Cloudflare系统自动挡下每秒7亿封包的DDoS攻击流量

在6月21日的时候,Cloudflare的DDoS防御系统Gatebot侦测到了爆量的DDoS攻击,来自超过30万个IP地址的攻击流量,峰值达到每秒7.54亿个封包,灌向一个使用Cloudflare免费计划的IP地址,由于Gatebot即时作用,攻击期间并未造成该IP服务停止或任何影响,且防御过程未有任何人员参与。

这个爆量DDoS攻击时间长达4天,从6月18日开始到6月21日结束,攻击总共结合使用3种攻击矢量,SYN、ACK以及SYN-ACK洪水攻击,攻击活动以每秒4到6亿个封包,攻击目标数个小时,多次超过每秒7亿个封包,最高峰达到每秒7.54亿个封包,而这一连串的攻击被Gatebot侦测,并且成功抵御。

DDoS有三种类型,其中一种常见的方法是高码率的攻击法,目的是要发送比互联网连接每秒能够处理的带宽还要多的位元流量,使互联网连接饱和,进而影响正常用户访问,Cloudflare提到,要防御这种密集型的洪水攻击,就像是为容量有限的运河创建水坝,阻挡水流涌入,仅允许部分的水量通过,因此在高码率DDoS攻击的情况下,互联网服务商通常会阻挡或是限制网络流量,但同时这也会使得合法用户遭到阻挡。

不过,在这次的DDoS攻击活动与高码率攻击不一样的是,攻击的流量峰值只有250 Gbps,而Cloudflare的全球容量高达37 Tbps,因此Cloudflare认为,攻击者目的并非要使他们的互联网连接饱和,而是企图以每秒高达7.54亿的巨量封包,压垮路由器和数据中心设备,相较于冲向运河大坝的水流量,大量的封包像是成千上万的蚊子,防御者必需要把蚊子们一一消除。

受巨量封包DDoS攻击影响的设备,取决于数据中心里最弱的环节,可能会使路由器、交换机、网页服务器或是防火墙,甚至是DDoS防御设备瘫痪,Cloudflare提到,这种攻击通常会使路由器内存缓冲区溢出,而无法处理更多的资料封包。

Cloudflare使用了3个机制,层层减轻DDoS攻击带来的影响,首先是Cloudflare网络会利用BGP Anycast技术,将攻击流量分散到全球的数据中心机群,第二则是使用DDoS防御系统Gatebot和dosd,能以最大效率从Linux核心内部丢弃封包,以处理大量封包洪水攻击,第三则是Cloudflare创建了自己的L4负载均衡器Unimog,能够利用各种指标智能地平衡数据中心内的流量。

Gatebot是这次抵御DDoS攻击的关键,在Cloudflare网络使用BGP Anycast技术,将攻击表面扩展至全球后,Gatebot便自动侦测并且进行防御,而且数据中心里的智慧负载均衡机制,能控制负载避免流量压垮任何一台计算机。Gatebot是Cloudflare中两个DDoS防御系统之一,会对全球200多个位置的数据中心流量,进行异步采样,并且监控用户服务器的健康状况,当Gatebot分析样本后,发现异常的模式或是流量,便会发送防御指令到边缘数据中心,消化攻击流量。