cloudflare 的中國(guó)客戶。中國(guó)香港位居第二，其后是中國(guó)臺(tái)灣、美國(guó)和巴西。

回到網(wǎng)絡(luò)層，標(biāo)準(zhǔn)化后中國(guó)香港成為受攻擊最多的地區(qū)。在發(fā)送到香港的所有流量中，超過(guò) 78% 為 L3/4 DDoS 攻擊流量。位居第二的是中國(guó)大陸，DDoS 占比 75%。其后是哈薩克斯坦、泰國(guó)、圣文森特和格林納丁斯、挪威、中國(guó)臺(tái)灣、土耳其、新加坡和巴西。