Moobot vs. Gatebot：Cloudflare自動阻止654 Gbps的僵尸網(wǎng)絡DDoS攻擊

去年7月3日，Cloudflare的全球DDoS保護系統(tǒng)Gatebot自動檢測并緩解了一次基于UDP的DDoS攻擊，攻擊的峰值達到了654 Gbps。該攻擊屬于針對Magic Transit客戶的為期十天的多媒介DDoS活動的一部分，在無任何人工干預的情況下即被緩解。據(jù)信，此次DDoS活動是由基于Mirai的僵尸網(wǎng)絡Moobot發(fā)起的?？蛻粑磮蟾嫱C，服務降級或誤報。

Moobot針對一名Magic Transit客戶發(fā)起654 Gbps攻擊

在10天里，我們的系統(tǒng)自動檢測并緩解了針對這個客戶的超過5000次DDoS攻擊，主要是UDP泛洪、SYN泛洪、ACK泛洪和GRE泛洪。其中最大的一次DDoS攻擊是UDP泛洪，僅持續(xù)了2分鐘。該攻擊僅針對一個IP地址，但攻擊了多個端口。這次攻擊來源于18705個獨立IP地址，每個IP地址都可以被看作是Moobot感染的物聯(lián)網(wǎng)設備。

攻擊的國家（地區(qū)）分布 – 來源于100個國家

Cloudflare在全球100個國家的數(shù)據(jù)中心均檢測到了此次攻擊。大約有89%的攻擊流量集中來源于10個國家，其中美國占41%，其次是韓國和日本（各占12%）和印度（10%）。這可能意味著該惡意軟件至少已經(jīng)感染了全球100個國家的18705臺設備。

按國家/地區(qū)劃分的攻擊分布-前10名

Moobot - 自傳播的惡意軟件

“Moobot”這個名字聽起來很可愛，但其實一點都不可愛。根據(jù)360Netlab的解釋，Moobot是一個基于Mirai的自傳播惡意軟件的代號，該惡意軟件在2019年首次被發(fā)現(xiàn)。它使用可遠程利用的漏洞或弱默認密碼感染IoT（物聯(lián)網(wǎng)）設備。IoT是一個術語，用于描述智能設備，比如安全中心、攝像機、智能電視、智能音箱、智能燈、傳感器，甚至包括了聯(lián)網(wǎng)冰箱。

一旦Moobot成功感染設備，該設備的控制權就會被轉(zhuǎn)移到命令和控制（C2）服務器的操作員手中，操作員可以遠程發(fā)布指令，例如攻擊目標，定位其他易受攻擊的物聯(lián)網(wǎng)設備并進行感染（自傳播）。

Moobot是基于Mirai的僵尸網(wǎng)絡，并具有與Mirai類似的功能（模塊）：

1. 自傳播 - 自傳播模塊負責擴展僵尸網(wǎng)絡。IoT設備被感染后，它會隨機掃描互聯(lián)網(wǎng)以查找開放的telnet端口，并報告給C2服務器。一旦C2服務器獲取了世界各地的開放telnet端口的信息，它就會嘗試利用已知的漏洞或使用通用/默認憑據(jù)強行入侵IoT設備。

自傳播

2. 同步攻擊 - C2服務器可以協(xié)調(diào)數(shù)據(jù)包或HTTP請求泛洪，造成目標網(wǎng)站或服務器的拒絕服務事件。

同步攻擊

僵尸網(wǎng)絡操作員可能在世界各地使用多個C2服務器，以降低暴露的風險。受感染的設備可能被分配給不同區(qū)域和模塊的C2服務器；一個服務器用于自傳播，另一個用于發(fā)起攻擊。因此，即便某個C2服務器被攻破并被執(zhí)法當局關閉，也只有部分僵尸網(wǎng)絡被停用。

為什么這次攻擊沒有成功

這是我們過去幾個月在Cloudflare的網(wǎng)絡上觀察到的第二次大規(guī)模攻擊。前一個攻擊的峰值達到了754Mpps，并試圖以高數(shù)據(jù)包速率癱瘓我們的路由器。盡管該攻擊的數(shù)據(jù)包速率很高（達到了754Mpps），但其峰值帶寬僅為253Gbps。

與高數(shù)據(jù)包速率攻擊相反，此次攻擊是高比特率攻擊，峰值為654 Gbps。鑒于此攻擊的高比特率峰值，攻擊者似乎試圖（但并未成功）通過飽和我們的互聯(lián)網(wǎng)鏈接容量來導致拒絕服務事件。那么，讓我們來探討一下這次攻擊為什么沒有成功。

避免鏈路飽和并維持設備運行

Cloudflare的全球網(wǎng)絡容量超過42 Tbps，并且還在不斷增長。我們的網(wǎng)絡覆蓋100多個國家/地區(qū)的200多個城市，其中包括位于中國大陸的17個城市。它與全球8800多個網(wǎng)絡互連，包括主要的ISP，云服務和企業(yè)。高度的互連性以及對Anycast的使用確保了我們的網(wǎng)絡可以輕松吸收最大的攻擊。

Cloudflare網(wǎng)絡

流量到達邊緣數(shù)據(jù)中心后，Cloudflare網(wǎng)絡將通過我們自己構建的第4層負載均衡器Unimog進行有效的負載均衡。Unimog利用我們的設備運行狀況和其他指標來智能地在數(shù)據(jù)中心內(nèi)實現(xiàn)負載均衡，從而避免任何一臺服務器過載。

除了使用Anycast實現(xiàn)數(shù)據(jù)中心間的負載均衡和使用Unimog實現(xiàn)數(shù)據(jù)中心內(nèi)的負載均衡外，我們還利用各種形式的流量工程來應對網(wǎng)絡中流量負載的突然變化。我們的24/7/365站點可靠性工程（SRE）團隊同時實施自動和手動的流量工程。

這些綜合因素顯著降低了由于鏈路飽和或設備過載而導致拒絕服務事件的可能性——正如在這次攻擊中所看到的，沒有發(fā)生鏈路飽和。

檢測和緩解DDoS攻擊

流量一旦到達我們的邊緣，就會遇到我們的三個軟件定義DDoS防護系統(tǒng)：

1. Gatebot - Cloudflare的集中式DDoS防護系統(tǒng)，用于檢測和緩解全球分布的容量DDoS攻擊。Gatebot在我們網(wǎng)絡的核心數(shù)據(jù)中心內(nèi)運行。它從我們的每個邊緣數(shù)據(jù)中心接收樣本，進行分析，并在檢測到攻擊時自動推送緩解指令。Gatebot還與我們每個客戶的web服務器同步，以識別其運行狀況并相應地觸發(fā)緩解措施。

2. dosd（拒絕服務守護程序） - Cloudflare的分布式DDoS保護系統(tǒng)。dosd在全球每個Cloudflare數(shù)據(jù)中心的每臺服務器上自動運行，在需要時分析流量并應用本地緩解規(guī)則。dosd能夠以超快的速度檢測和緩解攻擊，并且通過將檢測和緩解功能委托給邊緣，dosd還顯著提高了我們網(wǎng)絡的彈性。

3. flowtrackd（流跟蹤守護程序） - Cloudflare的TCP狀態(tài)跟蹤機，可用于檢測和緩解單向路由拓撲中最隨機、最復雜的基于TCP的DDoS攻擊（例如Magic Transit的案例）。flowtrackd能夠識別TCP連接的狀態(tài)，然后對不屬于合法連接的數(shù)據(jù)包進行丟棄，發(fā)起人機驗證挑戰(zhàn)或限制速率。

Cloudflare DDoS防護周期

這三個DDoS防護系統(tǒng)通過收集流量樣本來檢測DDoS攻擊。其采樣的流量數(shù)據(jù)類型包括：

1. 數(shù)據(jù)包字段，例如源IP、源端口、目標IP、目標端口、協(xié)議、TCP標識、序列號、選項和包速率。

2. HTTP請求元數(shù)據(jù)，例如HTTP請求頭、用戶代理、查詢字符串、路徑、主機、HTTP方法、HTTP版本、TLS密碼版本和請求速率。

3. HTTP響應指標，例如客戶源服務器返回的錯誤代碼及其比率。

然后，我們的系統(tǒng)會將這些樣本數(shù)據(jù)點集中在一起，以實時查看我們網(wǎng)絡的安全狀況和客戶的源服務器運行狀況。它們將找尋其中的攻擊模式和流量異常，找到后，則實時生成帶有動態(tài)制作的攻擊簽名的緩解規(guī)則。這些規(guī)則會傳播到最優(yōu)的位置，以降低緩解成本。例如，我們可以在L4處丟棄L7 HTTP泛洪以減少CPU的消耗。

由dosd和flowtrackd生成的規(guī)則將在單個數(shù)據(jù)中心內(nèi)傳播，以便快速緩解。Gatebot的規(guī)則被傳播到所有邊緣數(shù)據(jù)中心，這些規(guī)則將優(yōu)先于dosd的規(guī)則，從而實現(xiàn)均勻的、最優(yōu)的緩解。即使Gatebot僅在邊緣數(shù)據(jù)中心的一個子集中檢測到攻擊，它也會將緩解指令傳播到Cloudflare的所有邊緣數(shù)據(jù)中心，從而以主動保護的形式在我們的網(wǎng)絡中有效地共享威脅情報。

在本次攻擊中，dosd在每個邊緣數(shù)據(jù)中心內(nèi)生成了規(guī)則，以迅速進行緩解。隨后，Gatebot從邊緣接收并分析了樣本，確定了這是一起全球分布式攻擊。Gatebot將統(tǒng)一的緩解指令傳播到邊緣，這使我們的200多個數(shù)據(jù)中心都做好了應對攻擊的準備，因為攻擊流量可能由于Anycast或流量工程而轉(zhuǎn)移到不同的數(shù)據(jù)中心。

無高昂賬單

DDoS攻擊顯然會帶來停機和服務中斷的風險。但還有另一個風險需要考慮——緩解成本。在這十天中，僵尸網(wǎng)絡產(chǎn)生了超過65 TB的攻擊流量。但是，遵循著Cloudflare的無限制DDoS防護保障，Cloudflare緩解并吸收了攻擊流量，而沒有向客戶收費。客戶不需要提交追溯信用申請。攻擊流量被自動被排除在我們的計費系統(tǒng)以外。我們消除了財務上的風險。