Cloudflare緩解了破紀錄的每秒7100萬個請求的DDoS攻擊

上個月發(fā)生的DDoS攻擊已破紀錄。在這一系列攻擊事件中，Cloudflare檢測到并緩解了幾十起超大體量的DDoS攻擊。大多數(shù)攻擊的峰值范圍為5000-7000萬個請求/秒（rps），最大的一次攻擊超過7100萬個rps。這是有史以來所報道過的規(guī)模最大的HTTP DDoS攻擊，比2022年6月報道的4600萬個rps的記錄高54%以上。

這些攻擊基于HTTP/2，其目標是受Cloudflare保護的網(wǎng)站。它們源自30,000多個IP地址。部分被攻擊的網(wǎng)站包括一家熱門游戲供應商、多家加密貨幣公司、多家托管供應商和多個云計算平臺。這些攻擊源自眾多云計算供應商，而我們一直在與他們合作打擊僵尸網(wǎng)絡。

破紀錄的攻擊：超過7100萬個請求/秒的DDoS攻擊??

在過去的一年里，我們發(fā)現(xiàn)更多的攻擊是源自云計算供應商。因此，我們將為擁有專屬自治系統(tǒng)的服務提供商提供一個免費的僵尸網(wǎng)絡威脅訂閱源。該訂閱源將為服務提供商提供有關其專屬IP空間的威脅情報；源自其自治系統(tǒng)內(nèi)的攻擊。運營其專屬IP空間的服務提供商現(xiàn)在可以注冊加入提前體驗等候名單。

這與超級碗或Killnet有關嗎？

無關。此次攻擊活動是在針對醫(yī)療保健網(wǎng)站的Killnet DDoS活動之后兩周內(nèi)發(fā)生的。根據(jù)攻擊方式和目標，我們認為最近的這些攻擊與醫(yī)療保健活動無關。此外，結合參考美國超級碗的賽程時間，我們也認為此次攻擊活動與比賽活動無關。

什么是DDoS攻擊？

分布式拒絕服務攻擊是一種網(wǎng)絡攻擊，其目的是破壞互聯(lián)網(wǎng)資源，使其對用戶不可用。這類網(wǎng)絡攻擊對未受保護的網(wǎng)站可能非常有效，而且攻擊者執(zhí)行這些攻擊的成本也很低。

HTTP DDoS攻擊通常涉及對目標網(wǎng)站的大量HTTP請求。攻擊者的目的是用超過其處理能力的請求來轟炸網(wǎng)站。如果請求量足夠大，網(wǎng)站的服務器將無法處理所有的攻擊請求以及合法的用戶請求。用戶將體驗到網(wǎng)站加載延遲、超時，最終根本無法連接到他們想要訪問的網(wǎng)站。

DDoS攻擊圖解

為了增大攻擊的規(guī)模和復雜程度，攻擊者通常會利用一個機器人網(wǎng)絡—僵尸網(wǎng)絡。攻擊者將統(tǒng)籌僵尸網(wǎng)絡，用HTTP請求轟炸受害者的網(wǎng)站。一個規(guī)模足夠大且功能強大的僵尸網(wǎng)絡可以產(chǎn)生規(guī)模非常龐大的攻擊，正如我們在這個案例中看到的那樣。

然而，構建和運營僵尸網(wǎng)絡需要大量的投資和專業(yè)知識。普通人該怎么做？一個想對網(wǎng)站發(fā)起DDoS攻擊的普通人并不需要從頭開始。他們每月只需支付30美元即可租用任一DDoS即服務平臺。支付的金額越高，所產(chǎn)生攻擊的規(guī)模越大、時間越長。

為什么發(fā)起DDoS攻擊？

多年來，攻擊者和受雇攻擊者發(fā)起DDoS攻擊變得更容易、更便宜、更易得手。但是，盡管攻擊者更易發(fā)起DDoS攻擊，我們?nèi)韵Ｍ_保各種大小組織的防御者對抗各種DDoS攻擊的工作能夠變得更加容易，而且免費。

與勒索軟件攻擊不同，勒索DDoS攻擊不需要發(fā)生實際的系統(tǒng)入侵或在目標網(wǎng)絡內(nèi)有立足點。通常情況下，一旦員工天真地點擊了一個安裝和傳播惡意軟件的電子郵件鏈接，勒索軟件攻擊就開始了。而DDoS攻擊則不需要這樣做，它們更像是一種打了就跑的攻擊。DDoS攻擊者只需要知道網(wǎng)站的地址和/或IP地址。

DDoS攻擊是否在增加？

是。在過去幾個月里，攻擊的規(guī)模、復雜性和頻率都在增加。在我們最新發(fā)布的DDoS威脅報告中，我們看到HTTP DDoS攻擊數(shù)量同比增長了79%。此外，超過100 Gbps的體量式攻擊數(shù)量環(huán)比增長了67%，持續(xù)超過3小時的攻擊數(shù)量環(huán)比增長了87%。

但情況遠非如此。攻擊者的膽量也一直在增加。在我們最新發(fā)布的DDoS威脅報告中，我們看到勒索DDoS攻擊全年穩(wěn)步增長。它們在2022年11月達到峰值，四分之一接受調查的客戶反映說遭到了勒索DDoS攻擊或威脅。

勒索DDoS攻擊月度分布

我是否該擔心遭到DDoS攻擊

是。如果您的網(wǎng)站、服務器或網(wǎng)絡未使用提供自動檢測和緩解的云服務來抵御體量式DDoS攻擊，我們真的建議您加以考慮。

Cloudflare的客戶不必擔心，但應注意警戒并做好準備。以下是確保您的安全防御部署可以得到有效優(yōu)化的一些建議措施：

采取什么措施來抵御DDoS攻擊？

Cloudflare的系統(tǒng)一直在自動檢測和緩解這些DDoS攻擊。

Cloudflare提供了許多您可能已經(jīng)有機會使用但可能尚未采用的功能。因此，我們建議您利用這些功能作為額外的預防措施來改善和優(yōu)化您的安全態(tài)勢。

1.確保將所有DDoS托管規(guī)則設為默認設置（高靈敏度級別和緩解措施），以實現(xiàn)最佳的DDoS激活效果。

2.訂閱了高級DDoS保護服務的Cloudflare企業(yè)客戶應考慮啟用自適應DDoS保護，從而根據(jù)您的獨特流量模式更智能地緩解攻擊。

3.部署防火墻規(guī)則和速率限制規(guī)則，以執(zhí)行積極和消極的綜合安全模式。根據(jù)您的已知使用情況，減少允許進入您的網(wǎng)站的流量。

4.確保您的源服務器不會暴露在公共互聯(lián)網(wǎng)上（即只啟用對Cloudflare IP地址的訪問權限）。作為一項額外的安全預防措施，我們建議聯(lián)系您的托管服務提供商，如果過去他們遭到了直接攻擊，則要求提供新的源服務器IP地址。

5.能夠訪問托管IP列表的客戶應考慮在防火墻規(guī)則中利用這些列表。擁有機器人管理的客戶應考慮在防火墻規(guī)則中利用機器人分數(shù)。

6.盡可能啟用緩存以減少您的源服務器的壓力，而使用Workers時應避免用超過必要數(shù)量的子請求來對您的源服務器施壓。

7.啟用DDoS警報以縮短您的響應時間。

為應對下一波DDoS攻擊做好準備

防御DDoS攻擊對于各種規(guī)模的組織都是至關重要的。攻擊可能是由人類發(fā)動的，但它們是由機器人執(zhí)行的—要打贏這場戰(zhàn)役，您必須用機器人對抗機器人。檢測和緩解必須盡可能自動化，因為僅僅依靠人類來實時緩解會使防御者處于不利地位。Cloudflare的自動化系統(tǒng)持續(xù)為客戶檢測和緩解DDoS攻擊，讓他們得以高枕無憂。這種自動化方法結合我們廣泛的安全能力，使客戶能夠根據(jù)他們的需求定制保護措施。

自2017年首推無計量和無限制的DDoS保護這一概念以來，我們一直向所有客戶免費提供相關服務。Cloudflare的使命是幫助構建更美好的互聯(lián)網(wǎng)。更美好的互聯(lián)網(wǎng)即對所有人而言都更安全、更快速、更可靠—即使面臨DDoS攻擊也是如此。