https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標

2024 / 10 / 08
編輯部
Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標
Cloudflare 日前披露成功緩解了一起創紀錄的分散式阻斷服務(DDoS)攻擊。此次攻擊峰值達到每秒 3.8 Tbps,持續時間為 65 秒。
 
Cloudflare 表示,在上個月期間,他們抵禦了「超過一百起大規模的第 3/4 層 DDoS 攻擊,其中許多攻擊超過每秒 20 億Bpps和每秒 3 Tbps」。
 
Cloudflare 指出,這些大規模第 3、4 層 DDoS 攻擊自 2024 年 9 月初以來持續發生,目標包括金融服務、網際網路和電信產業的多個客戶。目前尚未將此活動歸因於任何特定威脅行為者。
 
在此之前,最大規模的 DDoS 攻擊記錄發生於 2021 年 11 月,高峰吞吐量達 3.47 Tbps,目標是微軟 Azure 在亞洲的一個未具名客戶。 這些攻擊利用了固定埠的UDP,洪水般的封包主要來自越南、俄羅斯、巴西、西班牙和美國。受感染的設備包括 MikroTik 裝置、數位視訊錄影機(DVR)和網路伺服器。
 

Cloudflare 表示,這些高位元率攻擊很可能源自一個大型殭屍網路,該網路由受感染的華碩家用路由器組成。這些路由器受到最近披露的一個嚴重漏洞 CVE-2024-3080(CVSS 評分:9.8 )利用。
 
根據攻擊面管理公司 Censys 分享的統計資料,截至 2024 年 6 月 21 日,約有超過 157,000 台華碩路由器型號可能受此漏洞影響。這些設備主要分佈在美國、香港和中國。
 
Cloudflare 指出,此次攻擊活動的最終目標是耗盡目標的網路頻寬和 CPU 週期,從而阻止合法用戶訪問服務。

為了防禦高封包率攻擊,需要能夠以盡可能少的 CPU 週期檢查並丟棄惡意封包,留下足夠的 CPU 來處理正常封包。許多容量不足的雲服務,以及使用本地設備,都無法有效防禦這種規模的 DDoS 攻擊,因為高頻寬利用率可能堵塞網際網路連接,而高封包率可能導致內聯設備崩潰。
 
網路效能監控公司 NETSCOUT 的數據顯示,銀行、金融服務和公共事業是 DDoS 攻擊的熱門目標,過去四年來遭受攻擊的頻率增加了 55%。僅在 2024 年上半年,大規模攻擊就增加了 30%。
 

DDoS 攻擊頻率的激增主要歸因於駭客分子針對全球組織和產業的活動,同時還伴隨著利用 DNS-over-HTTPS(DoH)作為指揮與控制(C2)的手段,以增加檢測的難度。

NETSCOUT 表示,實施分散式殭屍網路 C2 基礎設施的趨勢,利用殭屍程式作為控制節點,進一步增加了防禦的複雜性,因為不僅需要處理和阻擋入站 DDoS 活動,還需要處理受感染系統的出站活動。
 
同時,Akamai 揭露最近披露的 Linux 系統中通用 UNIX 列印系統(CUPS)漏洞可能成為發動 DDoS 攻擊的可行途徑,在幾秒鐘內實現 600 倍的放大效果。
 
Akamai的分析發現,在大約 198,000 台可在公共網際網路上訪問的設備中,超過 58,000 台(34%)可能被用於進行 DDoS 攻擊。
 
研究人員解釋,只要攻擊者將目標地址指定為要添加的印表機時,發送一個精心製作的封包。對於每個發送的封包,易受攻擊的 CUPS 伺服器會生成一個更大的、部分可由攻擊者控制的 IPP/HTTP 請求,並將其指向指定目標。結果不僅目標受到影響,CUPS 伺服器的主機也成為受害者,因為攻擊會消耗其網路頻寬和 CPU 資源。
 
Censys 估計,大約有 7,171 台主機通過 TCP 公開了 CUPS 服務,並易受 CVE-2024-47176 漏洞的影響。他們認為這是一個保守估計,因為透過 UDP 訪問的 CUPS 服務比透過 TCP 訪問的更多。
 
專家建議,如果不需要列印功能,組織應考慮移除 CUPS。但如果 CUPS 服務可從更廣泛的網際網路訪問,則防火牆應設定阻擋相關服務埠(UDP/631)。

本文轉載自thehackernews。