创纪录的 DDoS 攻击峰值达到 5.6 Tbps,表明网络威胁日益严重
分布式拒绝服务 (DDoS) 攻击已达到前所未有的水平,Cloudflare 在 2024 年底阻止了创纪录的 5.6 Tbps 攻击。这次惊人的攻击凸显了 DDoS 威胁的规模和复杂性不断增长,仅去年一年,其频率就激增了 53%。
Table of Contents
DDoS 频率和数量激增
根据 Cloudflare 最新的DDoS 威胁报告,过去的一年,DDoS 活动急剧增加,无论是数量还是攻击频率都是如此:
- 2024 年阻止的 DDoS 攻击为 2130 万次,高于 2023 年的 1400 万次,增幅为 53%。
- 全年平均每小时发生 4,870 次 DDoS 攻击。
- 每个季度的攻击次数稳步上升,从第二季度的 400 万次增加到第四季度的近 700 万次。
这种激增归因于僵尸网络的不断发展和 DDoS 租赁服务的日益普及,这使得攻击者能够以前所未有的规模发动超大容量攻击活动。
数据解析:第四季度 DDoS 形势
HTTP 与网络层攻击
2024 年第四季度,Cloudflare 观察到攻击趋势发生了变化,HTTP DDoS 攻击超过了第 3 层/第 4 层(网络层)攻击:
- HTTP DDoS 攻击:350 万起。
- 第 3 层/第 4 层攻击:340 万起事件。
HTTP DDoS 攻击(第 7 层)通常涉及僵尸网络冒充合法浏览器(11%)或使用可疑 HTTP 属性(10%)。值得注意的是,92% 的此类攻击利用了 HTTPS 流量,这使得它们更难检测和缓解。
网络层 DDoS 趋势
在网络层攻击中,SYN 洪水 (38%)、DNS 洪水 (16%) 和 UDP 洪水 (14%) 是最普遍的攻击载体。Mirai 僵尸网络占这些攻击的 6%,显示出它们对 DDoS 格局的持续影响。
史上最大规模 DDoS 攻击
2024 年 DDoS 活动的顶峰是一次 5.6 Tbps UDP 洪水攻击,由 Mirai 变体僵尸网络针对东亚的一家互联网服务提供商发起。这次攻击:
- 源自 13,000 个唯一 IP 地址,每个地址贡献约 1 Gbps。
- 持续了 80 秒,但展示了能够破坏甚至强大的基础设施的超大容量能力。
此次攻击打破了之前 3.8 Tbps 的记录,凸显了现代僵尸网络产生大量流量峰值的能力不断增强。
全球威胁:来源与目标
Cloudflare 的报告确定了攻击来源和目标的主要地理趋势:
- 主要 DDoS 来源:印度尼西亚、香港和新加坡。
- 受攻击最多的国家:中国、菲律宾和台湾。
受灾最严重的行业包括电信、互联网服务和营销公司。这些行业仍然是高价值目标,因为它们依赖不间断的网络可用性。
超大容量攻击:一种上升趋势
该报告还强调了超大容量 DDoS 攻击的惊人增长。仅在第四季度,Cloudflare 就观察到:
- 420 次超大容量网络层攻击,环比增长高达 1,885%。
- 虽然 93% 的网络层攻击速度低于 500 Mbps,但超过 1 Tbps 的攻击数量却不断增加,这显示出攻击者快速升级的能力。
攻击持续时间:DDoS 攻击持续多长时间?
大多数 DDoS 攻击都是短暂的,但影响却很大:
- 72% 的 HTTP DDoS 攻击持续时间少于 10 分钟,只有 11% 的攻击持续时间超过 24 小时。
- 91%的网络层攻击也在10分钟内结束。
这种简洁性反映了攻击者专注于在最短的时间内实现最大程度的破坏,在缓解措施完全部署之前压倒性地防御。
加强对创纪录 DDoS 攻击的防御
5.6 Tbps 攻击等超大容量攻击的兴起需要采取主动、多层的防御策略。Cloudflare 建议采取以下措施:
1.高级 DDoS 缓解服务
- 采用能够处理大量流量高峰并过滤恶意流量而不影响合法用户的服务。
2. HTTPS 检查和过滤
- 由于大多数 HTTP DDoS 攻击使用 HTTPS,因此组织应部署高级 TLS 终止解决方案来检测和阻止恶意流量。
3.网络层强化
- 使用能够减轻 SYN、DNS 和 UDP 洪水攻击的硬件。
- 实施速率限制规则,防止单个 IP 的流量过载。
4.实时监控
- 利用威胁情报和实时分析来检测 DDoS 活动,并在其升级之前做出响应。
行动呼吁
2024 年创纪录的 DDoS 攻击为全球企业和组织敲响了警钟。随着僵尸网络的强大发展和 DDoS 租赁服务的激增,对强大网络防御的需求从未如此迫切。通过采用先进的缓解技术并保持警惕,我们可以保护关键基础设施并减轻这些不断演变的威胁带来的破坏性影响。
