1、Cloudflare DDoS 威胁报告2023 年第二季度内容3摘要4报告要点4被称为“Darknet Parliament”（暗网议会）的黑客联盟正在行动5低流量、高度随机化的 HTTP DDoS 攻击6DNS 洗钱 DDoS 攻击7“Startblast”：利用 Mitel 漏洞进行 DDoS 攻击8高性能僵尸网络的持续崛起9主要 DDoS 趋势 2023年第一季度10整体流量变化11受攻击最多的国家/地区13DDoS 攻击的行业和地区差异14建议和关键要点3Cloudflare|DDoS 趋势报告-2023 年第二季度欢迎阅读 Cloudflare 针对 2023 年 4 月至 6 月

2、推出的季度分布式拒绝服务(DDoS)报告。本报告根据 2023 年第二季度在 Cloudflare 全球网络中观察到的 DDoS 威胁形势，提供相关深入分析和趋势。2023 年第二季度的特点是在多个方面发动了精心策划、量身定制和持续不断的 DDoS 攻击浪潮。在 HTTP 层，我们检测到亲俄黑客组织 REvil、Killnet 和 Anonymous Sudan 对西方互联网网站的攻击行动非常活跃，并且低流量、高度随机化的 DDoS 攻击数量有所增加。在过去的一个季度里，基于 DNS 的 DDoS 攻击已经成为最常见的 DDoS 攻击手段32%的 DDoS 攻击针对 DNS 协议。在 UDP

3、层，我们观察到有利用我们在 2022 年 3 月披露的 zero-day 漏洞(CVE-2022-26143,TP240PhoneHome)进行的攻击。除了具体的攻击活动之外，我们还对应用程序和网络层攻击趋势以及行业和地区变化进行了细分。最后，我们将介绍如何主动加强安全性，以便在不断发展的 DDoS 威胁环境中确保服务的连续性。本报告的交互式版本可在 Cloudflare Radar 上查看。摘要4Cloudflare|DDoS 趋势报告-2023 年第二季度报告要点被称为“Darknet Parliament”（暗网议会）的黑客联盟正在行动在本季度，暗网议会对受 cloudflare 保护的

4、网站发起了多达 10,000 次 DDoS 攻击。然而，根据我们在这次活动中已经发现的针对我们客户的攻击，银行和金融服务网站仅是第九大受攻击最多的行业。我们的系统一直在自动检测和缓解与此活动相关的攻击。6 月 14 日，黑客组织 Killnet、以及再次活跃的 REvil 和 Anonymous Sudan 宣布会联合起来组成“Darknet Parliament”（暗网议会）。他们宣称会对西方金融体系实施“大规模”网络攻击，目标包括西方的银行、美国联邦储备系统和 SWIFT 网络（环球银行金融电信协会）。在 2023 年第二季度，Killnet、REvil 和 Anonymous Sudan

5、 对各行业发起了 10,000 次攻击日期攻击量6/206/21180 万个请求/秒160 万个请求/秒140 万个请求/秒120 万个请求/秒100 万个请求/秒80 万个请求/秒60 万个请求/秒40 万个请求/秒20 万个请求/秒6/226/236/246/256/266/276/286/296/307/017/027/037/047/055Cloudflare|DDoS 趋势报告-2023 年第二季度低流量、高度随机化的 HTTP DDoS 攻击HTTP DDoS 攻击是通过超文本传输协议(HTTP)发动的 DDoS 攻击。其目标是 HTTP 互联网资产，如网站和 API 网关。在过去

6、的几个月里，我们观察到低容量、高度随机化的 HTTP DDoS 攻击有所增加。这种策略过去主要是资金雄厚的政府黑客在使用。这些攻击背后的威胁行为者似乎通过非常准确地灵活模仿用户的浏览器行为，特意设计攻击来攻克缓解系统。在某些情况下，他们在用户代理和 JA3 指纹等各种属性中引入了高度的随机化。以下为此类攻击的一个示例。每种不同的颜色代表一个不同的随机化特征。低容量、高度随机化的 HTTP DDoS 攻击随时间发生的 HTTP 流量变化1.5 万个请求/秒1.4 万个请求/秒1.3 万个请求/秒1.2 万个请求/秒1.1 万个请求/秒1 万个请求/秒9 千个请求/秒8 千个请求/秒7 千个请求/