0-3秒緩解DDoS攻擊，揭秘Cloudflare在全球邊緣的DDoS防護(hù)策略

在Cloudflare的全球網(wǎng)絡(luò)上，我們保護(hù)著超過2600萬個互聯(lián)網(wǎng)資產(chǎn)。在這一規(guī)模下，識別小型且隱匿的DDoS攻擊也具有一定的挑戰(zhàn)性?，F(xiàn)如今，攻擊者往往可以利用數(shù)量龐大的獨立IP來進(jìn)行DDoS攻擊，如果不能即時緩解，即便是小型攻擊也會對企業(yè)帶來不容忽視的影響。

Cloudflare對于速率密集型攻擊以及分布式的HTTP DDoS攻擊有著不同的緩解策略，在介紹之前，讓我們先來看一看今年以來的DDoS攻擊趨勢吧。

小型攻擊愈發(fā)猖獗，大型攻擊仍然存在

從2019年9月到2020年3月，在Cloudflare網(wǎng)絡(luò)上，峰值超過30 Gbps的攻擊減少了82%，DDoS攻擊的平均大小也穩(wěn)步下降了53％，僅為11.88 Gbps。然而這并不代表小型攻擊正在消退。與之相反，我們越來越多地觀察到從單一數(shù)據(jù)中心范圍內(nèi)發(fā)起的攻擊，這種針對我們一個或兩個數(shù)據(jù)中心的局部洪災(zāi)往往很難被發(fā)現(xiàn)，因為其攻擊樣本在匯總到我們的核心數(shù)據(jù)中心后會被稀釋。

與此同時，大型攻擊并未消失，我們?nèi)杂^察到了峰值為330 Gbps、每秒高達(dá)4億個數(shù)據(jù)包的攻擊。我們的某些客戶一天之內(nèi)就受到了890次DDoS攻擊，一個月中遭受的DDoS攻擊次數(shù)多達(dá)1750次。

這些攻擊趨勢促使我們的工程團(tuán)隊發(fā)明了更高效、更智能的方式來大規(guī)模捍衛(wèi)我們的網(wǎng)絡(luò)和客戶。

集中分析，邊緣強(qiáng)制DDoS緩解

在Cloudflare，我們使用Gatebot來保護(hù)客戶免受速率密集型攻擊。Gatebot會從路由器中獲取流數(shù)據(jù)樣本，并從服務(wù)器中獲取HTTP請求樣本，隨后分析樣本的異常情況，并在檢測到攻擊時將緩解指令自動推送到邊緣。

Gatebot集中運(yùn)行在我們的核心數(shù)據(jù)中心而非邊緣，它在減輕大型攻擊方面有著十分出色的表現(xiàn)，平均每個月能夠阻止超過4000次L3/L4 DDoS攻擊。

邊緣分析，邊緣強(qiáng)制緩解

我們使用dosd守護(hù)進(jìn)程來阻止較小的、局部的DDoS攻擊。作為Gatebot的補(bǔ)充，dosd被設(shè)計為分布式系統(tǒng)，運(yùn)行在我們每一個數(shù)據(jù)中心的每臺服務(wù)器中。結(jié)果即是，dosd可在0到3秒內(nèi)檢測到DDoS攻擊，生成實時規(guī)則并立即進(jìn)行緩解。僅在過去的一個月中，dosd就緩解了超過28萬例L3/4 DDoS攻擊。

IP Jails，更具經(jīng)濟(jì)性的緩解方式

讓我們先看兩組真實案例：

2019年7月，Cloudflare緩解了一個攻擊峰值達(dá)到每秒140萬個請求的HTTP DDoS攻擊，該攻擊使用了110萬個獨立IP地址，這些IP地址的背后都是能夠完成TCP和HTTPS握手功能的實際客戶端。

2019年9月，Cloudflare緩解了一起HTTP DDoS攻擊，該攻擊每秒請求數(shù)低于5M，但持續(xù)了一個多小時。有趣的是，攻擊者能夠持續(xù)使用37.1萬個獨立IP進(jìn)行這一速率的攻擊。

攻擊者在這些攻擊中都使用了大量的獨立IP，因此我們也需要一個更高效且更具成本效益的緩解策略。

Cloudflare的IP Jails功能可以高效地緩解速率密集型和分布式HTTP DDoS攻擊。IP Jails將緩解措施推送到了傳輸層（L4），無需丟棄代理錯誤或質(zhì)詢頁面，只需刪除IP連接。在L4上進(jìn)行緩解具有更高的計算效率，并且可以節(jié)省帶寬，減少CPU和內(nèi)存的消耗。

結(jié)合Gatebot檢測機(jī)制以及源節(jié)點錯誤

通過同步Gatebot的檢測機(jī)制以及客戶原始服務(wù)器的運(yùn)行狀況，我們可以更好地檢測并應(yīng)對低速率攻擊。這一功能現(xiàn)在正保護(hù)著我們從免費(fèi)計劃到企業(yè)計劃的每一位客戶，讓客戶免受DDoS攻擊，讓源節(jié)點免受各類有害洪水的侵害。

僅在2020年3月，我們平均每天緩解812次HTTP DDoS攻擊，總共抵御了超過20000次HTTP DDoS攻擊。

為所有人提供無限制的DDoS防護(hù)

在2017年的Cloudflare八周年生日周，我們推出了免費(fèi)的DDoS防護(hù)。只要您使用任意Cloudflare計劃（Free,Pro,Business或Enterprise），以上的新保護(hù)功能都將默認(rèn)開啟，無需額外付費(fèi)。Cloudflare DDoS防護(hù)已包含在了我們每一項服務(wù)中，無論是L3的Magic Transit，L4的Spectrum，還是L7的WAF/CDN服務(wù)。我們一直致力于讓互聯(lián)網(wǎng)變得更快、更安全、更可靠。