0-3秒緩解DDoS攻擊,揭秘Cloudflare在全球邊緣的DDoS防護(hù)策略

來源:  Cloudflare
作者:Cloudflare
時(shí)間:2020-12-01
16867
Cloudflare對(duì)于速率密集型攻擊以及分布式的HTTP DDoS攻擊有著不同的緩解策略,在介紹之前,讓我們先來看一看今年以來的DDoS攻擊趨勢(shì)吧。

在Cloudflare的全球網(wǎng)絡(luò)上,我們保護(hù)著超過2600萬(wàn)個(gè)互聯(lián)網(wǎng)資產(chǎn)。在這一規(guī)模下,識(shí)別小型且隱匿的DDoS攻擊也具有一定的挑戰(zhàn)性?,F(xiàn)如今,攻擊者往往可以利用數(shù)量龐大的獨(dú)立IP來進(jìn)行DDoS攻擊,如果不能即時(shí)緩解,即便是小型攻擊也會(huì)對(duì)企業(yè)帶來不容忽視的影響。

Cloudflare對(duì)于速率密集型攻擊以及分布式的HTTP DDoS攻擊有著不同的緩解策略,在介紹之前,讓我們先來看一看今年以來的DDoS攻擊趨勢(shì)吧。

小型攻擊愈發(fā)猖獗,大型攻擊仍然存在

從2019年9月到2020年3月,在Cloudflare網(wǎng)絡(luò)上,峰值超過30 Gbps的攻擊減少了82%,DDoS攻擊的平均大小也穩(wěn)步下降了53%,僅為11.88 Gbps。然而這并不代表小型攻擊正在消退。與之相反,我們?cè)絹碓蕉嗟赜^察到從單一數(shù)據(jù)中心范圍內(nèi)發(fā)起的攻擊,這種針對(duì)我們一個(gè)或兩個(gè)數(shù)據(jù)中心的局部洪災(zāi)往往很難被發(fā)現(xiàn),因?yàn)槠涔魳颖驹趨R總到我們的核心數(shù)據(jù)中心后會(huì)被稀釋。

ia_1000000002.jpg

與此同時(shí),大型攻擊并未消失,我們?nèi)杂^察到了峰值為330 Gbps、每秒高達(dá)4億個(gè)數(shù)據(jù)包的攻擊。我們的某些客戶一天之內(nèi)就受到了890次DDoS攻擊,一個(gè)月中遭受的DDoS攻擊次數(shù)多達(dá)1750次。

這些攻擊趨勢(shì)促使我們的工程團(tuán)隊(duì)發(fā)明了更高效、更智能的方式來大規(guī)模捍衛(wèi)我們的網(wǎng)絡(luò)和客戶。

集中分析,邊緣強(qiáng)制DDoS緩解

在Cloudflare,我們使用Gatebot來保護(hù)客戶免受速率密集型攻擊。Gatebot會(huì)從路由器中獲取流數(shù)據(jù)樣本,并從服務(wù)器中獲取HTTP請(qǐng)求樣本,隨后分析樣本的異常情況,并在檢測(cè)到攻擊時(shí)將緩解指令自動(dòng)推送到邊緣。

ia_1000000003.jpg

Gatebot集中運(yùn)行在我們的核心數(shù)據(jù)中心而非邊緣,它在減輕大型攻擊方面有著十分出色的表現(xiàn),平均每個(gè)月能夠阻止超過4000次L3/L4 DDoS攻擊。

邊緣分析,邊緣強(qiáng)制緩解

我們使用dosd守護(hù)進(jìn)程來阻止較小的、局部的DDoS攻擊。作為Gatebot的補(bǔ)充,dosd被設(shè)計(jì)為分布式系統(tǒng),運(yùn)行在我們每一個(gè)數(shù)據(jù)中心的每臺(tái)服務(wù)器中。結(jié)果即是,dosd可在0到3秒內(nèi)檢測(cè)到DDoS攻擊,生成實(shí)時(shí)規(guī)則并立即進(jìn)行緩解。僅在過去的一個(gè)月中,dosd就緩解了超過28萬(wàn)例L3/4 DDoS攻擊。

IP Jails,更具經(jīng)濟(jì)性的緩解方式

讓我們先看兩組真實(shí)案例:

2019年7月,Cloudflare緩解了一個(gè)攻擊峰值達(dá)到每秒140萬(wàn)個(gè)請(qǐng)求的HTTP DDoS攻擊,該攻擊使用了110萬(wàn)個(gè)獨(dú)立IP地址,這些IP地址的背后都是能夠完成TCP和HTTPS握手功能的實(shí)際客戶端。

ia_1000000004.jpg

2019年9月,Cloudflare緩解了一起HTTP DDoS攻擊,該攻擊每秒請(qǐng)求數(shù)低于5M,但持續(xù)了一個(gè)多小時(shí)。有趣的是,攻擊者能夠持續(xù)使用37.1萬(wàn)個(gè)獨(dú)立IP進(jìn)行這一速率的攻擊。

ia_1000000005.jpg

攻擊者在這些攻擊中都使用了大量的獨(dú)立IP,因此我們也需要一個(gè)更高效且更具成本效益的緩解策略。

Cloudflare的IP Jails功能可以高效地緩解速率密集型和分布式HTTP DDoS攻擊。IP Jails將緩解措施推送到了傳輸層(L4),無(wú)需丟棄代理錯(cuò)誤或質(zhì)詢頁(yè)面,只需刪除IP連接。在L4上進(jìn)行緩解具有更高的計(jì)算效率,并且可以節(jié)省帶寬,減少CPU和內(nèi)存的消耗。

ia_1000000006.jpg

ia_1000000007.jpg

結(jié)合Gatebot檢測(cè)機(jī)制以及源節(jié)點(diǎn)錯(cuò)誤

通過同步Gatebot的檢測(cè)機(jī)制以及客戶原始服務(wù)器的運(yùn)行狀況,我們可以更好地檢測(cè)并應(yīng)對(duì)低速率攻擊。這一功能現(xiàn)在正保護(hù)著我們從免費(fèi)計(jì)劃到企業(yè)計(jì)劃的每一位客戶,讓客戶免受DDoS攻擊,讓源節(jié)點(diǎn)免受各類有害洪水的侵害。

ia_1000000008.jpg

僅在2020年3月,我們平均每天緩解812次HTTP DDoS攻擊,總共抵御了超過20000次HTTP DDoS攻擊。

為所有人提供無(wú)限制的DDoS防護(hù)

在2017年的Cloudflare八周年生日周,我們推出了免費(fèi)的DDoS防護(hù)。只要您使用任意Cloudflare計(jì)劃(Free,Pro,Business或Enterprise),以上的新保護(hù)功能都將默認(rèn)開啟,無(wú)需額外付費(fèi)。Cloudflare DDoS防護(hù)已包含在了我們每一項(xiàng)服務(wù)中,無(wú)論是L3的Magic Transit,L4的Spectrum,還是L7的WAF/CDN服務(wù)。我們一直致力于讓互聯(lián)網(wǎng)變得更快、更安全、更可靠。

立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于 Cloudflare,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán),請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除!
掃碼登錄
打開掃一掃, 關(guān)注公眾號(hào)后即可登錄/注冊(cè)
加載中
二維碼已失效 請(qǐng)重試
刷新
賬號(hào)登錄/注冊(cè)
個(gè)人VIP
小程序
快出海小程序
公眾號(hào)
快出海公眾號(hào)
商務(wù)合作
商務(wù)合作
投稿采訪
投稿采訪
出海管家
出海管家