2023年第一季度DDoS威胁报告（上）

欢迎阅读2023年第一份DDoS威胁报告。DDoS攻击，即分布式拒绝服务攻击,是一种网络攻击类型，旨在通过发送超过网站处理能力的流量，使其不堪重负，从而破坏其服务并使合法用户无法访问。本报告中将涵盖在我们的全球网络上观察到的DDoS攻击相关最新洞察和趋势。

2023年初的一系列重大攻击

2023年伊始，威胁行为者就发动了一系列重大攻击。年初出现了一系列针对西方目标（包括银行、机场、医疗和大学）的黑客活动，主要由通过Telegram组织的Killnet以及最近的AnonymousSudan发动。

尽管Killnet和AnonymousSudan领导的网络攻击引起了人们的关注，但我们并没有看到这些组织发起新型或异常大规模的攻击。

超大容量攻击

然而，我们确实看到其他威胁行为者发起的超大容量DDoS攻击有所增加，其中最大的一次攻击峰值每秒7100万个请求（rps）—比之前谷歌4600万rps的世界纪录高出55%。

回到Killnet和AnonymousSudan，尽管没有报道任何值得注意的攻击，但我们不应低估潜在的风险。缺乏保护的互联网资产曾经并仍有可能遭到Killnet或AnonymousSudan领导的网络活动攻击并瘫痪。组织应采取积极的防御措施以降低风险。

依托于Cloudflare的保护，South American Telco遭受TB级攻击后仍能正常运营

第一季度期间，我们观察到另一次达到1.3 Tbps（太比特/秒）的大型DDoS攻击，目标是一家南美洲的电信服务提供商。攻击仅持续了一分钟。该攻击使用了多种手段，包括DNS和UDP攻击流量。该攻击是一个更广泛的网络攻击活动的一部分，其中包括多次TB级攻击，源于一个拥有2万多个Mirai变种节点的僵尸网络。大多数攻击流量来自美国、巴西、日本、香港和印度。Cloudflare系统自动检测并缓解了这次攻击，客户的网络没有受到任何影响。

Cloudflare自动缓解了一次1.3 Tbps的Mirai DDoS攻击

高性能的僵尸网络

超大容量攻击利用新一代的僵尸网络，这些网络由虚拟专用服务器（VPS）组成，而不是物联网（IoT）设备。

过去，大型僵尸网络依赖于易受利用的物联网设备（如智能安全摄像头）来组织其攻击。尽管每个物联网设备的吞吐量有限，但联合起来，通常达到数十万或数百万台，则足以产生足够的流量来破坏其攻击目标。

新一代僵尸网络只需要少量的设备，但每个设备的性能都要高得多。云计算服务提供商提供虚拟专用服务器，使初创公司和企业能够创建高性能的应用程序。缺点是它也允许攻击者创建高性能的僵尸网络，性能高出5000倍之多。攻击者通过攻击未打补丁的服务器和使用泄露的API凭据入侵管理控制台，从而获取虚拟专用服务器的访问权限。

Cloudflare一直在与主流云计算服务提供商合作，打击这种基于VPS的僵尸网络。通过云计算服务提供商的快速响应和不懈努力，此类僵尸网络的大部分已被禁用。自那时以来，我们还没有看到更多超大容量攻击，证明了以上合作卓有成效。

我们与网络安全社区有着良好的合作，一旦我们检测到此类大规模攻击，就会采取行动来摧毁僵尸网络，但我们希望让这个过程变得更简单、更自动化。

我们邀请云计算服务提供商、托管服务提供商和其他服务提供商注册Cloudflare的免费Botnet Threat Feed以获得对从其网络内发起的攻击的可见性，并帮助我们摧毁僵尸网络。

本季度报告的关键洞察

1.在第一季度，16%的受访客户报告遭受了勒索DDoS攻击，相比上一季度保持稳定，但同比增长了60%。

2.非营利组织和广播媒体是遭到最多攻击的两个行业。按攻击流量百分比计算，芬兰是最大的HTTP DDoS攻击来源地，也是网络层DDoS攻击的主要目标。以色列是全球范围内遭受最多HTTP DDoS攻击的国家。

3.大规模容量耗尽型DDoS攻击（超过100 Gbps的攻击）较上季度增长了6%。基于DNS的攻击成为最流行的攻击手段。类似地，我们观察到SPSS攻击、DNS放大攻击和基于GRE的DDoS攻击数量激增。

查看Cloudflare Radar上的交互式报告。

DDoS勒索攻击

DDoS攻击通常是为了勒索赎金而发动的。我们继续对Cloudflare客户进行调查，并跟踪DDoS事件中目标收到勒索信的比例。自2022年以来，这个数字持续上升，目前为16%，与2022年第四季度时相同。

每个季度报告勒索DDoS攻击或威胁的用户百分比如上图所示

勒索软件攻击通常欺骗受害者下载文件或点击电子邮件链接来加密和锁定其计算机文件，与此不同，勒索DDoS攻击执行起来要容易得多。勒索DDoS攻击不需要欺骗受害者打开电子邮件或点击链接，也不需要入侵网络或进入企业的资产。

在勒索DDoS攻击中，攻击者不需要获得受害者计算机的访问权限，只需要向其发送足够大量的流量，以使其网站、DNS服务器和任何其他接入互联网的资产无法使用或性能低下。攻击者将要求被攻击者支付赎金，通常以比特币的形式，以停止和/或避免进一步的攻击。

根据我们的用户报告，2023年1月和2023年3月是勒索勒索DDoS活动达到第二高峰值的月份。到目前为止，最高的月份仍然是2022年11月，期间适逢黑色星期五、感恩节和中国的双11，对威胁行为者而言这是一个有利可图的月份。

每月报告勒索DDoS攻击或威胁的用户百分比

受到攻击的目标区域及所属行业

·受攻击最多的国家/地区

可能与最近的司法改革和反对抗议活动或西岸当前紧张局势有关，在第一季度，以色列跃升为遭受最多HTTP DDoS攻击流量的国家，甚至超过了美国。这是一个惊人的数字：Cloudflare在第一季度处理的所有HTTP流量中，接近1%的流量是针对以色列网站的HTTP DDoS攻击。紧随以色列之后的是美国、加拿大和土耳其。

HTTP DDoS攻击的主要目标国家/地区

（攻击流量占全球总流量的百分比）

就攻击流量占特定国家/地区所有流量的百分比而言，斯洛文尼亚和格鲁吉亚排名最前。到斯洛文尼亚和格鲁吉亚网站的所有流量中，大约20%是HTTP DDoS攻击。接下来是加勒比海小国圣基茨和尼维斯，以及土耳其。虽然以色列在前一张图中排名第一，但在这里，以色列成为受攻击最多的第九个国家，排名高于俄罗斯。与以往季度相比依然很高。

HTTP DDoS攻击的主要目标国家/地区

（攻击流量占该国总流量的百分比）

从网络层DDoS攻击的总流量来看，中国依然位居第一。接近18%的网络层DDoS攻击流量来自中国。紧随其后的是新加坡，占17%，排名第二。美国排名第三，其次是芬兰。

网络层DDoS攻击的主要目标国家/地区

（攻击流量占全球DDoS总流量的百分比）

如果按某个国家/地区遭受的攻击流量占该国所有流量的百分比计算，则芬兰跃升到第一位，可能因为其最近正式成为北约成员国。芬兰的所有流量中，近83%是网络层攻击流量。紧随其后的是中国，占68%，新加坡再次位居第三，占49%。

网络层DDoS攻击的主要目标国家/地区

（攻击流量占该国总流量的百分比）

相关推荐: 亚马逊卖家故事：离职后老板扣押了我2个月工资，我该如何处理？

导言： 以下是一封读者来信。按照读者信中的讲述，因为业绩不理想，自己被老板裁员了，而被裁之后，老板百般推脱不支付自己的工资。读者记录下自己的遭遇并发给我，希望我能够给出建议。 在阅读之后，我给出的建议是，如果读者讲述的都是实情，那我的建议是读者可以通过申请劳动…