Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標

Cloudflare 日前披露成功緩解了一起創紀錄的分散式阻斷服務(DDoS)攻擊。此次攻擊峰值達到每秒 3.8 Tbps，持續時間為 65 秒。
 
Cloudflare 表示，在上個月期間，他們抵禦了「超過一百起大規模的第 3/4 層 DDoS 攻擊，其中許多攻擊超過每秒 20 億Bpps和每秒 3 Tbps」。
 
Cloudflare 指出，這些大規模第 3、4 層 DDoS 攻擊自 2024 年 9 月初以來持續發生，目標包括金融服務、網際網路和電信產業的多個客戶。目前尚未將此活動歸因於任何特定威脅行為者。
 
在此之前，最大規模的 DDoS 攻擊記錄發生於 2021 年 11 月，高峰吞吐量達 3.47 Tbps，目標是微軟 Azure 在亞洲的一個未具名客戶。 這些攻擊利用了固定埠的UDP，洪水般的封包主要來自越南、俄羅斯、巴西、西班牙和美國。受感染的設備包括 MikroTik 裝置、數位視訊錄影機(DVR)和網路伺服器。
 
Cloudflare 表示，這些高位元率攻擊很可能源自一個大型殭屍網路，該網路由受感染的華碩家用路由器組成。這些路由器受到最近披露的一個嚴重漏洞 CVE-2024-3080(CVSS 評分:9.8 )利用。
 
根據攻擊面管理公司 Censys 分享的統計資料，截至 2024 年 6 月 21 日，約有超過 157,000 台華碩路由器型號可能受此漏洞影響。這些設備主要分佈在美國、香港和中國。
 
Cloudflare 指出，此次攻擊活動的最終目標是耗盡目標的網路頻寬和 CPU 週期，從而阻止合法用戶訪問服務。

為了防禦高封包率攻擊，需要能夠以盡可能少的 CPU 週期檢查並丟棄惡意封包，留下足夠的 CPU 來處理正常封包。許多容量不足的雲服務，以及使用本地設備，都無法有效防禦這種規模的 DDoS 攻擊，因為高頻寬利用率可能堵塞網際網路連接，而高封包率可能導致內聯設備崩潰。
 
網路效能監控公司 NETSCOUT 的數據顯示，銀行、金融服務和公共事業是 DDoS 攻擊的熱門目標，過去四年來遭受攻擊的頻率增加了 55%。僅在 2024 年上半年，大規模攻擊就增加了 30%。
 
DDoS 攻擊頻率的激增主要歸因於駭客分子針對全球組織和產業的活動，同時還伴隨著利用 DNS-over-HTTPS(DoH)作為指揮與控制(C2)的手段，以增加檢測的難度。

NETSCOUT 表示，實施分散式殭屍網路 C2 基礎設施的趨勢，利用殭屍程式作為控制節點，進一步增加了防禦的複雜性，因為不僅需要處理和阻擋入站 DDoS 活動，還需要處理受感染系統的出站活動。
 
同時，Akamai 揭露最近披露的 Linux 系統中通用 UNIX 列印系統(CUPS)漏洞可能成為發動 DDoS 攻擊的可行途徑，在幾秒鐘內實現 600 倍的放大效果。
 
Akamai的分析發現，在大約 198,000 台可在公共網際網路上訪問的設備中，超過 58,000 台(34%)可能被用於進行 DDoS 攻擊。
 
研究人員解釋，只要攻擊者將目標地址指定為要添加的印表機時，發送一個精心製作的封包。對於每個發送的封包，易受攻擊的 CUPS 伺服器會生成一個更大的、部分可由攻擊者控制的 IPP/HTTP 請求，並將其指向指定目標。結果不僅目標受到影響，CUPS 伺服器的主機也成為受害者，因為攻擊會消耗其網路頻寬和 CPU 資源。
 
Censys 估計，大約有 7,171 台主機通過 TCP 公開了 CUPS 服務，並易受 CVE-2024-47176 漏洞的影響。他們認為這是一個保守估計，因為透過 UDP 訪問的 CUPS 服務比透過 TCP 訪問的更多。
 
專家建議，如果不需要列印功能，組織應考慮移除 CUPS。但如果 CUPS 服務可從更廣泛的網際網路訪問，則防火牆應設定阻擋相關服務埠(UDP/631)。

本文轉載自thehackernews。