2020 年第四季度的DDoS攻擊趨勢在許多方面一反常態。Cloudflare觀察到大型DDoS攻擊數量增加，為 2020 年期間首次。具體而言，超過 500Mbps 和 50K pps的攻擊數量大幅上升。

　　此外，攻擊手段也在不斷變化，基于協議的攻擊相當于上一季度的 3-10 倍。攻擊時間也比以往更長，在 10 月至 12 月期間觀察到的所有攻擊中，近 9% 的攻擊持續時間超過 24 小時。

　　以下是 2020 年第四季度其他值得注意的觀察結果，下文將進行更詳細的探討。

　　• 攻擊數量：第四季度觀察到的攻擊總數與上一季度相比有所下降，這是 2020 年的第一次。

　　• 攻擊持續時間：在觀察到的所有攻擊中，73% 的攻擊持續時間不到 1 小時，這與第三季度的 88％相比有所下降。

　　• 攻擊手段：盡管 SYN、ACK 和 RST 洪水仍然是主要的攻擊手段，但基于 NetBIOS 的攻擊增長了驚人的 5400％，其次是基于 ISAKMP 和 SPSS 的攻擊。

　　• 全球 DDoS 活動：我們位于毛里求斯、羅馬尼亞和文萊的數據中心記錄的 DDoS 活動（相對于非攻擊流量）的百分比最高。

　　• 其他攻擊策略：DDoS勒索（RDDoS）攻擊繼續瞄準世界各地的組織，犯罪團伙嘗試通過 DDoS 攻擊威脅來獲得比特幣形式的贖金。

　　攻擊數量

　　我們觀察到網絡層DDoS攻擊總數與上一季度相比有所下降，這是 2020 年的第一次。2020 年第四季度的攻擊數量占全年的 15%，相比之下，第三季度占 48%。實際上，僅與 9 月相比，第四季度的攻擊總數就銳減了 60％。按月來看，12 月是第四季度中攻擊者最活躍的月份。

　　攻擊速率

　　衡量 L3/4 DDoS攻擊規模有不同的方法。一種方法是攻擊產生的流量大小，即比特率（以每秒千兆比特 Gbps 為單位）。另一種是攻擊產生的數據包數，即數據包速率（以每秒數據包數pps為單位）。高比特率的攻擊試圖使目標的最后一英里網絡鏈接飽和，而高數據包速率的攻擊則試圖使路由器或其他內聯硬件設備不堪重負。

　　在第四季度，與前幾個季度一樣，大多數攻擊的規模都很小。具體而言，大多低于 1 Gbps 和 1 Mpps。這種趨勢并不奇怪，因為大多數攻擊都是由業余攻擊者發起的，他們使用的工具都很簡單，最多只需要幾美元。另外，小規模攻擊也可能作為煙幕，用于分散安全團隊對其他類型網絡攻擊的注意，或者用于測試網絡的現有防御機制。

　　然而，小規模攻擊總體上常見并未反映第四季度的全部情況。與前幾個季度相比，超過 500 Mbps 和 50 K pps的攻擊占總攻擊數的比例更高。實際上，與第三季度相比，超過 100 Gbps 的攻擊數量增加了 9倍，超過 10 Mpps 的攻擊數量增加了 2.6 倍。

　　Cloudflare觀察到一次獨特的大型攻擊是 ACK 洪水 DoS 攻擊，我們的系統自動檢測并緩解了這次攻擊。這次攻擊的獨特之處不在于數據包速率最大，而是其攻擊方式似乎借鑒于聲學領域。

　　無論是數據包密集型攻擊還是比特密集型攻擊，大型DDoS攻擊數量的增加都是令人不安的趨勢。這表明攻擊者變得愈加肆無忌憚，并在使用讓他們可以發起更大型攻擊的工具。更糟糕的是，較大型攻擊往往不僅影響到目標網絡，還會影響為目標網絡下游提供服務的中間服務提供商。

　　攻擊持續時間

　　在 2020 年第四季度，73％的攻擊持續時間不到 1 小時。另一方面，近 9％的攻擊持續時間超過 24 小時，相比之下，2020 年第三季度僅為 1.5%。這種增長使得更有必要采用實時和始終開啟的防御系統，以防止各種規模和持續時間的攻擊。

　　攻擊手段

　　攻擊手段是用于描述攻擊方式的術語。最常見的方式是 SYN 洪水攻擊，占第三季度觀察到的所有攻擊的近 42％，其次是 ACK、RST 和基于 UDP 的 DDoS 攻擊。這與前幾個季度觀察到的情況相對一致。但是，ACK 攻擊數量從第三季度時的第 9 位躍升至第 2 位，比上一季度增加了 12 倍，取代了 RST 攻擊的第 2 位。

　　主要新型威脅

　　盡管 SYN 和 RST 洪水等基于 TCP 的攻擊仍然流行，但針對特定 UDP 協議的攻擊（如基于 NetBIOS 和 ISAKMP 的 DDoS 攻擊）與上一季度相比呈爆發式增長。

　　NetBIOS 是一種協議，允許不同計算機上的應用程序通過局域網進行通信和訪問共享資源；ISAKMP 也是一種協議，用于在設置 IPsec VPN 連接時建立安全關聯（SA）和加密密鑰（IPsec 使用互聯網密鑰交換（IKE）協議確保安全連接，并對通過互聯網協議（IP）網絡發送的數據包進行身份驗證和加密）。

　　Cloudflare 繼續觀察到攻擊者采用基于協議的攻擊，甚至是多手段攻擊來嘗試使網絡癱瘓。隨著攻擊復雜性不斷提高，我們需要采取足夠的DDoS保護措施，以確保組織始終保持安全和在線狀態。

　　全球DDoS攻擊活動

　　為了了解這些攻擊的來源，我們查看接收這些流量的Cloudflare邊緣網絡數據中心，而不是源 IP 的地址。原因何在？在發動 L3/4 攻擊時，攻擊者可以偽造源 IP 地址，以掩蓋攻擊來源。

　　在本報告中，我們還將某個Cloudflare數據中心觀察到的攻擊流量與同一數據中心觀察到的非攻擊流量進行對比，以了解地域分布情況。這使我們能夠更準確地確定那些觀察到更多威脅的地理位置。由于在全球 100 多個國家/地區的 200 多個城市設有數據中心，我們能夠在報告中提供準確的地理位置信息。

　　在第四季度的指標中，有一些耐人尋味之處：在我們位于毛里求斯、羅馬尼亞和文萊的數據中心，所記錄的攻擊流量相對于非攻擊流量的百分比最高。具體而言，在這些國家/地區的所有流量中，有 4.4％至 4.9％來自 DDoS 攻擊。換句話說，每 100 字節中有近 5 字節屬于攻擊流量。這些觀察結果表明，以上國家/地區的僵尸網絡活動有所增加。

　　這些國家/地區DDoS攻擊發生率相對較高的可能原因是什么呢？雖然不可能確定，但對于上述兩個攻擊流量占比最高的國家/地區來說，原因可能如下：毛里求斯：2020 年 8 月，一艘載有近 4,000 噸燃油的貨船船體破裂后，毛里求斯宣布進入環境緊急狀態。漏油事件引發了反政府抗議活動，民眾強烈要求總理辭職。在那之后，政府兩次暫停舉行議會，還被指壓制報道此事的當地媒體和獨立人士。即使到了 5 個月后，隨著一系列人權丑聞曝光，抗議活動仍在繼續。毛里求斯以上事件可能與DDoS活動的增加有關。

　　羅馬尼亞：羅馬尼亞境內DDoS攻擊活動的增加可能源于兩起事件。第一起事件是，羅馬尼亞最近舉行了議會選舉，選舉已于 2020 年 12 月 6 日結束。第二起事件是，歐盟于 12 月 9 日宣布，羅馬尼亞將設立新的網絡安全研究中心，即歐洲網絡安全工業、技術和研究能力中心（ECCC）。另一個可能的解釋是，羅馬尼亞是擁有世界上最便宜的超高速寬帶網絡，使攻擊者更容易從羅馬尼亞境內發動容量耗盡攻擊。

　　各地區的DDoS活動

　　非洲

　　亞太地區和大洋洲

　　歐洲

　　中東

　　北美

　　南美

　　美國

　　勒索攻擊繼續困擾著各種組織

　　在我們上一份季度DDoS報告中，我們指出全球敲詐勒索 DDoS（RDDoS）攻擊有所增加。在RDDoS攻擊中，惡意攻擊者向個人或組織發出威脅，除非他們支付贖金，否則就會發動網絡攻擊來使其網絡、網站或應用程序斷線一定時間。您可以從此處閱讀有關RDDoS攻擊的更多內容。

　　在 2020 年第四季度，這種令人不安的趨勢依然存在。各種規模的組織向Cloudflare尋求幫助，讓我們在他們考慮如何回應勒索信的同時，使其網絡基礎設施保持在線。閱讀本文，了解一家《財富》世界 500 強公司在收到勒索信時如何應對，以及該公司給其他組織的建議。

　　Cloudflare繼續密切關注這一趨勢。當您收到威脅時：

　　1. 不要驚慌失措。建議您不要支付贖金：支付贖金只會助長不良行為者的氣焰，并且為不法活動提供資金。而且，無法保證攻擊者不會依然攻擊您的網絡。

　　2. 通知當地執法機構：他們也可能會要求您提供所收到的勒索信。

　　3. 聯系Cloudflare：我們可以幫助您的網站和網絡基礎設施防范這些勒索攻擊。

　　Cloudflare DDoS 防護

　　Cloudflare提供全面的 L3-L7 DDoS 保護。2017 年，我們率先取消了針對 DDoS 攻擊的行業標準激增定價，為客戶提供不計量和無限的DDoS保護。自那時以來，我們吸引了數以千計各種規模的客戶，其中包括 Wikimedia、Panasonic 和 Discord，這些組織都依賴 Cloudflare 保護并加速其互聯網資產。他們選擇 Cloudflare 的三大原因：

　　1.不設清洗中心

　　Cloudflare并不運營清洗中心，因為我們認為清洗中心模式是一種有缺陷的 DDoS 保護措施。清洗中心的構建和運行成本高昂，并導致延遲。而且，DDoS攻擊是非對稱的，攻擊者的可用帶寬遠遠超過單個清洗中心的處理能力。

　　Cloudflare的網絡架構使每個數據中心的每臺機器都可以執行DDoS緩解。在邊緣進行緩解是在不影響性能的前提下實現大規模防護的唯一方法�；�于 Anycast 的架構使我們的容量等同于我們的 DDoS 清洗能力，達到 51 Tbps，在市場中居第一位。這意味著Cloudflare在接近源頭的位置檢測并緩解DDoS攻擊。錦上添花的是，Cloudflare 的全球威脅情報就如同互聯網的免疫系統一樣，利用我們的機器學習模型，在針對任何客戶發動的攻擊中學習并進行緩解，從而保護所有客戶。

　　2. 速度至關重要

　　大多數組織都處于從本地遷移到云端的某個階段。威脅環境、功能需求和業務應用程序的規模正在以前所未有的速度發展，而即使是最先進的企業，網絡攻擊的數量和復雜性也已經使其防御能力倍感壓力。在采用云服務時，許多企業所關心的一個問題是應用程序延遲增加。大多數基于云的 DDoS 保護服務都依賴專門的數據中心（即“清洗中心”）來緩解DDoS攻擊。視乎與目標服務器的相對位置，將流量回傳到這些數據中心可能會大幅增加延遲。

　　組織對不同網絡功能使用不同供應商時，問題會更為嚴重。如果流量必須在提供商之間跳躍，延遲可能達到數百毫秒。

　　Cloudflare 地理分布式網絡確保全球范圍內檢測和緩解攻擊的平均時間不超過 3 秒，在業界處于領先地位。

　　3. 不止于 DDoS 攻擊

　　DDoS 攻擊只是各種組織目前所面臨的諸多網絡威脅之一。隨著企業轉向零信任方式，網絡和安全性買家將面臨更大規模的網絡訪問相關威脅，機器人攻擊的頻率和復雜性也會持續激增。

　　Cloudflare構建產品時的一個關鍵設計原則是集成。Cloudflare One 解決方案采用零信任安全模型，為公司提供保護設備、數據和應用程序的更佳手段，并與我們現有的安全性平臺和DDoS解決方案深度集成。

　　如需進一步了解 Cloudflare 的DDoS解決方案，請聯系我們。您也可以馬上注冊并在儀表板上開始使用。