最近,Cloudflare自动检测并缓解了一次超量DDoS 攻击,该次DDoS攻击的峰值略低于2Tbps——这是迄今为止所见过的最大攻击。这是一种结合DNS放大 攻击和UDP 泛洪多向量攻击。整个攻击只持续了一分钟。攻击源大约为15000个机器人发起的,这些机器人为物联网设备和未打补丁的 GitLab 实例上运行的原始Mirai代码的变体。
CF DDos保护系统阻止了近2Tbps的多向量 DDoS攻击
Cloudflare第三季度 DDoS 趋势报告的另一个重要发现是,网络层 DDoS 攻击实际上比上一季度增加了44%。虽然第四季度尚未结束,再次出现了针对Cloudflare客户的多TB级攻击。
CF DDos保护系统阻止了近2Tbps的多向量 DDoS攻击
Cloudflare DDoS保护系统
首先,Cloudflar系统不断分析“路径外”流量样本,这使其能够异步检测DDoS攻击,而不会造成延迟或影响性能。一旦检测到攻击流量(在亚秒内),Cloudflare DDoS保护系统就会生成一个实时签名,该签名与攻击模式进行匹配,以在不影响合法流量的情况下减轻攻击。
生成后,指纹将作为临时缓解规则传播到Cloudflare边缘体系最佳位置,以实现经济高效的缓解。在这种特定情况下,与大多数 L3/4 DDoS 攻击一样,该规则被内嵌到Linux内核的eXpress 数据路径(XDP) 中,并线速丢弃掉攻击数据包。
CF DDos保护系统阻止了近2Tbps的多向量 DDoS攻击
Autonomous Edge
Cloudflare Autonomous Edge由DDos守护进程 (dosd) 提供支持,该守护进程是一个本地的软件定义系统。在Cloudflare边缘数据中心的每台服务器中都运行一个dosd实例。
无需集中管理,分布式的dosd 实例可以自主检测和缓解DDoS攻击,而无需集中共识。
Cloudflare 的Autonomous Edge的另一个组件包括TCP流跟踪守护程序 (flowtrackd)。该守护进程是Cloudflare 的TCP状态跟踪机,用于检测和缓解单向路由拓扑中最随机和最复杂的基于TCP的DDoS攻击,例如 Magic Transit。 flowtrackd能够识别TCP连接的状态,然后丢弃、挑战或限制不属于合法连接的数据包。
集中DDoS防护系统
作为自治边缘的补充,Cloudflare的整个全局网络由Gatebot、Cloudflare的集中式DDoS保护系统和全局版本的dosd监控。这两个组件共同通过检测和缓解分布式容量DDoS攻击来保护Cloudflare的整个全球网络。
集中式系统在Cloudflare的核心数据中心运行。他们从每个边缘数据中心接收样本,对其进行分析,并在检测到攻击时自动发送缓解指令。该系统还与每个客户的网络服务器同步,以识别他们的健康状况并触发任何所需的缓解措施。
DDoS攻击覆盖
Cloudflare DDoS保护系统的规则集提供针对多种跨L3/4和OSI模型的L7 DDoS攻击的保护。Cloudflare不断更新这些托管规则集,以提高攻击覆盖范围、提高缓解一致性、涵盖新出现的威胁并确保具有成本效益的缓解。
作为一般准则,Cloudflare客户在其服务运行的层级受到保护。例如,WAF客户一直受到保护,免受第7层 (HTTP/HTTPS) 的DDoS攻击,包括 L3/4 攻击。目前Cloudflare DDoS保护系统涵盖的攻击向量如下:
CF DDos保护系统阻止了近2Tbps的多向量 DDoS攻击
总结
Cloudflare将帮助建立一个更好的互联网——一个对每个人来说都更安全、更快、更可靠的互联网做使命。其目标是让DDoS攻击的影响成为过去。
当然防DDoS都还是需要成本的,而且成本不菲,相比较某些云防厂商的坑蒙防护,Cloudflare的免费无限制DDoS防护真是YYDS,另外CF的也提供CDN层免费HTTPS方案则可以让我们无需关注免费证书到期,复杂的配置等直接一键实现HTTPS化升级。