Killnet 和 AnonymousSudan DDoS 攻击澳大利亚大学网站，并威胁要发动更多攻击——以下是应对措施

在过去 24 小时内，Cloudflare 观察到针对澳大利亚大学网站的 HTTP DDoS 攻击。正如最近的 Telegram 帖子所揭示的那样，大学是亲俄罗斯骇客组织 Killnet 及其附属机构 AnonymousSudan 公开攻击的几个群体中的第一个。威胁行为者号召从 3 月 28 日（星期二）开始对澳大利亚的 8 所大学、10 个机场和 8 个医院网站进行额外的攻击。
Killnet 是一个由个人组成的鬆散组织，透过 Telegram 进行协作。他们的 Telegram 频道为亲俄支援者提供了一个空间，让他们自愿发挥自身特长，参与针对西方利益的网路攻击。

图：对澳大利亚组织造成 DDoS 攻击的流量百分比

这不是 Cloudflare 第一次报告 Killnet 活动。2023 年 2 月 2 日，我们在一篇部落格中特别提到，一个亲俄骇客组织（声称是 Killnet 的一部分）正以美国的多个医疗机构为目标。2022 年 10 月，Killnet 号召攻击美国机场网站，并在次月攻击了美国财政部。
从该组织过去的攻击中可以看出，这些最近的攻击似乎并非源自单个殭尸网路，而且攻击方法和来源似乎各不相同，表明涉及多个具有不同技能水平的个体威胁参与者。
DDoS（分散式阻断服务）攻击因其破坏关键服务的能力而经常成为头条新闻。Cloudflare 最近宣布，它已经封锁了迄今为止最大规模的攻击，该攻击达到每秒 7100 万个请求 (rps) 的峰值，比 2022 年 6 月的上一次创纪录攻击高出 54%。
DDoS 攻击旨在用大量恶意流量淹没网路，如果执行得当，可能会中断服务或使网路离线。在过去几个月中，攻击的规模、複杂性和频率一直在增加。

什么是 Killnet 和 Anonymous Sudan？
Killnet 不是一个传统的骇客组织：它没有成员资格，没有工具或基础结构，也不是为了经济利益而运作。相反，Killnet 是亲俄罗斯的「骇客行动主义」支援者自愿发挥自身特长，参与针对西方利益的网路攻击。这种合作完全透过 Telegram 公开进行，欢迎任何人加入。
Killnet 是在乌克兰 IT 军队建立之后不久成立的（并且可能是为了回应此事），它效仿了他们的战术。大多数时候，Killnet Telegram 频道的管理员会号召志愿者攻击某个特定目标。参与者分享许多不同的工具和技术来发动成功的攻击，经验不足的人通常会接受更有经验的人关于如何发动网路攻击的指导。
AnonymousSudan 是另一个类似于 Killnet 的非传统骇客组织，表面上由苏丹「骇客行动主义者」组成。这两个组织最近开始合作攻击西方的各种利益。
包括来自这些团体在内的攻击者们在选择目标组织规模方面变得越来越大胆。对于企业，尤其是那些网路资源有限的企业来说，这意味着对易受攻击网路的威胁层级越来越高。
各种规模的组织都需要为可能发生的针对其网路的重大 DDoS 攻击做好準备。理想情况下，攻击的侦测和缓解应尽可能自动化，因为仅依靠人工即时缓解会让攻击者掌握主动权。

我应该如何保护我的组织免受 DDoS 攻击？
Cloudflare 客户受到保护，所以未受到攻击。我们的系统一直在自动侦测和缓解攻击。我们的团队将继续密切关注事态发展，并将在必要时部署应对措施。
作为额外的预防措施，建议教育、旅游和医疗保健行业的客户遵循以下建议。

确保所有其他 DDoS 受管理规则都设定为预设设定（高灵敏度层级和缓解措施）。订阅进阶 DDoS 服务的企业方案客户应考虑启用自适应 DDoS 防护。部署防火墙规则和限速规则以实施组合的主动和被动安全模型。根据您已知的使用情况减少允许存取您网站的流量。开启 Bot Fight Mode 或您可用的等效级别（SBFM、企业方案傀儡程式管理）。确保您的来源不暴露在公用网际网路上，即只允许存取 Cloudflare IP 位址。尽可能启用快取以减少来源伺服器的压力，并且在使用 Workers 时，避免用不必要的更多子请求使来源伺服器不堪重负。启用 DDoS 警示功能。
随着攻击者越来越容易发起 DDoS 攻击，我们也想确保任何规模之组织的防御者也能够更轻鬆（并免费）地保护自身免于任何规模的 DDoS 攻击。自 2017 年以来，我们一直免费向所有客户提供非计量且无限制的 DDoS 防护。Cloudflare 的使命就是协助建置更好的网际网路，而更好的网际网路就是对每个人来说更安全、更快速且更可靠的环境——即使面临 DDoS 攻击也一样。

如果您想进一步了解 DDoS 的关键趋势，请下载 Cloudflare DDoS 威胁报告以获取季度解析。