居家隔離實施後，第 3/4 層 DDoS 攻擊繼續攀升

各組織正在爭先恐後地應對一個「新常態」：將服務轉移到線上、抵禦流量激增，以及支援新的遠距工作者。根據觀察到的攻擊資料，我們已經看到這種爭奪，同時網際網路在我們日常生活中的地位也日益提升，讓攻擊者有更多機會開展惡意活動。

本報告展示了這一趨勢背後的資訊，並提出了有關如何應對的建議。

全球資料顯示攻擊頻率變高，規模變小

根據 2020 年 4 月至 6 月期間觀察到的資料，Cloudflare 發現如下趨勢：

• 在我們網路上觀察到的第 3/4 層 DDoS 攻擊數量比今年前三個月翻了一倍。

• 2020 年第二季的大部份攻擊規模較小，但這不一定是好事

• 美國是遭受 DDoS 攻擊最多的國家

2020 年第二季全球第 3/4 層 DDoS 攻擊的數量翻了一倍

針對第 3 和第 4 層 (在 OSI 模型中也稱為網路層和傳輸層) 的 DDoS 攻擊使用這兩層中的功能 (例如，第 3 層中的伺服器 ping 和第 4 層中的 TCP SYN 封包) 使目標伺服器被垃圾流量壓垮。

對第 3/4 層 DDoS 攻擊分析後發現，攻擊數量在 4 月、5 月和 6 月急劇上升。僅 5 月和 6 月就占了今年所有第 3/4 層攻擊的 50％ 以上：

此期間也發生了一些規模最大的攻擊。Cloudflare 評估的最大攻擊類別是那些規模超過 100 Gbps 的攻擊。在 2020 年第 2 季的所有 100+ Gbps 攻擊中，63％ 發生在 5 月。與第 1 季相比，大型攻擊顯著增多。

2020 年第二季的大部份攻擊規模較小，但這不一定是好事

衡量 DDoS 攻擊規模有多種不同的方法。一種方法是測量傳送的流量大小，以位元速率為單位 (即，每秒千兆位元)。另一種是測量傳送的封包數，以封包速率為單位 (即，每秒封包數)。高位元速率的攻擊會嘗試使網際網路連結飽和，而高封包速率的攻擊則會使路由器或其他嵌入式硬體裝置不堪負荷。

在 4 月、5 月和 6 月，一半以上攻擊傳送的流量低於 1 Gbps，近 90％ 攻擊低於 10 Gbps。（這一趨勢與 2020 年第 1 季的攻擊一致，其中 92％ 的攻擊低於 10Gbps。）

同樣，所有攻擊中約有 76％ 的封包速率低於 1 百萬 pps，這是相對較低的閾值。

美國是遭受第 3/4 層 DDoS 攻擊最多的國家

如果按國家劃分，查看第 3/4 層 DDoS 的攻擊分佈情況，美國的資料中心受到的攻擊次數最多 (22.6%)，其次是德國 (4.4%)、加拿大 (2.8%) 和英國 (2.7%)。

組織應當如何回應：

根據這些趨勢，我們可以得出以下結論。我們也提供有關如何回應的建議：

• 在 Covid-19 疫情全面爆發時，攻擊者似乎加大了第 3/4 層 DDoS 活動的力度。

  鑒於疫情預計仍將持續一段時間，組織應確保其第 3/4 層基礎設施做好長期防禦 DDoS 攻擊的準備。

• 較小型攻擊仍會造成問題。

  位元速率低於 10 Gbps 的攻擊仍然能夠弄垮一個缺乏適當保護的網站，封包速率較低的攻擊亦是如此。組織應投資於能抵禦多種規模攻擊的保護措施。

• 小規模的攻擊可能是更廣泛戰略的序幕

  在這種策略中，攻擊者向公司勒索贖金以換取其網際網路設備不遭破壞，或者旨在分散安全性團隊的注意力，以便其發起另外的攻擊。組織應確保能監控其基礎設施以防各種規模的攻擊，而非僅針對使伺服器完全癱瘓的大型攻擊。

• 攻擊源頭分散於世界各地。

  組織應投資於一次性檢查和清理來自世界各地多點的所有流量。

要應對所有這些挑戰，基於雲端的大型網路是唯一真正可行的解決方案。基於雲端的網路將 DDoS 保護置於網路邊緣的單一控制面上，以盡可能在接近源頭的位置封鎖分散式攻擊，從而保證原始伺服器的安全，不論其位於內部部署還是在雲端。這個網路的規模足夠大，能將攻擊流量分散到龐大的網路表面上，進而避免任何一個資料中心受到衝擊並導致效能下降。

這些發現來源於 Cloudflare 網路，該網路橫跨 100 多個國家/地區的 200 多個城市，每天封鎖超過 720 億次網路威脅。由於我們在 DDoS 威脅環境中具有獨特的 360 度視野，Cloudflare 能從這些無孔不入、不斷變化的攻擊中收集到海量資料。Cloudflare 網路不斷從每次攻擊中學習，同時自動共享情報以挫敗下一次攻擊。這還為您的整個企業提供強大的 DDoS 安全防護，但不會導致網路和應用程式效能下降。

Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章，本文為其一。