史無前例！丨Cloudflare 成功抵抗有史以來最大規(guī)模的攻擊

Cloudflare 的自主邊緣 DDoS 保護系統(tǒng)自動檢測并緩解了以上攻擊，以及下文提到的其他攻擊。這個系統(tǒng)由我們本機資料中心緩解系統(tǒng)（dosd）驅(qū)動。dosd 是我們自己研發(fā)的軟件定義后臺程序。在我們分布在全球各地的數(shù)據(jù)中心每一臺服務(wù)器中，都運行著唯一的 dosd 實例。每個 dosd 實例都會對流量樣本進行路徑外分析。通過在路徑外分析流量，我們可在不造成延遲和影響性能的情況下異步檢測 DDoS 攻擊。DDoS 檢測結(jié)果也會在同一數(shù)據(jù)中心內(nèi)部的不同 dosd 之間共享，這是主動威脅情報共享的一種形式。

一旦檢測到攻擊，我們的系統(tǒng)就會產(chǎn)生一條緩解規(guī)則，其中附帶與攻擊模式匹配的實時特征。該規(guī)則將被傳播至技術(shù)堆棧中的最佳位置。例如，容量耗盡 HTTP DDoS 攻擊可在第四層 Linux iptables 防火墻內(nèi)予以阻止，而非第七層在用戶空間運行的 L7 反向代理內(nèi)。在堆棧的較低層進行緩解更具成本效益，例如，在 L4 丟棄數(shù)據(jù)包，而非在 L7 以 403 錯誤頁面響應(yīng)。這樣做能減少邊緣 CPU 消耗和數(shù)據(jù)中心內(nèi)部的帶寬使用，從而幫助我們在不影響性能的情況下緩解大規(guī)模攻擊。

這種自主方式，加上我們網(wǎng)絡(luò)的全球規(guī)模和可靠性，使我們能夠緩解達到我們平均每秒速率 68% 或以上的攻擊，而無需任何 Cloudflare 人員執(zhí)行手動緩解，也不會造成性能出現(xiàn)任何下降。

這次攻擊是由一個強大的僵尸網(wǎng)絡(luò)發(fā)動的，目標是 Cloudflare 在金融行業(yè)的客戶。在短短幾秒鐘內(nèi)，這個僵尸網(wǎng)絡(luò)就使用了超過 3.3 億個攻擊請求對 Cloudflare 邊緣進行了轟炸。

這些攻擊流量源于全球 125 個國家/地區(qū)的 2 萬多個僵尸程序。根據(jù)僵尸程序的源 IP 地址，接近 15% 的攻擊流量源于印度尼西亞，另外 17% 源于印度和巴西。這表明，在以上國家/地區(qū)可能存在很多被惡意軟件感染的設(shè)備。

攻擊來源分布（主要國家/地區(qū)）

這個 1720 萬 rps 攻擊是 Cloudflare 迄今為止見到的最大規(guī)模 HTTP DDoS 攻擊，相當于其他任一已報告 HTTP DDoS 攻擊的近三倍。然而，這個僵尸網(wǎng)絡(luò)在過去一段時間已經(jīng)出現(xiàn)過至少兩次。就在不久前，這個僵尸網(wǎng)絡(luò)還對另一個 Cloudflare 客戶（一家托管服務(wù)提供商）發(fā)動了一次峰值速率接近 800 萬 rps 的 HTTP DDoS 攻擊。

800 萬 rps 攻擊

前不久，一個 Mirai 變體僵尸網(wǎng)絡(luò)發(fā)起了十多次基于 UDP 和 TCP 的 DDoS 攻擊，峰值多次超過 1 Tbps，最大峰值約為 1.2 Tbps。其中第一次 HTTP 攻擊的目標是 Cloudflare WAF/CDN 服務(wù)上的客戶，而超過 1 Tbps 的網(wǎng)絡(luò)層攻擊針對于 Cloudflare Magic Transit 和 Spectrum 服務(wù)的客戶。其中一個目標是位于亞太地區(qū)的主要互聯(lián)網(wǎng)服務(wù)、電信和托管服務(wù)提供商。另一個是游戲公司。在所有情況下，攻擊都被自動檢測并緩解，無需人工干預(yù)。

峰值 1.2 Tbps Mirai 僵尸網(wǎng)絡(luò)攻擊

這個 Mirai 僵尸網(wǎng)絡(luò)最初包含大約 3 萬個僵尸程序，隨后逐漸減少至約 2.8 萬個。然而，盡管數(shù)量有所減少，這個僵尸網(wǎng)絡(luò)依然能夠在短時間內(nèi)產(chǎn)生大規(guī)模的攻擊流量。在某些情況下，每次爆發(fā)僅持續(xù)數(shù)秒鐘。

與此同時，過去幾周內(nèi)，我們的網(wǎng)絡(luò)上檢測到的 Mirai 型 DDoS 攻擊也有所增加。僅在 7 月份，L3/L4 Mirai 攻擊就增加了 88%，L7 攻擊增加了 9%。此外，根據(jù)目前 8 月的日均 Mirai 攻擊數(shù)量，到月底時，L7 Mirai DDoS 攻擊和其他類似僵尸網(wǎng)絡(luò)攻擊的數(shù)量約增長 185%，而 L3/L4 攻擊將增長 71%。

Mirai 型 DDoS 攻擊月度變化

Mirai 在日語中意為 “未來”，是一種惡意軟件的代號，由非營利安全研究工作組 MalwareMustDie 在 2016 年首次發(fā)現(xiàn)。這種惡意軟件通過感染運行 Linux 的設(shè)備（例如安全攝像頭和路由器）進行傳播。然后它通過搜索開放的 Telnet 端口 23 和 2323 進行自我傳播。一旦找到，它就會嘗試通過暴力破解已知憑據(jù)（例如出廠默認用戶名和密碼）來訪問易受攻擊的設(shè)備。Mirai 的后期變體還利用了路由器和其他設(shè)備中的零日漏洞。一旦被感染，設(shè)備將監(jiān)控命令與控制 (C2) 服務(wù)器以獲取有關(guān)攻擊目標的指令。

僵尸網(wǎng)絡(luò)操作者控制僵尸網(wǎng)絡(luò)來攻擊網(wǎng)站

雖然大部分攻擊時間短、規(guī)模小，我們繼續(xù)看到這種類型的容量耗盡攻擊更頻繁地出現(xiàn)。值得注意的是，對于沒有主動型、始終啟用云保護的傳統(tǒng) DDoS 保護系統(tǒng)或組織而言，這些短暫爆發(fā)型攻擊可能尤其危險。

此外，雖然短暫的持續(xù)時間一定程度上反映了僵尸網(wǎng)絡(luò)長時間維持流量水平的能力，人類可能難以或不可能對這種攻擊做出反應(yīng)。在這種情況下，安全工程師甚至還未來得及分析流量或激活其備用 DDoS 攻擊系統(tǒng)，攻擊就已經(jīng)結(jié)束了。這種攻擊凸顯了自動型、始終啟用保護的必要性。

• 啟用 Cloudflare 服務(wù)，保護您的互聯(lián)網(wǎng)資產(chǎn)。

• DDoS 保護開箱即用，您也可以自定義保護設(shè)置。

• 遵循我們的預(yù)防性最佳實踐，以確保您的 Cloudflare 設(shè)置和源服務(wù)器設(shè)置都得到優(yōu)化。例如，確保您只允許來自 Cloudflare IP 范圍的流量。理想情況下，請您的上游互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 應(yīng)用訪問控制列表 (ACL)，否則，攻擊者可能會直接針對您服務(wù)器的 IP 地址并繞過您的保護。

1. 更改任何聯(lián)網(wǎng)設(shè)備的默認用戶名和密碼，例如智能相機和路由器。這樣將降低 Mirai 等惡意軟件侵入您的路由器和物聯(lián)網(wǎng)設(shè)備的風(fēng)險。

2. 使用 Cloudflare for Families 保護您的家庭免受惡意軟件的侵害。Cloudflare for Families 是一項免費服務(wù)，可自動阻止從您的家庭網(wǎng)絡(luò)到惡意網(wǎng)站的流量和惡意軟件通信。