今年夏天早些时候,Cloudflare的自主边缘DDoS保护系统自动检测并缓解了一次1720万请求/秒(rps)的DDoS攻击,这一攻击几乎是我们所知的以往任何攻击的三倍。关于这次攻击有多大,请看一下。Cloudflare平均每秒钟提供超过2500万个HTTP请求。这指的是2021年第二季度合法流量的平均速率。因此,峰值为1720万rps,这次攻击达到了我们第二季度合法HTTP流量平均rps率的68%。
利用Cloudflare的自主边缘自动缓解DDoS问题
这一攻击,以及在接下来的模块中提供的其他攻击,都被我们的自主边缘DDoS保护系统自动检测和缓解了。该系统由我们自己的拒绝服务守护程序(dosd)驱动。Dosd是一个自创的软件定义的守护程序。一个独特的dosd实例在我们世界各地的数据中心的每个服务器上运行。每个dosd实例独立分析路径外的流量样本。分析路径外的流量使我们能够异步扫描DDoS攻击,而不会造成延迟和影响性能。一旦检测到攻击,我们的系统就会生成一个具有实时签名的缓解规则,以匹配攻击模式。该规则被传播到技术堆栈中最理想的位置。例如,一个体积大的HTTP DDoS攻击可能在Linux iptables防火墙内的L4位置被阻止,而不是在用户空间运行的L7反向代理内的L7位置。是更具成本效益的是在堆栈的较低位置进行缓解,例如在L4丢弃数据包,而不是在L7用403错误页面进行响应。它减少了我们的边缘CPU消耗和数据中心内的带宽利用率–从而帮助我们在不影响性能的情况下大规模地缓解大型攻击。这种自主方法,加上我们网络的全球规模和可靠性,使我们能够缓解达到我们平均每秒速率68%甚至更高的攻击,而不需要Cloudflare人员的任何手动操作,也不会造成任何性能下降。
这次攻击是由一个强大的僵尸网络发起的,目标是Cloudflare的一个金融业客户。在几秒钟内,该僵尸网络用超过3.3亿个攻击请求轰击了Cloudflare的边缘。
攻击流量来自全球125个国家的20,000多个机器人。根据机器人的源IP地址,近15%的攻击来自印度尼西亚,另外17%来自印度和巴西。表明在这些国家可能有许多被恶意软件感染的设备。
量级攻击增加
这次1720万rps的攻击是Cloudflare迄今为止看到的最大的HTTP DDoS攻击,几乎是其他报告的HTTP DDoS攻击规模的三倍。而这个特定的僵尸网络,在过去几周内至少出现过两次。就在上周,它还针对一个不同的Cloudflare客户–一家托管服务提供商,进行了一次HTTP DDoS攻击,峰值略低于800万rps。
两周前,一个Mirai变种僵尸网络发起了十多次基于UDP和TCP的DDoS攻击,峰值多次超过1 Tbps,最大峰值约为1.2 Tbps。第一批HTTP攻击的目标是Cloudflare的WAF/CDN服务客户,而1 Tbps以上的网络层攻击的目标是Cloudflare的Magic Transit和Spectrum服务客户。其中一个目标是一家位于亚太地区的主要互联网服务、电信和托管提供商。另一个是一家游戏公司。在所有情况下,这些攻击都被自动检测到,并在没有人为干预的情况下得到缓解。
Mirai僵尸网络开始时有大约3万个机器人,后来慢慢缩减到大约2.8万个。然而,尽管从其舰队中失去了机器人,该僵尸网络仍然能够在短时间内产生令人印象深刻的攻击流量。在某些情况下,每次爆发只持续了几秒钟。这些攻击加入了过去几周我们在网络上观察到的基于Mirai的DDoS攻击的增加。仅在7月份,L3/4 Mirai攻击增加了88%,L7攻击增加了9%。此外,根据目前8月份Mirai攻击的日均值,我们预计到月底,L7 Mirai DDoS攻击和其他类似的僵尸网络攻击将增加185%,L3/4攻击增加71%。
回到Mirai
Mirai在日语中的意思是 “未来”,是一个恶意软件的代号,它在2016年被非营利性安全研究工作组MalwareMustDie首次发现。该恶意软件通过感染Linux操作的设备(如安全摄像机和路由器)进行传播。然后,它通过搜索开放的Telnet端口23和2323来进行自我传播。一旦发现,它就会试图通过暴力强迫已知的凭证(如出厂默认的用户名和密码)来获得对脆弱设备的访问。Mirai的后期变种还利用了路由器和其他设备的零日漏洞。一旦被感染,这些设备将监视一个命令和控制(C2)服务器,以获得关于攻击哪个目标的指示。
如何保护你的家庭和企业
虽然大多数攻击是小而短的,但我们继续看到这些类型的体积攻击出现得更频繁。值得注意的是,这些体积短促的攻击对于传统的DDoS保护系统或没有主动的、始终在线的基于云服务保护的组织来说可能特别危险。此外,虽然持续时间短可能说明僵尸网络有能力在一段时间内提供持续的流量水平,但人类要及时做出反应可能是有难度的,甚至不可能。在这种情况下,安全工程师甚至没有时间分析流量或启动他们的备用DDoS保护系统,攻击就已经结束了。这些类型的攻击突出了对自动化、一直在线的保护的需求。如何保护你的企业和互联网财产
加入Cloudflare以保护你的互联网财产。
DDoS是开箱即用的,你还可以自定义保护设置。
遵循我们的预防性最佳做法,以确保你的Cloudflare设置和你的源服务器设置都得到优化。例如,确保你只允许来自Cloudflare的IP范围的流量。理想情况下,请你的上游互联网服务提供商(ISP)应用访问控制列表(ACL),否则,攻击者可能直接针对你的服务器的IP地址,绕过你的保护。
关于如何保护你的家庭和物联网设备的建议
更改任何连接到互联网的设备的默认用户名和密码,如智能相机和路由器。这将减少Mirai等恶意软件进入你的路由器和物联网设备的风险。
用Cloudflare for Families保护你的家庭免受恶意软件的侵害。Cloudflare for Families是一项免费服务,它可以自动阻止来自你家里的恶意网站和恶意软件通信的流量。