Cloudflare 阻止了 1720 萬 rps 的 DDoS 攻擊——有史以來最大的一次

今年夏天早些時候,Cloudflare 的自主邊緣 DDoS 保護系統自動檢測到並緩解了每秒 1720 萬次請求 (rps) 的 DDoS 攻擊,該攻擊幾乎是我們之前所知道的任何一次攻擊的三倍。關於這次攻擊的規模有多大:Cloudflare 平均每秒處理超過 2500 萬個 HTTP 請求。這是指 2021 年第二季度的平均合法流量率。因此,這次攻擊達到了 1720 萬 rps 的峰值,達到了我們第二季度合法 HTTP 流量平均 rps 速率的 6
2021-08-24
by 樂雲

Cloudflare 阻止了 1720 萬 rps 的 DDoS 攻擊

有史以來最大的一次

今年夏天早些時候,Cloudflare 的自主邊緣 DDoS 保護系統自動檢測到並緩解了每秒 1720 萬次請求 (rps) 的 DDoS 攻擊,該攻擊幾乎是我們之前所知道的任何一次攻擊的三倍。關於這次攻擊的規模有多大:Cloudflare 平均每秒處理超過 2500 萬個 HTTP 請求。這是指 2021 年第二季度的平均合法流量率。因此,這次攻擊達到了 1720 萬 rps 的峰值,達到了我們第二季度合法 HTTP 流量平均 rps 速率的 68%。
Cloudflare 的平均每秒請求率與 DDoS 攻擊的比較圖

使用 Cloudflare 的自主邊緣自動緩解 DDoS

我們的自主邊緣 DDoS 保護系統會自動檢測並緩解此攻擊以及下一節中提供的其他攻擊。該系統由我們自己的拒絕服務守護程序 (dosd) 提供支持。Dosd 是一個本土的軟體定義守護進程。一個獨特的 dosd 實例在我們全球每個數據中心的每台服務器中運行。每個 dosd 實例獨立地分析路徑外的流量樣本。分析路徑外的流量使我們能夠異步掃描 DDoS 攻擊,而不會造成延遲和影響性能。DDoS 調查結果也在數據中心內的各種 dosd 實例之間共享,作為主動威脅情報共享的一種形式。

一旦檢測到攻擊,我們的系統就會生成一個帶有與攻擊模式匹配的實時簽名的緩解規則。規則傳播到技術堆棧中的最佳位置。例如,容量 HTTP DDoS 攻擊可能在 Linux iptables 防火牆內部的 L4 處被阻止,而不是在用戶空間中運行的 L7 反向代理內部的 L7 處被阻止。減輕堆棧中的較低級別,例如在 L4 丟棄數據包而不是在 L7 中使用 403 錯誤頁面進行響應,更具成本效益。它減少了我們的邊緣 CPU 消耗和數據中心內帶寬利用率,從而幫助我們在不影響性能的情況下大規模緩解大型攻擊。

這種自主方法以及我們網路的全球規模和可靠性,使我們能夠減輕達到平均每秒速率 68% 甚至更高的攻擊,而無需 Cloudflare 人員進行任何手動緩解,也不會導致任何性能下降。

Mirai 的復興和新的強大殭屍網路

這次攻擊是由一個強大的殭屍網路發起的,目標是金融行業的 Cloudflare 客戶。幾秒鐘之內,殭屍網路就以超過 3.3 億個攻擊請求轟炸了 Cloudflare 邊緣。
17.2M rps 攻擊圖
攻擊流量來自全球 125 個國家/地區的 20,000 多個機器人。根據機器人的源 IP 地址,幾乎 15% 的攻擊來自印度尼西亞,另外 17% 來自印度和巴西。表明這些國家/地區可能存在許多受惡意軟體感染的設備。
主要國家攻擊源分佈

體積攻擊增加

這次 1720 萬 rps 的攻擊是 Cloudflare 迄今為止所見過的最大的 HTTP DDoS 攻擊,幾乎是任何其他已報告的 HTTP DDoS 攻擊的三倍。然而,這個特定的殭屍網路在過去幾周中至少出現過兩次。就在上週,它還針對不同的 Cloudflare 客戶(一家託管服務提供商)發起了一次 HTTP DDoS 攻擊,其峰值略低於 800 萬 rps。
8M rps 攻擊圖
兩週前,一個Mirai 變體殭屍網路發起了十多次基於 UDP 和 TCP 的 DDoS 攻擊,峰值多次超過 1 Tbps,最大峰值約為 1.2 Tbps。雖然第一次 HTTP 攻擊針對的是WAF/CDN 服務上的 Cloudflare 客戶,但 1+ Tbps 網路層攻擊針對的是 Cloudflare 客戶的Magic Transit和Spectrum服務。其中一個目標是位於亞太地區的主要互聯網服務、電信和託管服務提供商。另一個是遊戲公司。在所有情況下,攻擊都被自動檢測並緩解,無需人工干預。
Mirai 殭屍網路攻擊峰值為 1.2 Tbps 的圖表
Mirai 殭屍網路開始時大約有 3 萬個機器人,然後慢慢縮減到大約 2.8 萬個。然而,儘管從其艦隊中丟失了機器人,殭屍網路仍然能夠在短時間內產生大量的攻擊流量。在某些情況下,每次爆發只持續幾秒鐘。

這些攻擊與我們過去幾週在網路上觀察到的基於 Mirari 的 DDoS 攻擊一起增加。僅在 7 月份,L3/4 Mirai 攻擊就增加了 88%,L7 攻擊增加了 9%。此外,根據目前 8 月份 Mirai 攻擊的日均值,我們可以預計到月底,L7 Mirai DDoS 攻擊和其他類似殭屍網路攻擊將增加 185%,L3/4 攻擊將增加 71%。

基於 Mirai 的 DDoS 攻擊按月變化圖

回到未來

Mirai在日語中意為“未來”,是惡意軟體的代號,由非營利安全研究工作組MalwareMustDie於 2016 年首次發現。惡意軟體通過感染運行 Linux 的設備(例如安全攝像頭和路由器)進行傳播。然後它通過搜索開放的 Telnet 端口 23 和 2323 進行自我傳播。一旦找到,它就會嘗試通過暴力破解已知憑據(例如出廠默認用戶名和密碼)來訪問易受攻擊的設備。Mirai 的後期變體還利用了路由器和其他設備中的零日漏洞。一旦被感染,這些設備將監控命令與控制 (C2) 服務器以獲取有關攻擊目標的指令。
殭屍網路操作者控制殭屍網路攻擊網站的示意圖

如何保護您的家庭和企業

雖然大多數攻擊都是小而短的,但我們繼續看到這些類型的體積攻擊更頻繁地出現。重要的是要注意,對於沒有主動、始終在線的基於雲的保護的傳統 DDoS 保護系統或組織而言,這些大規模短時間突發攻擊可能尤其危險。

此外,雖然短暫的持續時間可能說明殭屍網路隨著時間的推移提供持續的流量水平的能力,但人類對其及時做出反應可能具有挑戰性或不可能。在這種情況下,安全工程師甚至還沒來得及分析流量或激活他們的備用 DDoS 保護系統,攻擊就結束了。這些類型的攻擊突出了對自動化、永遠在線保護的需求。