0-3秒緩解DDoS攻擊，揭秘Cloudflare在全球邊緣的DDoS防護(hù)策略

在Cloudflare的全球網(wǎng)絡(luò)上，我們保護(hù)著超過2600萬(wàn)個(gè)互聯(lián)網(wǎng)資產(chǎn)。在這一規(guī)模下，識(shí)別小型且隱匿的DDoS攻擊也具有一定的挑戰(zhàn)性?，F(xiàn)如今，攻擊者往往可以利用數(shù)量龐大的獨(dú)立IP來進(jìn)行DDoS攻擊，如果不能即時(shí)緩解，即便是小型攻擊也會(huì)對(duì)企業(yè)帶來不容忽視的影響。

Cloudflare對(duì)于速率密集型攻擊以及分布式的HTTP DDoS攻擊有著不同的緩解策略，在介紹之前，讓我們先來看一看今年以來的DDoS攻擊趨勢(shì)吧。

小型攻擊愈發(fā)猖獗，大型攻擊仍然存在

從2019年9月到2020年3月，在Cloudflare網(wǎng)絡(luò)上，峰值超過30 Gbps的攻擊減少了82%，DDoS攻擊的平均大小也穩(wěn)步下降了53％，僅為11.88 Gbps。然而這并不代表小型攻擊正在消退。與之相反，我們?cè)絹碓蕉嗟赜^察到從單一數(shù)據(jù)中心范圍內(nèi)發(fā)起的攻擊，這種針對(duì)我們一個(gè)或兩個(gè)數(shù)據(jù)中心的局部洪災(zāi)往往很難被發(fā)現(xiàn)，因?yàn)槠涔魳颖驹趨R總到我們的核心數(shù)據(jù)中心后會(huì)被稀釋。

與此同時(shí)，大型攻擊并未消失，我們?nèi)杂^察到了峰值為330 Gbps、每秒高達(dá)4億個(gè)數(shù)據(jù)包的攻擊。我們的某些客戶一天之內(nèi)就受到了890次DDoS攻擊，一個(gè)月中遭受的DDoS攻擊次數(shù)多達(dá)1750次。

這些攻擊趨勢(shì)促使我們的工程團(tuán)隊(duì)發(fā)明了更高效、更智能的方式來大規(guī)模捍衛(wèi)我們的網(wǎng)絡(luò)和客戶。

集中分析，邊緣強(qiáng)制DDoS緩解

在Cloudflare，我們使用Gatebot來保護(hù)客戶免受速率密集型攻擊。Gatebot會(huì)從路由器中獲取流數(shù)據(jù)樣本，并從服務(wù)器中獲取HTTP請(qǐng)求樣本，隨后分析樣本的異常情況，并在檢測(cè)到攻擊時(shí)將緩解指令自動(dòng)推送到邊緣。

Gatebot集中運(yùn)行在我們的核心數(shù)據(jù)中心而非邊緣，它在減輕大型攻擊方面有著十分出色的表現(xiàn)，平均每個(gè)月能夠阻止超過4000次L3/L4 DDoS攻擊。

邊緣分析，邊緣強(qiáng)制緩解

我們使用dosd守護(hù)進(jìn)程來阻止較小的、局部的DDoS攻擊。作為Gatebot的補(bǔ)充，dosd被設(shè)計(jì)為分布式系統(tǒng)，運(yùn)行在我們每一個(gè)數(shù)據(jù)中心的每臺(tái)服務(wù)器中。結(jié)果即是，dosd可在0到3秒內(nèi)檢測(cè)到DDoS攻擊，生成實(shí)時(shí)規(guī)則并立即進(jìn)行緩解。僅在過去的一個(gè)月中，dosd就緩解了超過28萬(wàn)例L3/4 DDoS攻擊。

IP Jails，更具經(jīng)濟(jì)性的緩解方式

讓我們先看兩組真實(shí)案例：

2019年7月，Cloudflare緩解了一個(gè)攻擊峰值達(dá)到每秒140萬(wàn)個(gè)請(qǐng)求的HTTP DDoS攻擊，該攻擊使用了110萬(wàn)個(gè)獨(dú)立IP地址，這些IP地址的背后都是能夠完成TCP和HTTPS握手功能的實(shí)際客戶端。

2019年9月，Cloudflare緩解了一起HTTP DDoS攻擊，該攻擊每秒請(qǐng)求數(shù)低于5M，但持續(xù)了一個(gè)多小時(shí)。有趣的是，攻擊者能夠持續(xù)使用37.1萬(wàn)個(gè)獨(dú)立IP進(jìn)行這一速率的攻擊。

攻擊者在這些攻擊中都使用了大量的獨(dú)立IP，因此我們也需要一個(gè)更高效且更具成本效益的緩解策略。

Cloudflare的IP Jails功能可以高效地緩解速率密集型和分布式HTTP DDoS攻擊。IP Jails將緩解措施推送到了傳輸層（L4），無(wú)需丟棄代理錯(cuò)誤或質(zhì)詢頁(yè)面，只需刪除IP連接。在L4上進(jìn)行緩解具有更高的計(jì)算效率，并且可以節(jié)省帶寬，減少CPU和內(nèi)存的消耗。

結(jié)合Gatebot檢測(cè)機(jī)制以及源節(jié)點(diǎn)錯(cuò)誤

通過同步Gatebot的檢測(cè)機(jī)制以及客戶原始服務(wù)器的運(yùn)行狀況，我們可以更好地檢測(cè)并應(yīng)對(duì)低速率攻擊。這一功能現(xiàn)在正保護(hù)著我們從免費(fèi)計(jì)劃到企業(yè)計(jì)劃的每一位客戶，讓客戶免受DDoS攻擊，讓源節(jié)點(diǎn)免受各類有害洪水的侵害。

僅在2020年3月，我們平均每天緩解812次HTTP DDoS攻擊，總共抵御了超過20000次HTTP DDoS攻擊。

為所有人提供無(wú)限制的DDoS防護(hù)

在2017年的Cloudflare八周年生日周，我們推出了免費(fèi)的DDoS防護(hù)。只要您使用任意Cloudflare計(jì)劃（Free,Pro,Business或Enterprise），以上的新保護(hù)功能都將默認(rèn)開啟，無(wú)需額外付費(fèi)。Cloudflare DDoS防護(hù)已包含在了我們每一項(xiàng)服務(wù)中，無(wú)論是L3的Magic Transit，L4的Spectrum，還是L7的WAF/CDN服務(wù)。我們一直致力于讓互聯(lián)網(wǎng)變得更快、更安全、更可靠。