2020年Cloudflare比以往任何時候都更加依賴在線服務。在家辦公的員工，不同年齡和年級的學生都在網上上課，不過，網絡安全的重要性也慢慢地凸顯出來了。因此，不足為奇的是，在2020年第一季度(2020年1月1日至2020年3月31日)，攻擊次數肯定有所增加。

在2020年第二季度(2020年4月1日至2020年6月30日)，這種DDoS攻擊增加的趨勢一直持續甚至在增加：

• 與今年前三個月相比，觀察到的L3 / 4 DDoS攻擊次數翻了一番;
• 大規模的L3 / 4 DDoS攻擊大大增加;Cloudflare觀察到部署了更多的攻擊媒介，并且攻擊在地理位置上更加分散;
• 第二季度全球L3 / 4 DDoS攻擊次數翻了一番。

Gatebot是Cloudflare的主要DDoS保護系統，它會自動檢測并緩解DDoS攻擊。全球DDoS攻擊是Cloudflare在多個數據中心中觀察到的攻擊，這些攻擊通常是由使用數萬至數百萬個僵尸程序的攻擊者產生的。

Gatebot在第二季度檢測到并緩解的全球L3 / 4 DDoS攻擊總數比上一季度增長了一倍，在Cloudflare的第一季度DDoS報告中，Cloudflare報告了攻擊次數和規模激增。2020年全球所有DDoS攻擊中有超過66%發生在第二季度(增長了近100%)。 5月是2020年上半年最繁忙的月份，其次是6月和4月。三分之一的L3 / 4 DDoS攻擊發生在5月。

實際上，在所有峰值超過100 Gbps的L3 / 4 DDoS攻擊中，有63%發生在5月。隨著新冠疫情在5月份在全球范圍內的蔓延，攻擊者也更加猖狂了。

隨著大型攻擊規模的擴大，小型攻擊繼續占主導地位

DDoS攻擊的強度與它的大小相等，淹沒鏈路以壓倒目標的數據包或比特率的實際數量。“大型”DDoS攻擊指的是在互聯網流量很高時達到峰值的攻擊。速率可以用數據包或比特率來衡量。高比特率的攻擊試圖使網絡鏈接飽和，而高數據包速率的攻擊則會使路由器或其他嵌入式硬件設備不堪重負。

與第一季度類似，就Cloudflare的網絡規模而言，Cloudflare在第二季度觀察到的大多數L3 / 4 DDoS攻擊也相對較小。在第二季度，Cloudflare看到的所有L3 / 4 DDoS攻擊中將近90%的峰值低于10 Gbps。如果不受基于云的DDoS緩解服務的保護，峰值低于10 Gbps的小型攻擊仍然很容易導致世界上大多數網站和網絡中斷。

同樣，從數據包速率的角度來看，第二季度所有L3 / 4 DDoS攻擊中有76%的峰值達到每秒100萬個數據包(pps)。通常，1 Gbps以太網接口可以提供80k到1.5M的pps。假設該接口還可以提供合法流量，并且大多數組織的接口都少于1 Gbps，那么你可以看到，即使這些“小”數據包速率DDoS攻擊也可以輕松地破壞網絡屬性。

就持續時間而言，83%的攻擊持續時間在30至60分鐘之間。Cloudflare在第一季度看到了類似的趨勢，其中79%的攻擊屬于同一持續時間范圍。這似乎持續時間很短，但是可以想象這是你的安全團隊和攻擊者之間的30至60分鐘的網絡戰。現在看來還不算短，此外，如果DDoS攻擊造成中斷或服務降級，則重新啟動設備和重新啟動服務的恢復時間會更長。

本季度，從數據包速率和比特率方面。Cloudflare看到越來越多的大規模攻擊。實際上，2020年所有峰值超過100 Gbps的DDoS攻擊中，有88%是在3月就地庇護所生效后發起的。同樣，五月不僅是攻擊次數最多的最繁忙的月份，而且是超過100 Gbps的大型攻擊次數最多的月份。

從數據包的角度來看，6月以7.54億pps的驚人攻擊率遙遙領先。除了該攻擊，整個季度的最大數據包速率幾乎保持一致，約為2億個pps。

Cloudflare自動檢測并緩解了7.54億pps的攻擊，這次攻擊是為期4天的攻擊的一部分，該攻擊從6月18日持續到21日。作為攻擊的一部分，來自31.6萬個IP地址的攻擊流量以一個Cloudflare IP地址為目標。

Cloudflare的DDoS保護系統會自動檢測并緩解攻擊，并且由于Cloudflare網絡的規模和全球覆蓋范圍，因此對性能沒有影響。當緩解大型攻擊以便能夠吸收攻擊流量并緩解源頭附近的攻擊時，同時還繼續為合法客戶流量提供服務而不會引起延遲或服務中斷，那么全球互連網絡至關重要。

美國成為攻擊的重災區

當Cloudflare查看按國家劃分的L3 / 4 DDoS攻擊分布時，在美國的數據中心受到的攻擊次數最多(22.6%)，其次是德國(4.4%)，加拿大(2.7%)和英國(2.6 %)。

但是，當Cloudflare查看每個Cloudflare數據中心緩解的攻擊字節總數時，美國仍然領先(34.9%)，其次是香港(6.6%)，俄羅斯(6.5%)，德國(4.5%)和哥倫比亞( 3.7%)。發生此更改的原因是由于每次攻擊產生的帶寬總量。例如，雖然由于在香港發現的攻擊次數相對較少(1.8%)而未進入前十名，但這些攻擊的次數巨大，并且產生了大量的攻擊流量。

在分析L3 / 4 DDoS攻擊時，Cloudflare按Cloudflare邊緣數據中心位置而不是按源IP的位置對流量進行分類。原因是當攻擊者發起L3 / 4攻擊時，他們可以“欺騙”(更改)源IP地址，以掩蓋攻擊源。如果要基于欺騙性的源IP找到對應的國家，則將得到一個欺騙性的國家。 Cloudflare能夠通過在觀察到攻擊的Cloudflare數據中心的位置顯示攻擊數據，從而克服欺騙IP的問題。由于Cloudflare在全球200多個城市設有數據中心，因此Cloudflare能夠在報告中進行準確的分析。

第二季度所有L3 / 4 DDoS攻擊中有57%是 SYN Flood

SYN Flood (SYN Flood ) 是種典型的DoS (Denial of Service,拒絕服務) 攻擊。效果就是服務器TCP連接資源耗盡,停止響應正常的TCP連接請求。

攻擊媒介是用于描述攻擊方法的術語，在第二季度，Cloudflare觀察到攻擊者在L3 / 4 DDoS攻擊中使用的媒介次數有所增加。第二季度共使用了39種不同類型的攻擊媒介，而第一季度共使用了34種。 SYN Flood 占了絕大多數，份額超過57%，其次是RST(13%)，UDP(7%)，CLDAP(6%)和SSDP(3%)攻擊。

SYN Flood攻擊旨在利用TCP連接的握手過程，通過重復發送帶有同步標志(SYN)的初始連接請求數據包，攻擊者試圖淹沒跟蹤TCP連接狀態的路由器連接表。路由器以包含同步確認標志(SYN-ACK)的數據包進行答復，為每個給定的連接分配一定次數的內存，并錯誤地等待客戶端以最終確認(ACK)進行響應。如果有足夠次數的SYN占用路由器的內存，則路由器將無法為合法客戶端分配更多的內存，從而導致拒絕服務。

無論攻擊源是什么，Cloudflare都會使用3種保護方法(包括Cloudflare自定義的DDoS保護系統)自動檢測并緩解有狀態或無狀態DDoS攻擊：

• Gatebot：Cloudflare的集中式DDoS防護系統，用于檢測和緩解全球分布的批量DDoS攻擊。 Gatebot在Cloudflare網絡的核心數據中心中運行，它從Cloudflare每個邊緣數據中心接收樣本，對其進行分析，并在檢測到攻擊時自動發送緩解指令。Gatebot還同步到Cloudflare每個客戶的Web服務器，以識別其運行狀況并相應地觸發給用戶自定義的保護。
• dosd(拒絕服務守護程序)：Cloudflare的分散式DDoS保護系統。 dosd在全球每個Cloudflare數據中心的每臺服務器中自主運行，分析流量并在需要時應用本地緩解規則。除了能夠以超快的速度檢測和緩解攻擊外，dosd還通過將檢測和緩解功能委托給邊緣數據中心來顯著提高Cloudflare的網絡防護能力。
• flowtrackd(flow tracking daemon，流量跟蹤守護程序)：Cloudflare的TCP狀態跟蹤機，用于檢測和緩解單向路由拓撲中最隨機、最復雜的基于TCP的DDoS攻擊。flowtrackd能夠識別TCP連接的狀態，然后刪除、質詢或速率限制不屬于合法連接的數據包。

除了Cloudflare的自動化DDoS保護系統之外，Cloudflare還可以生成實時威脅情報，以自動緩解攻擊。此外，Cloudflare還為其客戶提供防火墻、速率限制和其他工具，以進一步自定義和優化其保護。

Cloudflare針對 DDoS的緩解措施

隨著企業和個人互聯網使用的不斷發展，DDoS策略也將隨之改變。Cloudflare保護網站、應用程序和整個網絡免受任何規模、種類或復雜程度的DDoS攻擊。

Cloudflare的客戶和行業分析師推薦Cloudflare的綜合解決方案的原因主要有以下三個：

• 網絡規模：Cloudflare的37個Tbps網絡可以輕松阻止任何規模、類型或復雜程度的攻擊。
• 緩解時間：Cloudflare在全球范圍內在10秒內緩解大多數網絡層攻擊，并且在預先配置靜態規則時立即緩解(0秒)。Cloudflare可以以最小的延遲緩解源頭附近的攻擊。在某些情況下，流量甚至比通過公共網絡更快。
• 威脅情報：Cloudflare的DDoS緩解措施由威脅情報提供支持，該情報利用了超過2700萬個網絡屬性。此外，威脅情報已集成到面向客戶的防火墻和工具中，以增強Cloudflare的客戶的能力。

本文翻譯自：https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q2-2020/