Cloudflare 阻止了 1720 万 rps 的 DDoS 攻击——有史以来最大的一次
2021/08/19
今年夏天早些时候,Cloudflare 的自主边缘 DDoS 保护系统自动检测并缓解了每秒 1720 万次请求 (rps) 的 DDoS 攻击,该攻击几乎是我们所知道的以往任何一次攻击的三倍。关于这次攻击的规模有多大:Cloudflare 平均每秒处理超过 2500 万个 HTTP 请求。这是指 2021 年第二季度的平均合法流量率。因此,这次攻击达到了 1720 万 rps 的峰值,达到了我们第二季度合法 HTTP 流量平均 rps 速率的 68%。
Cloudflare 的平均每秒请求率与 DDoS 攻击的比较图 Cloudflare 的平均每秒请求率与 DDoS 攻击的比较图 使用 Cloudflare 的自主边缘自动缓解 DDoS 我们的自主边缘 DDoS 保护系统会自动检测并缓解此攻击以及下一节中提供的其他攻击。该系统由我们自己的拒绝服务守护程序 (dosd) 提供支持。Dosd 是一个本土的软件定义守护进程。一个独特的 dosd 实例在我们全球每个数据中心的每台服务器中运行。每个 dosd 实例独立地分析路径外的流量样本。分析路径外的流量使我们能够异步扫描 DDoS 攻击,而不会造成延迟和影响性能。DDoS 调查结果也在数据中心内的各种 dosd 实例之间共享,作为主动威胁情报共享的一种形式。
一旦检测到攻击,我们的系统就会生成一个带有与攻击模式匹配的实时签名的缓解规则。规则传播到技术堆栈中的最佳位置。例如,容量 HTTP DDoS 攻击可能在 Linux iptables 防火墙内部的 L4 处被阻止,而不是在用户空间中运行的 L7 反向代理内部的 L7 处被阻止。减轻堆栈中的较低级别,例如在 L4 丢弃数据包而不是在 L7 中使用 403 错误页面进行响应,更具成本效益。它减少了我们的边缘 CPU 消耗和数据中心内带宽利用率,从而帮助我们在不影响性能的情况下大规模缓解大型攻击。
这种自主方法加上我们网络的全球规模和可靠性,使我们能够减轻达到平均每秒速率 68% 或更高的攻击,而无需 Cloudflare 人员进行任何手动缓解,也不会导致任何性能下降。
Mirai 的复兴和新的强大僵尸网络 这次攻击是由一个强大的僵尸网络发起的,目标是金融行业的 Cloudflare 客户。几秒钟之内,僵尸网络就以超过 3.3 亿个攻击请求轰炸了 Cloudflare 边缘。
17.2M rps 攻击图 17.2M rps 攻击图 攻击流量来自全球 125 个国家/地区的 20,000 多个机器人。根据机器人的源 IP 地址,几乎 15% 的攻击来自印度尼西亚,另外 17% 来自印度和巴西。表明这些国家/地区可能存在许多受恶意软件感染的设备。
主要国家攻击源分布 主要国家攻击源分布 体积攻击增加 这次 1720 万 rps 的攻击是 Cloudflare 迄今为止所见过的最大的 HTTP DDoS 攻击,几乎是任何其他已报告的 HTTP DDoS 攻击的三倍。然而,这个特定的僵尸网络在过去几周中至少出现过两次。就在上周,它还针对不同的 Cloudflare 客户(一家托管服务提供商)发起了一次 HTTP DDoS 攻击,峰值略低于 800 万 rps。
8M rps 攻击图 8M rps 攻击图 两周前,一个Mirai 变体僵尸网络发起了十多次基于 UDP 和 TCP 的 DDoS 攻击,峰值多次超过 1 Tbps,最大峰值约为 1.2 Tbps。虽然第一次 HTTP 攻击针对的是WAF/CDN 服务上的 Cloudflare 客户,但 1+ Tbps 网络层攻击针对的是 Cloudflare 客户的Magic Transit和Spectrum服务。其中一个目标是位于亚太地区的主要互联网服务、电信和托管服务提供商。另一个是游戏公司。在所有情况下,攻击都被自动检测并缓解,无需人工干预。
Mirai 僵尸网络攻击峰值为 1.2 Tbps 的图表 Mirai 僵尸网络攻击峰值为 1.2 Tbps 的图表 Mirai 僵尸网络开始时大约有 3 万个机器人,然后慢慢缩减到大约 2.8 万个。然而,尽管从其舰队中丢失了机器人,僵尸网络仍然能够在短时间内产生大量的攻击流量。在某些情况下,每次爆发只持续几秒钟。
这些攻击与我们过去几周在网络上观察到的基于 Mirari 的 DDoS 攻击一起增加。仅在 7 月份,L3/4 Mirai 攻击就增加了 88%,L7 攻击增加了 9%。此外,根据目前 8 月 Mirai 攻击的日均值,我们可以预计到月底,L7 Mirai DDoS 攻击和其他类似僵尸网络攻击将增加 185%,L3/4 攻击将增加 71%。
基于 Mirai 的 DDoS 攻击按月变化图 基于 Mirai 的 DDoS 攻击按月变化图 回到未来 Mirai在日语中意为“未来”,是恶意软件的代号,由非营利安全研究工作组MalwareMustDie于 2016 年首次发现。恶意软件通过感染运行 Linux 的设备(例如安全摄像头和路由器)进行传播。然后它通过搜索开放的 Telnet 端口 23 和 2323 进行自我传播。一旦找到,它就会尝试通过暴力破解已知凭据(例如出厂默认用户名和密码)来访问易受攻击的设备。Mirai 的后期变体还利用了路由器和其他设备中的零日漏洞。一旦被感染,这些设备将监控命令与控制 (C2) 服务器以获取有关攻击目标的指令。
僵尸网络操作者控制僵尸网络攻击网站的示意图 僵尸网络操作者控制僵尸网络攻击网站的示意图 如何保护您的家庭和企业 虽然大多数攻击都是小而短的,但我们继续看到这些类型的体积攻击更频繁地出现。重要的是要注意,对于没有主动、始终在线的基于云的保护的传统 DDoS 保护系统或组织而言,这些大规模短时突发攻击可能尤其危险。
此外,虽然短暂的持续时间可能说明僵尸网络随着时间的推移提供持续的流量水平的能力,但人类对其及时做出反应可能具有挑战性或不可能。在这种情况下,安全工程师甚至还没来得及分析流量或激活他们的备用 DDoS 保护系统,攻击就结束了。这些类型的攻击突出了对自动化、永远在线保护的需求。
如何保护您的企业和互联网资产 加入 Cloudflare以保护您的 Internet 资产。 DDoS 是开箱即用的,您还可以自定义保护设置。 遵循我们的预防性最佳实践,以确保您的 Cloudflare 设置和源服务器设置都得到优化。例如,确保您只允许来自Cloudflare 的 IP 范围的流量。理想情况下,请您的上游 Internet 服务提供商 (ISP) 应用访问控制列表 (ACL),否则,攻击者可能会直接针对您服务器的 IP 地址并绕过您的保护。 关于如何保护您的家庭和物联网设备的建议 更改任何连接到 Internet 的设备(例如智能相机和路由器)的默认用户名和密码。这将降低 Mirai 等恶意软件访问您的路由器和 IoT 设备的风险。 使用Cloudflare for Families保护您的家免受恶意软件的侵害。Cloudflare for Families 是一项免费服务,可自动阻止从您家到恶意网站的流量和恶意软件通信。