自动缓解754M PPS DDoS攻击

2020-07-10 01:07:20

6月21日,Cloudflare自动缓解了峰值为7.54亿个数据包/秒的大容量DDoS攻击。这次攻击是从6月18日开始到6月21日结束的一项为期四天的有组织活动的一部分:攻击流量从超过316,000个IP地址发送到一个Cloudflare IP地址,该地址主要用于我们免费计划中的网站。攻击期间没有停机或服务降级的报告,由于我们的非计量式缓解保证,也没有向客户收取任何费用。

该攻击由我们的全球DDoS检测和缓解系统Gatebot自动检测和处理,无需我们的团队进行任何人工干预。值得注意的是,因为我们的自动化系统能够在没有问题的情况下缓解攻击,所以没有向我们的待命团队发送警报或页面,也没有任何人工参与。

在这四天里,攻击利用了TCP协议上的三个攻击载体的组合:SYN洪水、ACK洪水和SYN-ACK洪水。攻击活动持续了几个小时,速率超过每秒4亿-6亿个数据包,并多次达到7亿个数据包/秒以上的峰值,最高峰值为7.54亿个数据包/秒。尽管数据包速率高且持续,但我们的edge在攻击期间继续为我们的客户提供服务,而不会对性能造成任何影响。

每秒比特率较高的攻击旨在通过每秒发送的带宽超过链路所能处理的带宽来使Internet链路饱和。缓解稍微密集的洪水类似于大坝在能力有限的运河中阻挡喷涌的水,只允许一部分水通过。

在这种情况下,互联网服务提供商可能会阻止或限制超过允许的流量,从而导致试图连接到网站但被服务提供商阻止的合法用户拒绝服务。在其他情况下,链接只是饱和,该连接后面的所有内容都是离线的。

然而,在这场DDoS战役中,攻击的峰值仅为250Gbps(我是说,仅仅是250Gbps,但如果不是在一些DDoS缓解服务背后,25Tbps就足以使几乎任何东西下线),所以看起来攻击者并不是有意使我们的互联网链路饱和,可能是因为他们知道我们的全球容量超过了37Tbps。相反,攻击者似乎试图(但失败了)用高达每秒7.54亿个数据包的高数据包速率来攻击我们的路由器和数据中心设备。与冲向大坝的水不同,大量的包裹可以被认为是数百万只蚊子的蜂群,你需要一个接一个地消灭它们。

根据数据中心中的“最弱链路”,数据包密集型DDoS攻击可能会影响路由器、交换机、Web服务器、防火墙、DDoS缓解设备或任何其他串联使用的设备。通常,较高的数据包速率可能会导致内存缓冲区溢出,从而使路由器无法处理其他数据包。这是因为处理每个数据包需要很小的固定CPU成本,所以如果您可以发送很多小数据包,您就可以阻止Internet连接,不是通过填充它,而是通过使处理连接的硬件不堪重负。

另一种形式的DDoS攻击是每秒高HTTP请求率的攻击。HTTP请求密集型DDoS攻击旨在通过每秒超过服务器处理能力的HTTP请求来淹没Web服务器的资源。每秒请求率高的DDoS攻击的目标是最大限度地提高服务器的CPU和内存利用率,以使其崩溃或阻止其响应合法请求。请求密集型DDoS攻击允许攻击者生成更少的带宽,而不是位密集型攻击,并且仍然会导致拒绝服务。

那么我们是如何处理每秒7.54亿个数据包的呢?首先,Cloudflare的网络利用BGP Anycast在我们的数据中心机队中传播全球攻击流量。其次,我们构建了自己的DDoS保护系统,Gatebot和Dosd,它们在Linux内核内丢弃数据包,以最大限度地提高效率,以便处理大量数据包泛滥。第三,我们构建了自己的L4负载均衡器Unimog,它使用我们的设备运行状况和其他各种指标来智能地平衡数据中心内的流量。

2017年,我们发布了一个博客,介绍了我们的两个DDoS保护系统之一的Gatebot。这个博客的标题是Meet Gatebot-一个可以让我们睡觉的机器人,而这正是这次攻击期间发生的事情。我们的Anycast将攻击面扩展到全球,然后Gatebot在没有人工干预的情况下自动检测并缓解攻击。每个数据中心内的流量都实现了智能负载平衡,以避免使任何一台机器不堪重负。正如博客标题中承诺的那样,攻击高峰实际上发生在我们的伦敦团队睡着的时候。

那么Gatebot是如何工作的呢?Gatebot对我们在全球200多个地点的每个数据中心的流量进行异步采样。它还可以监控我们客户的源站健康状况。然后,它分析样本以识别可以指示攻击的模式和流量异常。一旦检测到攻击,Gatebot会向边缘数据中心发送缓解指令。

为了补充Gatebot,去年我们发布了代号为DOSD(拒绝服务守护程序)的新系统,该系统在全球200多个城市的每个数据中心运行。与Gatebot类似,DOSD在单个服务器或数据中心的范围内自主检测并减轻攻击。您可以在我们最近的博客中阅读更多关于DOSD的内容。

虽然近几个月我们观察到DDoS攻击的规模和持续时间有所减少,但像这样的高度大规模和全球分布的DDoS攻击仍然存在。无论攻击的规模、类型或复杂程度如何,Cloudflare都可以为所有客户和计划级别(包括免费计划)提供非计量DDoS保护。

DDoS安全Gatebot攻击SYN