2020 年第一季,網際網路流量和網路層 DDoS 攻擊出現激增。全球各地實施居家隔離政策後,網際網路使遠距工作成為可能,也為社群聯絡、線上教育和購物、個人社交媒體、以及送餐或遊戲等基於網路的服務提供保障。一些國家或地區的網路流量增加了多達 50%。隨著線上活動增加,網路層的 DDoS 攻擊也有所增多。每當網路活動攀升時,DDoS 攻擊者就會聞風而動。他們知道,網際網路使用 率越高,線上業務的每分鐘收入就越高。
在使用高峰時段,企業損失會大幅增高,因此攻擊者更有的動力發動 DDoS 攻擊。據 ITC (資訊技術產業委員會) 估計,服務中斷的平均成本為 5600 美元/分鐘。這表示,如今一次成功的 DDoS 攻擊造成的中斷能給企業帶來高達 33.6 萬美元/小時的損失。由於中斷代價不斷提高,一些組織可能更願意向 DDoS 攻擊者支付贖金,以換取網路基礎設施或 Web 資產恢復正常運作。
按位元速率衡量,我們在 2020 年第一季觀察到的網路層攻擊大多是小規模。92% 的攻擊不到 10 Gbps,而這個比例在 2019 年第四季為 84%。就封包速率而言,大多數攻擊的峰值都低於 100 萬 pps。從這個速率和位元速率來看,這段時間的攻擊者將其精力和資源集中在產生小規模攻擊上。
除了封包速率和位元速率,攻擊持續時間也有所縮短。在 2020 年第一季,79% 的 DDoS 持續 30 到 60 分鐘,而一些攻擊可持續數日甚至數月。這聽起來是好消息,其實不然。有關攻擊變得更小、更短的趨勢,一個理論是,現在發動 DDoS 攻擊比以往更容易、成本更低。確實,分散式阻斷服務攻擊現在作為一種服務提供。根據 Kaspersky 的資料,在網際網路的黑暗角落,一次 5 分鐘攻擊的成本可能低至 5 美元。
儘管 2020 年第一季觀察到的大部份攻擊低於 10 Gbps,較大規模攻擊依然普遍存在。本季觀察到的最大規模攻擊出現於 3 月,峰值位元速率超過 550 Gbps。自 3 月中起,Cloudflare 注意到針對大型企業的較大規模 DDoS 攻擊有所抬頭。這些攻擊可能是國家行為者、駭客分子或以勒索為目的的網路犯罪分子所為,旨在對員工遠距工作的企業進行破壞。其他攻擊者可能企圖在困難時期利用存在漏洞的公用事業,如電網和石油業務。
DDoS 攻擊中,每天每 IP 使用的平均攻擊手段數穩定在 1.4 左右。據觀察,每天每 IP 受到的最大攻擊手段數為 10。在上一季,我們在第 3 和第 4 層 (L3/4) 觀察到超過 32 種不同類型的攻擊手段。在第一季,ACK (確認訊號) 攻擊佔大部份 (55.8%),其次為 SYN (同步請求) 攻擊,佔 14.4%,第三則是 Mirai (機器人網路惡意軟體),所佔比例依然相當高 (13.5%)。總體而言,SYN 與 ACK DDoS 攻擊在第一季第 3/4 層攻擊手段總數中所佔比例超過 70%。
全球網際網路使用量的增加正在激勵更多 DDoS 攻擊
攻擊變得更小、更短,可能因為發動的成本更低、更容易
針對大型企業的較大規模攻擊依然普遍
隨著 DDoS 攻擊變得更加普遍,全球每一個線上實體都需要發展一種安全狀態,確保其網路、應用程式和網站安全、快速和可靠。我們已經看到短短一小時的阻斷服務能帶來多大的潛在收入損失。
那麼,在這個萬物互聯的時代,企業必須迅速區分合法流量與惡意流量,實現上述目標最具成本效益的方法是什麼呢?
緩解 DDoS 攻擊的一個辦法是,在內部的網路邊界使用硬體設備掃描和篩選流量。這種方法有個缺點,上述較短攻擊要求 10 秒或更短的快速緩解手段,許多傳統服務商提供的緩解時間服務 SLA 卻長達 15 分鐘。
其他 DDoS 緩解方法包括將網路流量路由到清理中心,從合法流量中篩選掉惡意流量。但鑒於很多 DDoS 攻擊限於局部,清理中心並非可行的解決方案,因為清理中心數量有限且位置分散,而流量必須路由到清理中心才能進行處理,從而形成「堵塞點」。
要應對如今複雜的 DDoS 攻擊,基於雲端的網路是唯一真正可行的防禦手段。基於雲端的網路將 DDoS 保護置於網路邊緣的單一控制面上,以盡可能在接近源頭的位置封鎖分散式攻擊,進而保證原始伺服器的安全,不論其位於內部部署還是在雲端。此類統一的大規模網路保護能夠從每一次攻擊中持續學習,並自動分享情報以挫敗下一次攻擊。這種方法還會為企 業提供強大的 DDoS 安全防護,而不會降低網路和應用程式效能並對收入造成不利影響。
這些發現來源於 Cloudflare 網路,該網路橫跨 100 多個國家/地區的 200 多個城市,每天封鎖超過 760 億次網路威脅。由於我們在 DDoS 威脅環境中具有獨特的 360 度視野,Cloudflare 能從這些無孔不入、不斷變化的攻擊中收集到海量資料。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。