史無前例！丨Cloudflare 成功抵抗有史以來最大規(guī)模的攻擊

Cloudflare 的自主邊緣 DDoS 保護系統(tǒng)自動檢測并緩解了以上攻擊，以及下文提到的其他攻擊。這個系統(tǒng)由我們本機資料中心緩解系統(tǒng)（dosd）驅動。dosd 是我們自己研發(fā)的軟件定義后臺程序。在我們分布在全球各地的數據中心每一臺服務器中，都運行著唯一的 dosd 實例。每個 dosd 實例都會對流量樣本進行路徑外分析。通過在路徑外分析流量，我們可在不造成延遲和影響性能的情況下異步檢測 DDoS 攻擊。DDoS 檢測結果也會在同一數據中心內部的不同 dosd 之間共享，這是主動威脅情報共享的一種形式。

一旦檢測到攻擊，我們的系統(tǒng)就會產生一條緩解規(guī)則，其中附帶與攻擊模式匹配的實時特征。該規(guī)則將被傳播至技術堆棧中的最佳位置。例如，容量耗盡 HTTP DDoS 攻擊可在第四層 Linux iptables 防火墻內予以阻止，而非第七層在用戶空間運行的 L7 反向代理內。在堆棧的較低層進行緩解更具成本效益，例如，在 L4 丟棄數據包，而非在 L7 以 403 錯誤頁面響應。這樣做能減少邊緣 CPU 消耗和數據中心內部的帶寬使用，從而幫助我們在不影響性能的情況下緩解大規(guī)模攻擊。

這種自主方式，加上我們網絡的全球規(guī)模和可靠性，使我們能夠緩解達到我們平均每秒速率 68% 或以上的攻擊，而無需任何 Cloudflare 人員執(zhí)行手動緩解，也不會造成性能出現任何下降。

這次攻擊是由一個強大的僵尸網絡發(fā)動的，目標是 Cloudflare 在金融行業(yè)的客戶。在短短幾秒鐘內，這個僵尸網絡就使用了超過 3.3 億個攻擊請求對 Cloudflare 邊緣進行了轟炸。

這些攻擊流量源于全球 125 個國家/地區(qū)的 2 萬多個僵尸程序。根據僵尸程序的源 IP 地址，接近 15% 的攻擊流量源于印度尼西亞，另外 17% 源于印度和巴西。這表明，在以上國家/地區(qū)可能存在很多被惡意軟件感染的設備。

攻擊來源分布（主要國家/地區(qū)）

這個 1720 萬 rps 攻擊是 Cloudflare 迄今為止見到的最大規(guī)模 HTTP DDoS 攻擊，相當于其他任一已報告 HTTP DDoS 攻擊的近三倍。然而，這個僵尸網絡在過去一段時間已經出現過至少兩次。就在不久前，這個僵尸網絡還對另一個 Cloudflare 客戶（一家托管服務提供商）發(fā)動了一次峰值速率接近 800 萬 rps 的 HTTP DDoS 攻擊。

800 萬 rps 攻擊

前不久，一個 Mirai 變體僵尸網絡發(fā)起了十多次基于 UDP 和 TCP 的 DDoS 攻擊，峰值多次超過 1 Tbps，最大峰值約為 1.2 Tbps。其中第一次 HTTP 攻擊的目標是 Cloudflare WAF/CDN 服務上的客戶，而超過 1 Tbps 的網絡層攻擊針對于 Cloudflare Magic Transit 和 Spectrum 服務的客戶。其中一個目標是位于亞太地區(qū)的主要互聯網服務、電信和托管服務提供商。另一個是游戲公司。在所有情況下，攻擊都被自動檢測并緩解，無需人工干預。

峰值 1.2 Tbps Mirai 僵尸網絡攻擊

這個 Mirai 僵尸網絡最初包含大約 3 萬個僵尸程序，隨后逐漸減少至約 2.8 萬個。然而，盡管數量有所減少，這個僵尸網絡依然能夠在短時間內產生大規(guī)模的攻擊流量。在某些情況下，每次爆發(fā)僅持續(xù)數秒鐘。

與此同時，過去幾周內，我們的網絡上檢測到的 Mirai 型 DDoS 攻擊也有所增加。僅在 7 月份，L3/L4 Mirai 攻擊就增加了 88%，L7 攻擊增加了 9%。此外，根據目前 8 月的日均 Mirai 攻擊數量，到月底時，L7 Mirai DDoS 攻擊和其他類似僵尸網絡攻擊的數量約增長 185%，而 L3/L4 攻擊將增長 71%。

Mirai 型 DDoS 攻擊月度變化

Mirai 在日語中意為 “未來”，是一種惡意軟件的代號，由非營利安全研究工作組 MalwareMustDie 在 2016 年首次發(fā)現。這種惡意軟件通過感染運行 Linux 的設備（例如安全攝像頭和路由器）進行傳播。然后它通過搜索開放的 Telnet 端口 23 和 2323 進行自我傳播。一旦找到，它就會嘗試通過暴力破解已知憑據（例如出廠默認用戶名和密碼）來訪問易受攻擊的設備。Mirai 的后期變體還利用了路由器和其他設備中的零日漏洞。一旦被感染，設備將監(jiān)控命令與控制 (C2) 服務器以獲取有關攻擊目標的指令。

僵尸網絡操作者控制僵尸網絡來攻擊網站

雖然大部分攻擊時間短、規(guī)模小，我們繼續(xù)看到這種類型的容量耗盡攻擊更頻繁地出現。值得注意的是，對于沒有主動型、始終啟用云保護的傳統(tǒng) DDoS 保護系統(tǒng)或組織而言，這些短暫爆發(fā)型攻擊可能尤其危險。

此外，雖然短暫的持續(xù)時間一定程度上反映了僵尸網絡長時間維持流量水平的能力，人類可能難以或不可能對這種攻擊做出反應。在這種情況下，安全工程師甚至還未來得及分析流量或激活其備用 DDoS 攻擊系統(tǒng)，攻擊就已經結束了。這種攻擊凸顯了自動型、始終啟用保護的必要性。

• 啟用 Cloudflare 服務，保護您的互聯網資產。

• DDoS 保護開箱即用，您也可以自定義保護設置。

• 遵循我們的預防性最佳實踐，以確保您的 Cloudflare 設置和源服務器設置都得到優(yōu)化。例如，確保您只允許來自 Cloudflare IP 范圍的流量。理想情況下，請您的上游互聯網服務提供商 (ISP) 應用訪問控制列表 (ACL)，否則，攻擊者可能會直接針對您服務器的 IP 地址并繞過您的保護。

1. 更改任何聯網設備的默認用戶名和密碼，例如智能相機和路由器。這樣將降低 Mirai 等惡意軟件侵入您的路由器和物聯網設備的風險。

2. 使用 Cloudflare for Families 保護您的家庭免受惡意軟件的侵害。Cloudflare for Families 是一項免費服務，可自動阻止從您的家庭網絡到惡意網站的流量和惡意軟件通信。