安全是有分量的

DDOS高防服务_ddos高防ip阿里云_解决方案

2021-10-14 10:06栏目:应用

DDOS高防服务_ddos高防ip阿里云_解决方案

DDoS攻击的频率和复杂性都在激增。在从第一季度到第二季度翻了一番之后,第三季度观察到的网络层攻击总数再次翻了一番,导致数量比第一季度新冠病毒爆发前的水平增加了4倍。Cloudflare还发现部署的攻击向量比以往任何时候都多——事实上,虽然SYN、RST和UDP洪水继续占据主导地位,但我们看到协议特定的攻击如MDN、Memcached、,和Jenkins DoS攻击。

以下是我们在第三季度观察到的其他关键网络层DDoS趋势:

大多数攻击速度低于500 Mbps和1 Mbps-这两种攻击仍然足以造成服务中断我们继续看到大多数攻击持续时间低于1小时赎金驱动的DDoS攻击(RDDoS)随着自称是"花式熊"、"舒适熊"和"拉扎勒斯集团"的组织在世界各地勒索组织,这些组织的数量正在上升。截至撰写本文时,赎金运动仍在进行中。请参阅下面的特别说明。

攻击数量

我们在网络上观察到的L3/4 DDoS攻击总数继续大幅增加,如下图所示。总的来说,今年第三季度发生的攻击超过56%——是第二季度的两倍,是第一季度的四倍。此外,本季度每月的攻击次数有所增加。

虽然9月份的攻击次数最多,但8月份的攻击次数最多(超过500个基点)。第三季度91%的大型攻击发生在该月,而其他攻击规模的月分布更为均匀。

虽然9月份200-300 Gbps之间的攻击总数有所减少,但第三季度我们的网络上出现了更多的全球攻击。这表明分布式僵尸网络用于发起攻击的使用正在增加。事实上,在7月初,Cloudflare见证了我们网络上有史以来最大规模的攻击之一——由基于Mirai的僵尸网络Moobot发起。攻击峰值为654 Gbps,源于18705个唯一的IP地址,防御ddos限制端口,每个地址都被认为是感染了Moobot的物联网设备。攻击活动持续了近10天,但客户受到Cloudflare的保护,因此他们没有观察到停机或服务降级。

攻击规模(比特率和数据包率)

测量L3/4 DDoS攻击的规模有不同的方法。一个是它提供的流量,以比特率(特别是每秒千兆比特)来衡量。另一个是它传递的数据包的数量,以数据包速率(特别是每秒的数据包)来衡量。高比特率攻击试图使互联网链路饱和,而高数据包率攻击试图压倒路由器或其他在线硬件设备。

在第3季度,我们观察到的大多数攻击规模较小。事实上,超过87%的攻击速度低于1 Gbps。这与第二季度相比有了显著的增长,当时大约52%的攻击规模如此之小。请注意,即使是低于500 Mbps的"小型"攻击,也足以对未受基于云的DDoS保护服务保护的互联网财产造成严重破坏。许多组织的ISP提供的上行链路远低于1 Gbps。假设其面向公众的网络接口也服务于合法流量,您可以看到,即使是这些"小型"DDoS攻击也可以轻松破坏互联网属性。

这一趋势适用于攻击数据包速率。在第三季度,47%的攻击低于50k pps-相比之下,第二季度只有19%。

较小的攻击可能表明业余攻击者可能是攻击的幕后黑手-使用易于获得的工具在暴露的IP/网络上生成攻击。或者,小型攻击可能会成为烟幕,分散安全团队对可能同时发生的其他类型网络攻击的注意力。

攻击持续时间

就长度而言,在第三季度观察到的最常见的攻击类型是极短攻击,维盟路由器ddos防御设置,占所有攻击的近88%。这一观察结果与我们之前的报告一致-一般来说,第3/4层DDoS攻击持续时间越来越短。

短突发攻击可能试图在未被DDoS检测系统检测到的情况下造成损害。依靠手动分析和缓解的DDoS服务可能无法抵御这些类型的攻击,因为在分析员识别攻击流量之前,这些攻击已经结束。

或者,可以使用短攻击来探测目标的网络防御。负载测试工具和自动化DDOS工具,在黑暗网络上广泛使用,可以产生短脉冲串,例如SYN洪水,然后用另一个攻击向量跟踪另一个短攻击。这使得攻击者在决定以更高的速率和更长的持续时间发动更大规模的攻击之前,能够了解其目标的安全态势,这是有代价的。

在其他情况下,攻击者生成小型DDoS攻击,以证明并警告目标组织攻击者有能力在以后造成真正的伤害。之后通常会向目标组织发出赎金通知,要求支付,以避免遭受可能更彻底地破坏网络基础设施的攻击。

无论其动机如何,任何规模或持续时间的DDoS攻击都不会很快消失。即使是短暂的DDoS攻击也会造成伤害,而建立自动实时防御机制对任何在线业务都至关重要。

攻击向量

SYN洪水占第三季度观察到的所有攻击的近65%,其次是RST洪水和UDP洪水,排名第二和第三。这与上个季度的观察结果相对一致,突出了攻击者选择的DDoS攻击向量。然而,像SYN和RST洪水这样的基于TCP的攻击仍然很流行,开发防御ddos,UDP协议特定攻击(例如,MNS、MeMcCurk和詹金斯)比前一季度的多播DNS(MNS)爆炸。是一种基于UDP的协议,在本地网络中用于服务/设备发现。易受攻击的mDNS服务器响应源自本地网络之外的单播查询,这些查询使用受害者的源地址进行"欺骗"(更改)。这会导致放大攻击。在第三季度,免费国内高防cdn,我们注意到MDN攻击的爆炸性增长——具体而言,与上一季度相比,我们看到了2680%的增长。