2020 年第一季度,互联网流量和网络层 DDoS 攻击出现激增。在全球各地实施居家隔离政策的情况下,互联网使远程工作、维持社区联系、在线教育和购物、个人社交网络、以及送餐或游戏等互联网服务成为可能。一些国家的网络流量增加多达 50%。随着在线活动增加,网络层的 DDoS 也有所增加。每当网络活动增加,DDoS 攻击者就会嗅到水中的血腥味。他们知道,互联网使用率越高,在线业务 的每分钟收入就越高。
在使用高峰时段,企业损失会大幅增加,因此攻击者更有动机发动 DDoS 攻击。据 ITC (信息技术产业委员会)估计,服务中断的平均成本为 5600 美元/分钟。这意味着,如今一次成功的 DDoS 攻击造成的中断给企业带来的损失可高达 33.6万美元/小时。由于中断成本不断增加,一些组织可能更愿意向攻击者支付赎金,以便使网络基础设施或 Web 资产恢复正常运行。
按比特率衡量,我们在 2020 年第一季度期间观察到的网络层攻击大多是小规模的。 92% 的攻击不到 10 Gbps(吉比特/秒),而 2019 年第四季度这个比例为 84%。就数据包速率而言,大多数攻击的峰值都低于 100 万 pps(包/秒)。从这个速率和比特率来看,这段时间的攻击者将其精力和资源集中在产生小规模攻击上。
除了包速率和比特率,攻击持续时间也有所缩短。在2020 年第一季度,79% 的 DDoS 持续 30 到 60 分钟,而一些攻击可持续数日甚至数月。这听起来似乎是好消息,但实际上不然。有关攻击变得更小、更短的趋势,一个理论是,现在发动 DDoS 攻击比以往更容易、成本更低。确实,分布式拒绝服务攻击现在作为一种服务提供。据卡巴斯基表示,在互联网的黑暗角落,一次 5 分钟的攻击成本可能低至 5 美元。
尽管 2020 年第一季度观察到的大部分攻击低于 10 Gbps,较大规模攻击依然普遍存在。本季度观察到的最大规模攻击出现在 3 月,峰值比特率超过 550 Gbps。 3 月中起,Cloudflare 注意到针对大型企业的较大规模 DDoS 攻击有所增加。这些攻击可能是国家行为者、黑客分子或以勒索为目的的网络犯罪分子所为,旨在对员工在家远程工作的企业进行破坏。其他攻击者可能尝试在困难时期利用存在漏洞的公用事业,如电网和石油业务。
DDoS 攻击中,每天每 IP 使用的平均攻击手段数稳定在 1.4 左右。据观察,每天每 IP 受到的最大攻击向量数为 10。在上一个季度,我们在第 3 和第 4 层 (L3/4)观察到超过 32 种不同类型的攻击手段。在第一季度,ACK(确认信号)攻击占大部分(55.8%),其次为 SYN(同步请求)攻击,占 14.4%,而第三位是Mirai(僵尸网络恶意软件),所占比例依然相当高(13.5%)。在今天,SYN 与 ACK DDoS 攻击在第一季度 L3/4 攻击手段总数中所占比例超过 70%。
全球互联网使用量的增加正在激励更多 DDoS 攻击
攻击变得更小、更短,可能因为发动的成本更低、更 容易
针对大型企业的较大规模攻击依然普遍
随着 DDoS 攻击变得更加普遍,全球每一家在线实体都需要发展一种安全态势,确保其网络、应用程序和网站安全、快速和可靠。我们已经看到短短一个小时的拒绝服务能带来多大的潜在收入损失。
那么,在这个万物互联的时代,企业必须迅速区分合法流量与恶意流量,实现上述目标最具成本效益的方法是什么呢?
缓解 DDoS 攻击的一个方法是,使用硬件设备在网络外围本地扫描和过滤流量。这种方法的缺点是,上述较短的攻击要求 10 秒或更短的快速缓解手段。很多传统服务商提供的缓解时间服务等级协议(SLA)长达 15 分钟。
其他 DDoS 缓解方法包括将网络流量路由到清洗中心,从合法流量中过滤掉恶意流量。但鉴于很多 DDoS 攻击是本地化的,清洗中心并非可行的解决方案,因为清洗中心数量有限且位置分散,而流量必须路由到清洗中心以进行处理,从而形成“瓶颈”。
面对今天复杂的 DDoS 攻击,基于云的网络是唯一真正可行的防御手段。基于云的网络将 DDoS 保护置于网络边缘的单一控制面上,以尽可能在接近源头的位置阻止分布式攻击,从而保证源服务器的安全——无论其位于本地还是在云中。此类统一的大规模网络保护能够从每一次攻击中持续学习,并自动分享情报以挫败下一次攻击。 这种方法还会为企业提供强大的 DDoS 安全防护,而不会降低网络和应用程序性能并对收入造成不利影响。
这些发现来源于 Cloudflare 网络,其遍布超过 100 个国家的 200 多个城市,每天阻止超过 760 亿次网络威胁。由于拥有对 DDoS 威胁状况的 360 度无死角全面掌握,在这些无孔不入的攻击演变的同时,Cloudflare 能收集到海量的相关数据。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。