融通未来,“数”启精彩——TiDB助力金融出海线上直播
快出海  > Cloudflare  >  史无前例!丨Cloudflare 成功抵抗有史以来最大规模的攻击

史无前例!丨Cloudflare 成功抵抗有史以来最大规模的攻击

来源:Cloudflare
作者:Cloudflare
时间:2021-09-02
今年初夏,Cloudflare 的自主边缘 DDoS 保护系统自动检测并缓解了一次每秒 1720 万个请求 (rps) 的 DDoS 攻击,这个攻击规模相当于我们过去已知任何一次攻击的近三倍。作为对比,Cloudflare 平均每秒处理超过 2500 万个 HTTP 请求,这是 2021 年第二季度的平均合法流量速率。这次攻击的峰值速率达到 1720 万 rps,也即是相当于我们第二季度合法 HTTP 流量平均 rps 速率的 68%。

今年初夏,Cloudflare 的自主边缘 DDoS 保护系统自动检测并缓解了一次每秒 1720 万个请求 (rps) 的 DDoS 攻击,这个攻击规模相当于我们过去已知任何一次攻击的近三倍。作为对比,Cloudflare 平均每秒处理超过 2500 万个 HTTP 请求,这是 2021 年第二季度的平均合法流量速率。这次攻击的峰值速率达到 1720 万 rps,也即是相当于我们第二季度合法 HTTP 流量平均 rps 速率的 68%。

6.JPG

Cloudflare 平均每秒请求数与 DDoS 攻击对比


Cloudflare 自主边缘进行自动 DDoS 缓解

Cloudflare 的自主边缘 DDoS 保护系统自动检测并缓解了以上攻击,以及下文提到的其他攻击。这个系统由我们本机资料中心缓解系统(dosd)驱动。dosd 是我们自己研发的软件定义后台程序。在我们分布在全球各地的数据中心每一台服务器中,都运行着唯一的 dosd 实例。每个 dosd 实例都会对流量样本进行路径外分析。通过在路径外分析流量,我们可在不造成延迟和影响性能的情况下异步检测 DDoS 攻击。DDoS 检测结果也会在同一数据中心内部的不同 dosd 之间共享,这是主动威胁情报共享的一种形式。

一旦检测到攻击,我们的系统就会产生一条缓解规则,其中附带与攻击模式匹配的实时特征。该规则将被传播至技术堆栈中的最佳位置。例如,容量耗尽 HTTP DDoS 攻击可在第四层 Linux iptables 防火墙内予以阻止,而非第七层在用户空间运行的 L7 反向代理内。在堆栈的较低层进行缓解更具成本效益,例如,在 L4 丢弃数据包,而非在 L7 以 403 错误页面响应。这样做能减少边缘 CPU 消耗和数据中心内部的带宽使用,从而帮助我们在不影响性能的情况下缓解大规模攻击。

这种自主方式,加上我们网络的全球规模和可靠性,使我们能够缓解达到我们平均每秒速率 68% 或以上的攻击,而无需任何 Cloudflare 人员执行手动缓解,也不会造成性能出现任何下降。

Mirai 卷土重来和强大的新型僵尸网络

这次攻击是由一个强大的僵尸网络发动的,目标是 Cloudflare 在金融行业的客户。在短短几秒钟内,这个僵尸网络就使用了超过 3.3 亿个攻击请求对 Cloudflare 边缘进行了轰炸。

5.JPG

1720 万 rps 攻击

这些攻击流量源于全球 125 个国家/地区的 2 万多个僵尸程序。根据僵尸程序的源 IP 地址,接近 15% 的攻击流量源于印度尼西亚,另外 17% 源于印度和巴西。这表明,在以上国家/地区可能存在很多被恶意软件感染的设备。

5.JPG

攻击来源分布(主要国家/地区)


巨流量攻击(Volumetric Attack)有所增加

这个 1720 万 rps 攻击是 Cloudflare 迄今为止见到的最大规模 HTTP DDoS 攻击,相当于其他任一已报告 HTTP DDoS 攻击的近三倍。然而,这个僵尸网络在过去一段时间已经出现过至少两次。就在不久前,这个僵尸网络还对另一个 Cloudflare 客户(一家托管服务提供商)发动了一次峰值速率接近 800 万 rps 的 HTTP DDoS 攻击。

4.JPG

800 万 rps 攻击

前不久,一个 Mirai 变体僵尸网络发起了十多次基于 UDP 和 TCP 的 DDoS 攻击,峰值多次超过 1 Tbps,最大峰值约为 1.2 Tbps。其中第一次 HTTP 攻击的目标是 Cloudflare WAF/CDN 服务上的客户,而超过 1 Tbps 的网络层攻击针对于 Cloudflare Magic Transit 和 Spectrum 服务的客户。其中一个目标是位于亚太地区的主要互联网服务、电信和托管服务提供商。另一个是游戏公司。在所有情况下,攻击都被自动检测并缓解,无需人工干预。

3.JPG

峰值 1.2 Tbps Mirai 僵尸网络攻击

这个 Mirai 僵尸网络最初包含大约 3 万个僵尸程序,随后逐渐减少至约 2.8 万个。然而,尽管数量有所减少,这个僵尸网络依然能够在短时间内产生大规模的攻击流量。在某些情况下,每次爆发仅持续数秒钟。

与此同时,过去几周内,我们的网络上检测到的 Mirai 型 DDoS 攻击也有所增加。仅在 7 月份,L3/L4 Mirai 攻击就增加了 88%,L7 攻击增加了 9%。此外,根据目前 8 月的日均 Mirai 攻击数量,到月底时,L7 Mirai DDoS 攻击和其他类似僵尸网络攻击的数量约增长 185%,而 L3/L4 攻击将增长 71%。

2.JPG

Mirai 型 DDoS 攻击月度变化

回到“未来”

Mirai 在日语中意为 “未来”,是一种恶意软件的代号,由非营利安全研究工作组 MalwareMustDie 在 2016 年首次发现。这种恶意软件通过感染运行 Linux 的设备(例如安全摄像头和路由器)进行传播。然后它通过搜索开放的 Telnet 端口 23 和 2323 进行自我传播。一旦找到,它就会尝试通过暴力破解已知凭据(例如出厂默认用户名和密码)来访问易受攻击的设备。Mirai 的后期变体还利用了路由器和其他设备中的零日漏洞。一旦被感染,设备将监控命令与控制 (C2) 服务器以获取有关攻击目标的指令。

1.JPG

僵尸网络操作者控制僵尸网络来攻击网站

如何保护您的家庭和企业

虽然大部分攻击时间短、规模小,我们继续看到这种类型的容量耗尽攻击更频繁地出现。值得注意的是,对于没有主动型、始终启用云保护的传统 DDoS 保护系统或组织而言,这些短暂爆发型攻击可能尤其危险。

此外,虽然短暂的持续时间一定程度上反映了僵尸网络长时间维持流量水平的能力,人类可能难以或不可能对这种攻击做出反应。在这种情况下,安全工程师甚至还未来得及分析流量或激活其备用 DDoS 攻击系统,攻击就已经结束了。这种攻击凸显了自动型、始终启用保护的必要性。

如何保护您的企业和互联网资产

  • 启用 Cloudflare 服务,保护您的互联网资产。

  • DDoS 保护开箱即用,您也可以自定义保护设置。

  • 遵循我们的预防性最佳实践,以确保您的 Cloudflare 设置和源服务器设置都得到优化。例如,确保您只允许来自 Cloudflare IP 范围的流量。理想情况下,请您的上游互联网服务提供商 (ISP) 应用访问控制列表 (ACL),否则,攻击者可能会直接针对您服务器的 IP 地址并绕过您的保护。

有关如何保护家庭和物联网设备的建议

  1. 更改任何联网设备的默认用户名和密码,例如智能相机和路由器。这样将降低 Mirai 等恶意软件侵入您的路由器和物联网设备的风险。

  2. 使用 Cloudflare for Families 保护您的家庭免受恶意软件的侵害。Cloudflare for Families 是一项免费服务,可自动阻止从您的家庭网络到恶意网站的流量和恶意软件通信。

立即登录,阅读全文
版权说明

本文内容来自于Cloudflare,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(hj@kchuhai.com)删除!

相关文章
史无前例!丨Cloudflare 成功抵抗有史以来最大规模的攻击
史无前例!丨Cloudflare 成功抵抗有史以来最大规模的攻击
今年初夏,Cloudflare 的自主边缘 DDoS 保护系统自动检测并缓解了一次每秒 1720 万个请求 (rps) 的 DDoS 攻击,这个攻击规模相当于我们过去已知任何一次攻击的近三倍。作为对比,Cloudflare 平均每秒处理超过 2500 万个 HTTP 请求,这是 2021 年第二季度的平均合法流量速率。这次攻击的峰值速率达到 1720 万 rps,也即是相当于我们第二季度合法 HTTP 流量平均 rps 速率的 68%。
Cloudflare
2021-09-02
云迁移在网络硬件设备的消亡下,将何去何从?Cloudflare 为您在线剖析!
云迁移在网络硬件设备的消亡下,将何去何从?Cloudflare 为您在线剖析!
在云迁移过程中,许多网络功能仍留在企业内部,造成容量限制、高总拥有成本、支持挑战和安全缺口等问题。Cloudflare为您讲述这些挑战,并对其结果进行量化,提出了通过基于云的解决方案来提高混合云基础设施的速度、可负担性和安全性。
Cloudflare
2021-08-26
1720万rps:Cloudflare扛下了创纪录的DDoS攻击
1720万rps:Cloudflare扛下了创纪录的DDoS攻击
互联网基础设施服务提供商 Cloudflare 今天披露 ,其已减轻了迄今为止最夸张的分布式拒绝服务攻击(简称 DDoS)。上月,Cloudflare 发现了针对金融行业客户的大规模 DDoS 攻击。可知攻击者利用了由 20000 多台受感染设备组成的僵尸网络,以通过向目标网络发送巨量 HTTP 请求的方式,来耗尽其服务器资源。
cnBeta
2021-08-25
Cloudflare为店匠SHOPLAZZA全球逾36万商户保驾护航!
Cloudflare为店匠SHOPLAZZA全球逾36万商户保驾护航!
近十余年来,国内跨境电商行业已成为超级明星行业,越来越多的品牌借助独立站搭建平台,打造爆品,成功出海。2020 年受疫情影响,更多的消费者将购物习惯由线下转至线上,进一步刺激跨境电商的极速发展。根据谷歌与德勤最新发布的《 2021 中国跨境电商发展报告》,2019 至 2020 年间,欧美及亚太地区主要国家的电商整体零售额经历了 15% 以上的高速增长。
Cloudflare
2021-08-19
如何保护现代化员工队伍并加快其发展的方式?Cloudflare为您答疑!
如何保护现代化员工队伍并加快其发展的方式?Cloudflare为您答疑!
现代化的远程团队由员工、承包商和合作伙伴等各类用户组成,他们使用相同的工具开展协作。随着团队日趋分散,您将如何保护公司数据、同时又不拖慢用户的速度?Cloudflare 将为您提供基础知识,让您了解如何调整企业的在线安全措施以适应当今和未来的需求。它将介绍零信任安全模型等关键概念,展示针对旧问题的新解决方案,并带您了解如何在瞬息万变的环境中保障团队安全。
Cloudflare
2021-08-19
扫描关注获取更多 Cloudflare 的相关信息
服务商推荐 更多 >
北京云联万维技术有限公司
脉时云
脉时云是领先的出海融合云服务商,是Google Cloud北亚区规模最大的Premier Partner和亚马逊云科技APN Advanced Partner,累计服务超过100家中国出海企业,核心团队来自于美团、滴滴、豌豆荚、中国电信等公司,肩负连接全球用户与中国应用的使命。
云服务
3YData
3YData
海内外ASA代投、ASO优化等服务
推广
F5 Networks
F5
出海无国界,云端新引擎 —— 云原生时代的全球智能应用安全交付专家
云服务
Sanuker Inc. Limited
Sanuker
Sanuker是一家专注为中国出海品牌打造对话式商务体验的服务商,我们2017年有幸开始成为Messenger的开发者合作伙伴,并在2019年成为WhatsApp全球商业方案的提供商,为各大品牌设计并开发售前,转换和售后的对话式商务体验。
推广数据服务
北京蓝色光标数字传媒科技有限公司
蓝瀚互动
专注于为出海企业提供全套价值链服务,包括海外市场洞察、品牌营销策略、创意设计、广告优化、 账户管理、全球KOL营销、粉丝页运营等一站式整合营销服务,满足出海广告主的多元化需求。
推广
杭州云片网络科技有限公司
云片
作为全球移动通讯系统协会GSMA会员单位,云片一直以来积极拓展全球通讯业务。目前云片短信业务覆盖全球217个国家和地区,与全球1000+运营商建立了合作。云片凭借创新解决方案和专业的客户服务,一直领跑行业。在国际服务方面,支持【国际短信】【国际彩信】【全球语音验证】【行为验证】【OTP】【一键登录】
云服务
扫码登录
打开扫一扫, 关注公众号后即可登录/注册
加载中
二维码已失效 请重试
刷新
账号登录/注册
小程序
公众号
商务合作
投稿采访
出海管家
专区推荐