威胁报告 CloudflareDDoS 2023年第二季度 内容 3摘要 4报告要点 4被称为“DarknetParliament”(暗网议会)的黑客联盟正在行动 5低流量、高度随机化的HTTPDDoS攻击 6DNS洗钱DDoS攻击 7“Startblast”:利用Mitel漏洞进行DDoS攻击 8高性能僵尸网络的持续崛起 9主要DDoS趋势——2023年第一季度 10整体流量变化 11受攻击最多的国家/地区 13DDoS攻击的行业和地区差异 14建议和关键要点 摘要 形势,提供相关深入分析和趋势。 欢报告迎。阅本读报C告lo根ud据fla2r0e2针3年对第20二2季3年度在4月C至lou6d月fla推re出全的球季网度络分中布观式察拒到绝的服D务D(oDSD威oS胁) 2攻0击23浪年潮第。二季度的特点是在多个方面发动了精心策划、量身定制和持续不断的DDoS 在方互HT联T网P网层站,我的们攻检击测行到动亲非俄常黑活客跃组,并织且R低Ev流il、量K、il高ln度et随和机A化no的nyDmDoouSs攻Su击d数an量对有西所增手加段——。在3过2去%的的一D个Do季S度攻里击,针基对于DDNNSS协的议D。D在oSU攻DP击层已,经我成们为观最察常到见有的利D用D我oS们攻在击2攻0击22。年3月披露的zero-day漏洞(CVE-2022-26143,TP240PhoneHome)进行的 环境中确保服务的连续性。 除进了行具了体细的分攻。最击后活,动我之们外将,介我绍们如还何对主应动用加程强序安和全网性络,层以攻便击在趋不势断以发及展行的业D和D地oS区威变胁化本报告的交互式版本可在CloudflareRadar上查看。 报告要点 被称为“DarknetParliament”(暗网议会)的黑客联盟正在行动 6起月来1组4成日“,D黑a客rk组ne织tPKairllinaemt、e以nt及”(再暗次网活议跃会的)。REvil和AnonymousSudan宣布会联合他备系们统宣和称会SW对I西FT方网金络融(体环系球实银施行“金大融规电模信”协网会络)攻。击,目标包括西方的银行、美国联邦储 在我本们在季度这,次暗活网动议中会已对经受发c现lo的ud针fl对ar我e保们护客的户网的站攻发击起,银了行多和达金10融,0服00务次网D站D仅oS是攻第击九。大然受而攻,击根最据 多的行业。我们的系统一直在自动检测和缓解与此活动相关的攻击。 在2023年第二季度,Killnet、REvil和AnonymousSudan对各行业发起了10,000次攻击 180万个请求/秒 160万个请求/秒 140万个请求/秒 攻击量 120万个请求/秒 100万个请求/秒 80万个请求/秒 60万个请求/秒 40万个请求/秒 20万个请求/秒 6/206/21 6/226/236/246/256/266/276/286/296/307/017/027/037/047/05 日期 低流量、高度随机化的HTTPDDoS攻击 攻击有所增加。这种策略过去主要是资金雄厚的政府黑客在使用。 H资T产T,P如DD网o站S和攻击AP是I网通关过。超在文过本去传的输几协个议月(里HT,T我P们)发观动察的到D低D容oS量攻、高击。度其随目机标化是的HHTTTTPP互D联Do网S 机化。 这来攻些攻克击缓背解后系的统威。在胁某行些为情者况似下乎,通他过们非在常用准户确代地理灵和活J模A3仿指用纹户等的各浏种览属器性行中为引,特入了意高设度计的攻随击以下为此类攻击的一个示例。每种不同的颜色代表一个不同的随机化特征。 低容量、高度随机化的HTTPDDoS攻击随时间发生的HTTP流量变化 1.5万个请求/秒 1.4万个请求/秒 1.3万个请求/秒 1.2万个请求/秒 流量 1.1万个请求/秒1万个请求/秒9千个请求/秒8千个请求/秒7千个请求/秒6千个请求/秒5千个请求/秒4千个请求/秒3千个请求/秒2千个请求/秒1千个请求/秒 0个请求/秒21:42:1521:42:2021:42:2521:42:3021:42:3521:42:4021:42:4521:42:5021:42:5521:43:00 时间 DNS洗钱DDoS攻击 在DD过oS去攻的击一针个对季D度N里S,协基议于。域DN名S系的统DD(DoNSS攻)相击当已于经互成联为网最的常电见话的簿D。DDoNSS攻帮击助手将段对——人类32友%好的的网通站过中地断址(D例NS如服w务w器w,.c攻lo击ud者fla可re以.c影om响)机转器换连为接对到机网器站友的好能的力I,P并地以址此(例来让如用10户4.无16法.1访24问.9网6)站。。 量伪装成好的合法流量的过程。这就类似于让“赃款”合法的洗钱过程。 一器种的组令人织担带忧来且严增峻长的迅挑速战的。D攻N击S是洗钱DN攻S击洗是钱通攻过击信。誉这良种好攻的击递可归能会DN给S运解行析自器有将权不威良D的N恶S意服流务 在是随DN机S的洗,钱在攻这击种中攻,击威中胁使参用与的者次将数查绝询不由会受超害过者一D次N或S服两务次器。由管于理这的种域随的机子性域,。递定归义子DN域S的服前务缀器将器受永到远大不量会有查缓询存的的轰响炸应,直,需到要无将法查提询供转合发法到查受询害,甚者至的完权全威崩D溃NS。服务器。然后,权威DNS服务 最誉良近好遭的受递这归种攻DN击S的服受务害器者,中如包Go括o一gle家的亚8洲.8大.8型.8金和融Cl机ou构fl和are一的家1北.1美.1.D1N。受S提攻供击商的。域来是源有包效括的信,且所有必查须询为。合区法分查合询法提查供询服与务恶。意因查此询,D相N当S管困理难员。无法封锁攻击来源,也不能阻止前往受攻击域的 DNS洗钱DDoS攻击的攻击链 攻击发者送向大开量放随的机解的析 DNS查询 Cl1o.u1d.1fl.a1re 开放询的转发解给析原器始将 服务器 G8.o8o.8g.l8e 不堪重负 随机子域示例 4L.e2v.e2l.32 versiecfh6e0r7u5nagf1ss5e1r2vai4ce.example.com hotegli-0k3inabg.example.com 原大量始的服查务询器而因 exDaNmSp服le务.c器om “Startblast”:利用Mitel漏洞进行DDoS攻击 DDoS攻击中增长最为迅猛。 统中发现了这一漏洞,它会使系统暴露于UDP放大DDoS攻击。 在261U4D3P,T层P,24我0P们h观on察eH到o有m攻e)击。我利们用与了我Inf们oS在ec20社2区2年的成3月员披一露起的,在zeMroit-edlaMyiC漏o洞lla(bC商VE务-2电02话2-系活攻击动都名是称“针S对taIrTtb和la服st务”源提自供同商名,而的非调游试戏命行令,业该。命在令过对去利的用一此个漏季洞度至中,关这重种要攻。击我类们型发在现网大络多层数 2023年第二季度各行业遭受的Starblast攻击活动 40% 30% 账户的百分比 20% 10% IT和服务提供商 游戏 计算机软件 零售 游戏与博彩 银行和金融服务 VoIP 互联网 计算机网络 网站设计与管理 电信 安全和调查 工业 主机提供商 金融服务 航空公司/航天业 0% 行业 高性能僵尸网络的持续崛起 正DN如AC的lo演u变dfl。a基re于的虚2拟02机3的年第DD一o季S度僵尸DD网o络S时趋代势已报经告到中来所,述随,之我而们来将的继是续超见证大容僵量尸网的络D(IoDTo)S设攻备击,。这这使些其僵攻尸击网能络力由强虚大拟得机多(,V高M)达或5虚00拟0专倍用。服务器(VPS)组成,而不是物联网 我们尚未看到进一步的超大容量攻击(达到2023年第一季度和之前的规模)。 C看lo到u初dfl步ar成e果正:在这与些知僵名尸的网云络计的算重提要供组商成积部极分合已作经,共丧同失打作击用这。自些2新0型23僵年尸第网二络季。度我以们来已,经 我其他们一的般目标服是务实提现供自商动加化入并C进lou一d步fla扩re大的这B种ot合ne作t。Th我re们a要tF求ee云d。计算提供商、托管提供商和这络的对攻提击供,商有是助免于费我的们,合并力且瓦我解们僵不尸会网将络数。据出售给第三方。这可以了解来自提供商自有网 基于IoT的僵尸网络攻击基于VPS的僵尸网络攻击 IoT设备 提云供计商算 Cloudflare|DDoS趋势报告-2023年第二季度9 主要DDoS趋势——2023年第二季度 报告的以下部分将介绍有关攻击目标的主要趋势。 整体流量变化 网络犯罪分子更加困难和痛苦。 与Clo去u年dfl同ar期e相也比希,望2能02够3年继前续保6个持月这应种用逐程年序下层降和的网趋络势层,因D为DoCSlo攻u击dfl分ar别e下和降信了息安35全%社和区1会4%让。 值我得们注需意时的刻是严,阵我以们待确!实看到2023年第二季度的应用程序层DDoS攻击比去年同期增加了15%。总度体网而络言层,DHDToTSP攻D击Do减S少攻了击约同1比4%下。降了35%,但环比增长了15%。此外,与上一季度相比,本季 各季度HTTPDDoS攻击流量 6.5万亿 5.4万亿 4.7万亿 +15% 87.5万亿 HTTPDDoS攻击请求(万亿) 6 4 2 02022Q3 2022Q4 季度2023Q12023Q2 userid:414195,docid:148684,date:2023-12-17,sgpjbg.com 受攻击最多的国家/地区 使其排名下降到第四位。 上新占个据季首度位,我,新们加报坡告和了加以拿色大列的是网受站应分用别程位序居层第D二D和oS第攻三击。针最对多以的色国列家网。本站的季攻度击,美减国少的了网33站%重, 0.116% 0.061%0.061% 0.046% 0.020%0.020% 0.016% 0.009% 0.007% 0.006% 应用程序层DDoS全攻球击整体——流量按占比目标国家/地区分布 0.12% 0.1% 占总体流量的百分比 0.08% 0.06% 0.04% 0.02% 0% 美国新加坡 加拿大 以色列 俄罗斯联邦越南 中国大陆 尼印西度亚 奥地利挪威 目标国家/地区 美应国用受程到序的应层用D程D序o层SD攻Do击S增攻击加是2第倍二名国家的两倍 在超巴过勒1斯0坦%与圣基茨和尼维斯的全部应用程序层流量中,DDoS攻击流量占比超过10% 十个国家和地区之列。 在网网络络的层流,量中中国,再三次分之成二为的网字络节层携DD带oDSD攻o击S攻最击多流的量国。家而。且在我20们23已年经第看二到个,季在度多,个前季往度中中国,流DD向oS中攻国击的流恶量意的流独量特份态额势都在如第此二之季高度。已20经23平年息第。一芬季兰度已中经,退芬出兰了网遭络受中D8D3o%S的攻字击节最携多带的前 64.6% 46.9% 25.2% 18.7% 12.6% 11.8% 8.5% 6.8% 6.6% 6.5% 70% 网络层DDoS攻每击个——国家流按量目占比标国家/地区分布 60% 50% 整体流量百分比 40% 30% 20% 10% 0% 中国大陆瑞士 土耳其巴西 丹麦新加坡 萨尔瓦多 台中湾国省 特中别国行澳政门区 拉脱维亚 目标国家/地区 DDoS攻击的行业和地区差异 在网站20的23H年TT第P二请季求度中中,,每加1密万货个币就网有站6成个为属H于T这TP些D攻D击oS。攻这击比流上量一最季大度的增目长标了。6前00往%加。密货币游增长戏了和博19彩%网。市站场排营名销第和二广,与告网20站23紧年随第其一后季,度排相名比第,三该,行攻业击在流量20占23比年变第化二甚季微度。的攻击份额 不DD幸o的S攻是击,非,在营各利行组