2020年,Cloudflare比以往任何时候都更加依赖在线服务。随着员工在家办公以及各个年龄段和年级的学生在线上课,网络安全的重要性逐渐凸显出来。因此,2020年第一季度(2020年1月1日至2020年3月31日),攻击次数肯定增加也就不足为奇了。这种DDoS攻击增加的趋势在2020年Q2(2020年4月1日至2020年6月30日)持续甚至增加:观察到L3/4DDoS攻击数量翻了一番;大规模L3/4DDoS攻击明显增加;Cloudflare观察到部署了更多的攻击媒介,并且攻击在地理上更加分散;全球L3/4DDoS攻击的数量在第二季度翻了一番。Gatebot是Cloudflare的主要DDoS防护系统,可自动检测和缓解DDoS攻击。全球DDoS攻击是Cloudflare在多个数据中心观察到的攻击,通常是攻击者使用数万到数百万个机器人。Gatebot在第二季度检测到并缓解的全球L3/4DDoS攻击总数比上一季度翻了一番,在Cloudflare的第一季度DDoS报告中,Cloudflare报告称攻击的数量和规模激增。2020年全球所有DDoS攻击中,超过66%发生在第二季度(增长近100%)。5月是2020年上半年最繁忙的月份,其次是6月和4月。三分之一的L3/4DDoS攻击发生在5月。事实上,峰值超过100Gbps的所有L3/4DDoS攻击中有63%发生在5月。随着5月新冠疫情在全球蔓延,袭击者更加猖獗。随着大规模攻击的规模扩大,小型攻击继续占据主导地位。DDoS攻击的威力与其规模、数据包的实际数量或淹没链接以淹没目标的比特率一样强大。“大型”DDoS攻击是在互联网流量高时达到顶峰的攻击。速率可以用数据包或比特率来衡量。高比特率攻击试图使网络链路饱和,而高数据包率攻击则淹没路由器或其他嵌入式硬件设备。与第一季度类似,考虑到Cloudflare网络的规模,Cloudflare在第二季度观察到的大多数L3/4DDoS攻击也相对较小。在第二季度,Cloudflare发现的所有L3/4DDoS攻击中近90%的峰值低于10Gbps。如果没有基于云的DDoS缓解服务的保护,峰值低于10Gbps的小型攻击仍然可以轻松摧毁世界上大多数网站和网络。同样,从数据包速率的角度来看,76%的L3/4DDoS攻击在第二季度达到每秒100万个数据包(pps)的峰值。通常,1Gbps以太网接口可以提供80k到1.5Mpps。假设该接口也可以为合法流量提供服务,并且大多数组织的接口都低于1Gbps,那么您可以看到,即使是这些“小”数据包速率DDoS攻击也可以轻松破坏网络属性。就持续时间而言,83%的攻击持续了30到60分钟。Cloudflare在第一季度看到了类似的趋势,79%的攻击发生在同一持续时间内。这看似持续时间很短,但可以将其想象成您的安全团队与攻击者之间进行的30到60分钟的网络战。现在看来这时间不短,而且,如果DDoS攻击导致中断或服务降级,重启设备和重启服务的恢复时间可能会更长。在第二季度,Cloudflare在数据包速率和比特率方面遭受了本季度Cloudflare网络上最大的DDoS攻击。Cloudflare正面临越来越多的大规模攻击。事实上,在2020年所有峰值超过100Gbps的DDoS攻击中,有88%是在3月份就地避难所生效后发起的。同样,5月不仅是攻击次数最多的最繁忙月份,也是超过100Gbps的大型攻击次数最多的月份。从数据包的角度来看,6月以令人印象深刻的7.54亿pps的攻击率领先。除了那次攻击之外,最大数据包速率在整个季度几乎保持不变,约为2亿pps。Cloudflare自动检测并缓解了7.54亿pps的攻击,这是6月18日至21日持续4天的攻击的一部分。作为攻击的一部分,来自316,000个IP地址的攻击流量以一个CloudflareIP地址为目标。Cloudflare的DDoS保护系统自动检测和缓解攻击,并且由于Cloudflare网络的规模和全球覆盖范围,不会对性能产生影响。全球互连网络在缓解大型攻击时至关重要,这样它们就可以吸收攻击流量并在源头附近缓解攻击,同时还能继续为合法客户流量提供服务,而不会造成延迟或服务中断。美国受到的攻击最严重当Cloudflare按国家/地区查看L3/4DDoS攻击的分布时,美国的数据中心受到的攻击最多(22.6%),其次是德国(4.4%)、加拿大(2.7%)和英国(2.6%)。然而,当Cloudflare查看每个Cloudflare数据中心减轻的攻击字节总数时,美国仍然领先(34.9%),其次是香港(6.6%)、俄罗斯(6.5%)、德国(4.5%)和哥伦比亚(3.7%))。这种变化的原因是由于每次攻击产生的带宽量。例如,虽然香港由于检测到的攻击数量相对较少(1.8%)而没有进入前十,但这些攻击的数量巨大,产生了大量的攻击流量。在分析L3/4DDoS攻击时,Cloudflare按Cloudflare边缘数据中心位置而不是源IP位置对流量进行分类。原因是当攻击者发起L3/4攻击时,他们可以“欺骗”(改变)源IP地址以伪装攻击源。如果根据伪造的源IP找到对应的国家,就会得到一个伪造的国家。Cloudflare能够通过在观察到攻击的Cloudflare数据中心位置显示攻击数据来克服欺骗IP的问题。由于Cloudflare在全球200多个城市拥有数据中心,因此Cloudflare能够在报告中提供准确的分析。第二季度所有L3/4DDoS攻击中有57%是同步泛洪SYN泛洪(SYNFlood)是典型的DoS(DenialofService,拒绝服务)攻击。效果是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。攻击向量是一个用于描述攻击方法的术语,在第二季度,Cloudflare观察到攻击者在L3/4DDoS攻击中使用的向量数量有所增加。第二季度总共使用了39种不同类型的攻击向量,而第一季度为34种。SYNFlood占绝大多数,份额超过57%,其次是RST(13%)、UDP(7%)、CLDAP(6%)和SSDP(3%)攻击。SYNFlood攻击旨在利用TCP连接的握手过程。通过重复发送带有同步标志(SYN)的初始连接请求数据包,攻击者试图淹没跟踪TCP连接状态的路由器连接表。路由器回复一个包含同步确认标志(SYN-ACK)的数据包,为每个给定连接分配一定次数的内存,并错误地等待客户端以最终确认(ACK)响应。如果足够多的SYN占用了路由器的内存,路由器将无法为合法客户端分配更多内存,从而导致拒绝服务。无论攻击来源如何,Cloudflare使用3种保护方法自动检测和缓解有状态或无状态DDoS攻击,包括Cloudflare的自定义DDoS保护系统:Gatebot:Cloudflare的集中式DDoS保护系统,用于检测和缓解全球分布式批量DDoS攻击。Gatebot运行在Cloudflare网络的核心数据中心,它从Cloudflare的每个边缘数据中心接收样本,对其进行分析,并在检测到攻击时自动发送缓解指令。Gatebot还同步到每个Cloudflare客户的Web服务器以识别其健康状况并相应地触发用户定义的保护。dosd(拒绝服务守护进程):Cloudflare的去中心化DDoS保护系统。dosd在全球每个Cloudflare数据中心的每台服务器中自主运行,分析流量并在需要时应用本地缓解规则。除了能够以闪电般的速度检测和缓解攻击外,dosd还通过将检测和缓解功能委托给边缘数据中心,显着增强了Cloudflare的网络防御能力。flowtrackd(流跟踪守护进程,流跟踪守护进程):Cloudflare的TCP状态跟踪机,用于检测和缓解单向路由拓扑中最随机和最复杂的基于TCP的DDoS攻击。flowtrackd能够识别TCP连接的状态,然后丢弃、挑战或限制不属于合法连接的数据包。除了Cloudflare的自动化DDoS保护系统外,Cloudflare还可以生成实时威胁情报以自动缓解攻击。此外,Cloudflare还为其客户提供防火墙、速率限制和其他工具,以进一步定制和优化他们的保护。Cloudflare的DDoS缓解措施随着企业和个人互联网使用的不断发展,DDoS策略也会发生变化。Cloudflare保护网站、应用程序和整个网络免受任何规模、种类或复杂程度的DDoS攻击。Cloudflare的客户和行业分析师推荐Cloudflare的综合解决方案主要有以下三个原因:网络规模:Cloudflare的37Tbps网络可以轻松阻止任何规模、类型或复杂程度的攻击。缓解时间:Cloudflare在全球10秒内缓解了大多数网络层攻击,并且在预配置静态规则时立即(0秒)。Cloudflare可以在源头附近以最小的延迟缓解攻击。在某些情况下,流量甚至比通过公共网络更快。威胁情报:Cloudflare的DDoS缓解措施由利用超过2700万个网络属性的威胁情报提供支持。此外,威胁情报已集成到面向客户的防火墙和工具中,以增强Cloudflare客户的能力。本文翻译自:https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q2-2020/
