上周,由超过 13,000 台受感染的物联网设备组成的 Mirai 僵尸网络发起了创纪录的 5.6 Tbps 分布式拒绝服务 (DDoS) 攻击。
这次超短、超大流量的攻击仅持续了 80 秒,在此期间,它向东亚的一家互联网服务提供商喷涌了大量流量。Cloudflare表示,其自主分布式防御系统成功地实时缓解了这次攻击,无需人工干预,也没有任何明显的中断。
“检测和缓解完全自主……[它]没有触发任何警报,也没有导致任何性能下降。系统按预期运行,”Cloudflare 表示。
虽然此次攻击的总威力高达 5.6 Tbps,但涉及的 13,000 台物联网设备中的每一台都平均每秒为此次洪流贡献了略高于 1 Gbps 的速度。
物联网设备继续为僵尸网络攻击提供动力
物联网漏洞再次成为僵尸网络发动大规模网络攻击的核心。受感染的设备可能利用默认凭证或未打补丁的固件,共同造成了这一创纪录的恶意流量洪流。
这一最新事件加剧了人们对许多物联网设备固有缺乏安全性的担忧,甚至表面上无害的设备也被纳入庞大的恶意僵尸网络。
这次攻击并不是一个平静季度中的孤立事件。据 Cloudflare 称,2024 年第四季度,超大容量 DDoS 攻击(超过 1 Tbps)急剧增加,环比增长 1,885%。每秒超过 1 亿个数据包(pps)的 DDoS 攻击也大幅增加,环比增长 175%,其中 16% 超过了 10 亿个 pps 的天文数字阈值。
Cloudflare 报告称,虽然大多数(93%)网络层攻击规模相对较小,低于 500 Mbps,但最近由物联网僵尸网络引发的超大容量攻击的强大威力已经为整个行业敲响了警钟。
使挑战更加复杂的是许多现代攻击的时间都很短暂。
“91% 的网络层 DDoS 攻击在十分钟内结束。只有 2% 的攻击会持续一个多小时,”Cloudflare 解释道。“由于大多数攻击的持续时间很短,在大多数情况下,人类无法响应警报、分析流量并采取缓解措施。”
DDoS 攻击的全球起源
Cloudflare 的报告与上一季度的调查结果一致,报告显示,印度尼西亚继续位居全球 DDoS 攻击最大来源国之首。香港和新加坡分别位列第二和第三,反映出攻击来源地的显著区域转移。
对于 HTTP DDoS 攻击,可以通过检查受感染设备的具体 IP 地址来确定地理来源,因为这些 IP 地址无法被伪造。然而,对于网络层攻击,Cloudflare 依靠其遍布全球的数据中心(遍布全球 330 多个城市)的位置来拦截和缓解攻击流量。这确保了准确的归因,即使面对 IP 欺骗等技术也是如此。
在接受调查时,Cloudflare 的目标客户绝大多数承认他们不确定谁是攻击的幕后黑手。然而,在那些指认攻击者的人中,40% 的人将竞争对手列为罪魁祸首,这表明工业破坏趋势令人担忧。
17% 的案件涉及国家或国家支持的行为者,而心怀不满的个人(无论是客户还是前员工)也占了相似的比例。值得注意的是,14% 的客户将勒索者归咎于勒索者,这反映出勒索驱动的“RDoS”(勒索拒绝服务)攻击的威胁正在上升。
受到攻击的国家和行业
根据 Cloudflare 目标客户的账单地址位置,中国再次成为受攻击最多的国家。然而,2024 年第四季度出现了令人惊讶的新人:菲律宾首次位居第二,台湾跃升 7 位,位居第三。
从行业来看,“电信、服务提供商和运营商”板块成为最受关注的行业。它取代了银行和金融服务业,后者从 2024 年第三季度的榜首位置下降了 7 位,降至本季度的第八位。
与此同时,“互联网和营销与广告”行业位列遭受攻击的前三位,这证明攻击在日益多样化的垂直领域持续扩散。
防御策略必须随着 DDoS 威胁而发展
最新一连串的超大容量攻击为物联网和网络安全的未来发展提供了重要教训。尽管绝大多数攻击规模较小且持续时间较短,但其强度和规模不断增加,以及前所未有的分布式来源(来自不安全的物联网设备)表明,如果不采取行动,前景将一片黯淡。
物联网设备制造商必须承担起责任,从执行更严格的安全标准到确保定期修补漏洞,以避免其设备成为 Mirai 及其变体等僵尸网络的一部分。同样,组织需要采用分层的内联 DDoS 缓解解决方案,这些解决方案可以自动阻止即使是最精心策划的攻击,也不会冒运营中断的风险。
对于严重依赖数字化业务的行业来说,措手不及所带来的财务和声誉风险几乎是无法估量的。随着 DDoS 攻击从竞争领域的工业破坏演变为地缘政治冲突的工具,企业必须以同等和相反的防御演变来应对。
