Cloudflare DDoS防護(hù)深入解析

今天，我們更高興能和大家分享一下Cloudflare的自主DDoS（分布式拒絕服務(wù)（DDoS））防護(hù)系統(tǒng)。這個(gè)系統(tǒng)已部署到Cloudflare全球所有300個(gè)數(shù)據(jù)中心，正在積極保護(hù)我們的所有客戶，防御3-7層（OSI模型）上的DDoS攻擊，無需人工干預(yù)。作為我們不計(jì)量DDoS防護(hù)承諾的一部分，我們不會因?yàn)榭蛻羰艿紻DoS攻擊而增加對客戶的收費(fèi)。

自主邊緣防護(hù)

為了迅速并精準(zhǔn)地為我們的客戶防護(hù)DDoS攻擊，我們打造了一套自主邊緣檢測與緩解系統(tǒng)，可自行做出決定而不需尋求在中心節(jié)點(diǎn)形成統(tǒng)一策略。這套系統(tǒng)是完全由軟件定義的，在我們部署于邊緣的普通服務(wù)器上運(yùn)行。驅(qū)動這套系統(tǒng)的是我們的拒絕服務(wù)守護(hù)進(jìn)程（dosd），后者最早于2019年上線，用于防護(hù)L3/4 DDoS攻擊。自那以來，我們一直不斷投資增強(qiáng)和改善其能力，以便保持領(lǐng)先攻擊者一步，并破壞攻擊的可能性。我們的邊緣緩解組件除了L3/4外，也能防御L7攻擊。

這套系統(tǒng)在我們所有邊緣數(shù)據(jù)中心的每一臺服務(wù)器上運(yùn)行。系統(tǒng)不斷分析數(shù)據(jù)包和HTTP請求，掃描DDoS攻擊。一旦發(fā)現(xiàn)攻擊，系統(tǒng)立即將一條附有實(shí)時(shí)生成簽名的緩解規(guī)則推送到Linux堆棧的最優(yōu)位置，在此應(yīng)用最具成本效益的緩解。

Cloudflare DDoS緩解系統(tǒng)的概念圖

我們的新邊緣檢測能力是我們現(xiàn)有全球威脅監(jiān)測機(jī)制Gatebot的補(bǔ)充，后者位于我們網(wǎng)絡(luò)的核心。通過Gatebot在網(wǎng)絡(luò)核心檢測攻擊非常適用于較大型的分布式容量耗盡型攻擊，此類攻擊要求整個(gè)Cloudflare邊緣的協(xié)調(diào)。但是，較小型的局部攻擊需要以不同的方式來處理。通過在邊緣檢測網(wǎng)絡(luò)層和HTTP攻擊，我們能以更高速率采樣，同時(shí)檢測大型和小型攻擊，并立即生成緩解規(guī)則。在過去，所有L3/4攻擊中的98.6%是由dosd檢測到的。同樣地，自從dosd的擴(kuò)展版本部署以來，已經(jīng)緩解了全部L7攻擊的81%。

我們已在此前的博文中介紹過Gatebot和flowtrackd，因此本文著重介紹擴(kuò)展后的dosd能力。

利用Linux網(wǎng)絡(luò)在瞬間丟棄數(shù)據(jù)包和請求

10年前，Linux網(wǎng)絡(luò)非常緩慢。今天，得益于Linux——特別是Linux iptables和eXpress Data Path（XDP），我們可在瞬間丟棄數(shù)據(jù)包。

數(shù)據(jù)包的生命周期

如果一個(gè)數(shù)據(jù)包的目的地是受Cloudflare保護(hù)的客戶，這個(gè)數(shù)據(jù)包將通過BGP Anycast發(fā)送到最近的Cloudflare數(shù)據(jù)中心。到達(dá)后，數(shù)據(jù)包將經(jīng)網(wǎng)絡(luò)交換機(jī)使用等價(jià)多路徑路由組（ECMP）通過一個(gè)路由器發(fā)往一個(gè)服務(wù)器。到達(dá)某個(gè)服務(wù)器后，網(wǎng)絡(luò)接口卡（NIC）將數(shù)據(jù)包傳送到一組eXpress Data Path（XDP）程序中。第一組XDP程序——L4Drop——應(yīng)用來自此前檢測到的攻擊的緩解規(guī)則，并將數(shù)據(jù)包樣本傳送給dosd供進(jìn)一步分析。

如果數(shù)據(jù)包沒有被視為惡意并丟棄，其將被傳送到Unimog——我們的專利L4負(fù)載平衡器。根據(jù)服務(wù)器運(yùn)行狀況和性能指標(biāo)，Unimog決定是否應(yīng)該將數(shù)據(jù)包保存在同一臺服務(wù)器中，還是將其傳遞到數(shù)據(jù)中心內(nèi)能夠更好地處理它的另一臺服務(wù)器。經(jīng)過Unimog后，數(shù)據(jù)包將通過iptables防火墻。然后，如果目標(biāo)是一個(gè)L7應(yīng)用程序（例如受Cloudflare WAF保護(hù)的服務(wù)），數(shù)據(jù)包將傳送到我們的HTTP反向代理。該反向代理在用戶空間運(yùn)行，在此數(shù)據(jù)包被構(gòu)建成HTTP請求并通過我們的Web應(yīng)用程序防火墻、應(yīng)用程序防火墻規(guī)則以及額外的客戶配置。如果數(shù)據(jù)包的目的地是一個(gè)TCP/UDP應(yīng)用程序（Spectrum）或一個(gè)被路由而非被代理的IP目的地（Magic Transit），則其將通過那些系統(tǒng)，而非我們的HTTP代理。

數(shù)據(jù)包的生命周期

除了L4Drop，我們的HTTP代理也將HTTP請求的樣本和元數(shù)據(jù)發(fā)送到dosd。這一邊緣取樣的速率相當(dāng)于核心取樣的10倍，因?yàn)檎埱罂稍诒镜胤治觯ú?jù)以處理），而非傳送到某個(gè)核心數(shù)據(jù)中心。同樣地，dosd對數(shù)據(jù)包取樣的速度相當(dāng)于gatebot的81倍。

dosd、gatebot和flowtrackd一同分析所收到的樣本并在檢測到DDoS攻擊時(shí)應(yīng)用緩解規(guī)則。它們將緩解規(guī)則添加到Web代理中以減輕HTTP攻擊。根據(jù)系統(tǒng)邏輯，對攻擊請求通過阻止、速率限制或質(zhì)詢動作來處理。然而，如果攻擊容量較大，緩解規(guī)則將在堆棧中向下推送到iptables防火墻，使用IP Jails在L4中斷L7攻擊，以實(shí)現(xiàn)更具經(jīng)濟(jì)效益的緩解。同樣地，對于L3/4攻擊，系統(tǒng)將使用L4Drop內(nèi)的擴(kuò)展伯克利包過濾器（eBPF）程序在iptables防火墻內(nèi)緩解。利用這些組件，我們能大規(guī)模自動緩解DDoS攻擊。

打破攻擊經(jīng)濟(jì)

如上所述，我們的擴(kuò)展自主系統(tǒng)，連同我們現(xiàn)有的威脅緩解組件，是為保護(hù)客戶免受DDoS攻擊而開發(fā)的。然而發(fā)動攻擊的難度和成本已變得非常低。惡意行為者使用這些攻擊來弄垮網(wǎng)站、移動應(yīng)用、游戲或任何連接到互聯(lián)網(wǎng)的資產(chǎn)。這些擴(kuò)展保護(hù)措施很有必要，因?yàn)槿缥覀冊诿總€(gè)季度的DDoS趨勢報(bào)告中所記載的那樣，多樣且日漸復(fù)雜DDoS攻擊持續(xù)增加。即使是一些小型攻擊也足以擊垮一個(gè)小型網(wǎng)站，因此無論是大型還是小型攻擊，我們都要進(jìn)行阻止。

很多情況下，攻擊者可利用公開工具免費(fèi)發(fā)動DDoS攻擊，或支付少量費(fèi)用租用DDoS即服務(wù)僵尸網(wǎng)絡(luò)，例如暗網(wǎng)上的Moobot。根據(jù)2020年暗網(wǎng)價(jià)格指數(shù)，一次持續(xù)一小時(shí)、每秒1000-5000個(gè)請求的DDoS攻擊起步價(jià)格為10美元。發(fā)動攻擊的成本遠(yuǎn)低于其造成的損失。通過造成服務(wù)中斷或僅僅使其性能下降，攻擊者就能使受害者損失嚴(yán)重。例如，弄垮一個(gè)商務(wù)網(wǎng)站將使用戶無法登錄和購物。甚至延遲增加都能導(dǎo)致用戶放棄購物車并轉(zhuǎn)向競爭對手。一分鐘的停機(jī)時(shí)間很可能帶來數(shù)萬美元損失。

DDoS攻擊的頻率、復(fù)雜程度和規(guī)模的不斷演變及進(jìn)化要求我們始終確保采用最新的防御方法——一種快速、準(zhǔn)確和精確的方法。這就是我們開發(fā)本文所述擴(kuò)展保護(hù)的原因。

幫助構(gòu)建更好的互聯(lián)網(wǎng)

Cloudflare的使命是幫助建立一個(gè)更好的互聯(lián)網(wǎng)——對所有人而言都更安全、更快、更可靠。DDoS團(tuán)隊(duì)的愿景源自這個(gè)使命：我們的目標(biāo)是使DDoS攻擊銷聲匿跡。上世紀(jì)90年底和本世紀(jì)初，垃圾電子郵件成為嚴(yán)重問題。今天，電子郵件服務(wù)為我們過濾了所有垃圾郵件，我們就是要對DDoS攻擊做同樣的事情。