2020年第1季度网络层DDoS攻击趋势

随着2020年第一季度的结束，我们开始了解DDoS攻击趋势是否以及如何在这一史无前例的全球避难所到位的时间内发生了变化。从那时起，许多国家的流量水平增加了50%以上，但DDoS攻击是否也增加了？

假日期间经常观察到交通量增加。节假日期间，人们可能会花更多的时间在网上；无论是购物、点餐、玩网络游戏还是其他无数的在线活动。这种更高的使用率转化为提供各种在线服务的公司每分钟的收入更高。

在这些高峰期停机或服务质量下降可能会导致用户流失，并在非常短的时间内损失大量收入。ITIC估计，停机的平均成本为每分钟5600美元，据此推算，每小时的成本远远超过30万美元。因此，攻击者利用这个机会，在假日期间发动更多的DDoS攻击也就不足为奇了。

目前的大流行也有类似的因果关系。人们被迫呆在家里。他们变得更加依赖在线服务来完成日常任务，这导致了互联网流量和DDoS攻击的激增。

根据比特率衡量，我们在2020年第一季度观察到的大多数攻击都相对较小。如下图所示，2020年第一季度，92%的攻击低于10 Gbps，而2019年第四季度为84%。

深入研究，可以观察到与上一季度相比，第一季度10Gbps以下的攻击分布发生了有趣的变化。在第四季度，47%的网络层DDoS攻击峰值低于500 Mbps，而在第一季度，这一比例上升到64%。

从数据包速率的角度来看，大多数攻击的峰值都低于每秒100万个数据包(PPS)。这个速率和他们的比特率一起表明，攻击者不再集中精力和资源来生成高速率泛洪--每秒比特或数据包。

然而，不仅是数据包和比特率在下降，攻击持续时间也在下降。下图显示，第一季度79%的DDoS攻击持续时间在30到60分钟之间，而第四季度为60%，增长了19%。

发起DDoS攻击成本低廉，不需要太多技术背景。DDoS即服务工具为几乎没有技术专业知识的不良行为者提供了一条可能的途径，可以快速、轻松、经济高效地以有限的带宽发动DDoS攻击。根据卡巴斯基的说法，DDoS攻击服务300秒(5分钟)的攻击成本可以低至5美元。此外，业余攻击者还可以轻松地利用免费工具生成大量数据包。正如我们将在下一节中看到的，第一季度所有DDoS攻击中有13.5%是使用公开可用的Mirai代码的变体生成的。

虽然10Gbps以下的攻击可能看起来很小，但仍然足以影响保护不足的互联网财产。规模更小、速度更快的攻击可能会为攻击者提供高ROI，以勒索公司的赎金，而不是不破坏互联网财产的可用性。

虽然大多数攻击都在10Gbps以下，但更大的攻击仍然很普遍。下图显示了Cloudflare在2019年第四季度和2020年第一季度观察到并缓解的网络层DDoS攻击的最大比特率趋势。本季度最大的攻击发生在3月份，峰值略高于550Gbps。

持之以恒的攻击者是在攻击失败时不会放弃的人；他们会一次又一次地尝试。他们对他们的目标发动多次攻击，通常利用多个攻击载体。在2019年Q4假日季，攻击者坚持不懈，一天内针对单个Cloudflare IP发起了多达523次DDoS攻击。每个被攻击的Cloudflare IP平均每天被攻击多达4.6次DDoS攻击。

在第一季度，随着世界进入冠状病毒封锁，我们观察到与月平均相比，攻击数量显著增加。我们上一次看到这样的增长是在2019年第四季度假期。然而，一个有趣的不同之处在于，现在的攻击者似乎没有节日期间那么顽强。在2020年第一季度，平均持久率降至每个Cloudflare IP地址每天2.2次攻击，单个IP最多遭受311次攻击；比上一个假日季度减少了40%。

在过去两个季度中，每个IP每天用于DDoS攻击的平均攻击矢量数量基本稳定在1.4左右，最多为10个。

在过去的一个季度里，我们在L3/4上看到了超过34种不同类型的攻击载体。在第一季度，ACK攻击占大多数(50.1%)，其次是SYN攻击(16.6%)，排在第三位的是Mirai，它仍然占攻击的很大一部分(15.4%)。在第一季度，SYN&；ACK DDoS攻击(TCP)合计占所有L3/4攻击向量的66%。

与1月和2月相比，2020年3月的DDoS攻击数量有所增加。攻击者发现危机期是发动更多DDoS攻击的好时机，如下所示。

此外，随着各政府当局开始强制封锁和就地避难命令，袭击者在3月下半月诉诸于增加大规模袭击的数量。与上半月(三月一日至十五日)相比，下半月(三月十六日至三十一日)观察到的袭击事件增加了百分之五十五。此外，94%的峰值为300-400 Gbps的攻击是在3月份发起的。

随着DDoS环境的不断变化，拥有全面且自适应的DDoS保护解决方案非常重要。在上面说明的攻击洞察力的背景下，以下是Cloudflare如何在这些转变之前保持领先，以保护我们的客户。

随着攻击速度和持续时间的缩短，传统供应商提供的长达15分钟的时间来缓解SLA已不切实际。CloudFlare在大多数情况下可以将网络层DDoS攻击缓解到10秒以内，这对于越来越短的攻击尤为关键。了解有关我们的DDoS检测和缓解系统的最新增强功能的更多信息，这些增强功能使我们能够快速快速地大规模自动检测和缓解DDoS攻击。

越来越多的DDoS攻击是本地化的，这意味着采用擦洗中心方法的传统DDoS解决方案不是一个可行的解决方案，因为它们的全球覆盖范围有限，并且是一个瓶颈，因为需要从它们来回传输DDoS流量。CloudFlare独特的分布式架构支持其遍布全球200个城市的每个数据中心，以提供全面的DDoS缓解功能。

大规模分布式体积攻击仍然存在，当机会充裕时，足智多谋的攻击者会利用这些攻击。未来预计会有超过1Tbps的攻击，因此缓解大型DDoS攻击的能力是当今DDoS解决方案的一个关键方面。CloudFlare拥有世界上互联程度最高的网络之一，容量超过35 Tbps，即使是最大的DDoS攻击也能缓解。伴随着全球分布式架构的巨大网络容量使Cloudflare能够减轻更接近源头的大大小小的攻击。

DDoS冠状病毒动态