最近��,Cloudflare自動(dòng)檢測并緩解了一次超量DDoS 攻擊��,該次DDoS攻擊的峰值略低于2Tbps——這是迄今為止所見過的最大攻擊��。這是一種結(jié)合DNS放大 攻擊和UDP 泛洪多向量攻擊�。整個(gè)攻擊只持續(xù)了一分鐘�����。攻擊源大約為15000個(gè)機(jī)器人發(fā)起的��,這些機(jī)器人為物聯(lián)網(wǎng)設(shè)備和未打補(bǔ)丁的 GitLab 實(shí)例上運(yùn)行的原始Mirai代碼的變體�����。
CF DDos保護(hù)系統(tǒng)阻止了近2Tbps的多向量 DDoS攻擊
Cloudflare第三季度 DDoS 趨勢報(bào)告的另一個(gè)重要發(fā)現(xiàn)是,網(wǎng)絡(luò)層 DDoS 攻擊實(shí)際上比上一季度增加了44%�����。雖然第四季度尚未結(jié)束��,再次出現(xiàn)了針對(duì)Cloudflare客戶的多TB級(jí)攻擊�。
CF DDos保護(hù)系統(tǒng)阻止了近2Tbps的多向量 DDoS攻擊
Cloudflare DDoS保護(hù)系統(tǒng)
首先,Cloudflar系統(tǒng)不斷分析“路徑外”流量樣本��,這使其能夠異步檢測DDoS攻擊���,而不會(huì)造成延遲或影響性能��。一旦檢測到攻擊流量(在亞秒內(nèi))���,Cloudflare DDoS保護(hù)系統(tǒng)就會(huì)生成一個(gè)實(shí)時(shí)簽名,該簽名與攻擊模式進(jìn)行匹配�,以在不影響合法流量的情況下減輕攻擊。
生成后���,指紋將作為臨時(shí)緩解規(guī)則傳播到Cloudflare邊緣體系最佳位置��,以實(shí)現(xiàn)經(jīng)濟(jì)高效的緩解���。在這種特定情況下���,與大多數(shù) L3/4 DDoS 攻擊一樣,該規(guī)則被內(nèi)嵌到Linux內(nèi)核的eXpress 數(shù)據(jù)路徑(XDP) 中����,并線速丟棄掉攻擊數(shù)據(jù)包。
CF DDos保護(hù)系統(tǒng)阻止了近2Tbps的多向量 DDoS攻擊
Autonomous Edge
Cloudflare Autonomous Edge由DDos守護(hù)進(jìn)程 (dosd) 提供支持���,該守護(hù)進(jìn)程是一個(gè)本地的軟件定義系統(tǒng)���。在Cloudflare邊緣數(shù)據(jù)中心的每臺(tái)服務(wù)器中都運(yùn)行一個(gè)dosd實(shí)例�。
無需集中管理,分布式的dosd 實(shí)例可以自主檢測和緩解DDoS攻擊�����,而無需集中共識(shí)�。
Cloudflare 的Autonomous Edge的另一個(gè)組件包括TCP流跟蹤守護(hù)程序 (flowtrackd)。該守護(hù)進(jìn)程是Cloudflare 的TCP狀態(tài)跟蹤機(jī)�����,用于檢測和緩解單向路由拓?fù)渲凶铍S機(jī)和最復(fù)雜的基于TCP的DDoS攻擊,例如 Magic Transit�。 flowtrackd能夠識(shí)別TCP連接的狀態(tài),然后丟棄�、挑戰(zhàn)或限制不屬于合法連接的數(shù)據(jù)包。
集中DDoS防護(hù)系統(tǒng)
作為自治邊緣的補(bǔ)充�����,Cloudflare的整個(gè)全局網(wǎng)絡(luò)由Gatebot�、Cloudflare的集中式DDoS保護(hù)系統(tǒng)和全局版本的dosd監(jiān)控。這兩個(gè)組件共同通過檢測和緩解分布式容量DDoS攻擊來保護(hù)Cloudflare的整個(gè)全球網(wǎng)絡(luò)���。
集中式系統(tǒng)在Cloudflare的核心數(shù)據(jù)中心運(yùn)行��。他們從每個(gè)邊緣數(shù)據(jù)中心接收樣本�,對(duì)其進(jìn)行分析����,并在檢測到攻擊時(shí)自動(dòng)發(fā)送緩解指令。該系統(tǒng)還與每個(gè)客戶的網(wǎng)絡(luò)服務(wù)器同步��,以識(shí)別他們的健康狀況并觸發(fā)任何所需的緩解措施��。
DDoS攻擊覆蓋
Cloudflare DDoS保護(hù)系統(tǒng)的規(guī)則集提供針對(duì)多種跨L3/4和OSI模型的L7 DDoS攻擊的保護(hù)���。Cloudflare不斷更新這些托管規(guī)則集����,以提高攻擊覆蓋范圍、提高緩解一致性�、涵蓋新出現(xiàn)的威脅并確保具有成本效益的緩解。
作為一般準(zhǔn)則���,Cloudflare客戶在其服務(wù)運(yùn)行的層級(jí)受到保護(hù)���。例如,WAF客戶一直受到保護(hù)���,免受第7層 (HTTP/HTTPS) 的DDoS攻擊���,包括 L3/4 攻擊�����。目前Cloudflare DDoS保護(hù)系統(tǒng)涵蓋的攻擊向量如下:
CF DDos保護(hù)系統(tǒng)阻止了近2Tbps的多向量 DDoS攻擊
總結(jié)
Cloudflare將幫助建立一個(gè)更好的互聯(lián)網(wǎng)——一個(gè)對(duì)每個(gè)人來說都更安全���、更快��、更可靠的互聯(lián)網(wǎng)做使命�����。其目標(biāo)是讓DDoS攻擊的影響成為過去����。
當(dāng)然防DDoS都還是需要成本的,而且成本不菲�,相比較某些云防廠商的坑蒙防護(hù),Cloudflare的免費(fèi)無限制DDoS防護(hù)真是YYDS����,另外CF的也提供CDN層免費(fèi)HTTPS方案則可以讓我們無需關(guān)注免費(fèi)證書到期,復(fù)雜的配置等直接一鍵實(shí)現(xiàn)HTTPS化升級(jí)�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
