今年初夏， Cloudflare 的自主邊緣 DDoS 保護系統自動檢測並緩解了一次每秒 1720 萬個請求 (rps) 的 DDoS 攻擊，這個攻擊規模相當於我們過去已知任何一次攻擊的近三倍。作為對比，Cloudflare 平均每秒處理超過 2500 萬個 HTTP 請求，這是 2021 年第二季度的平均合法流量速率。這次攻擊的峰值速率達到 1720 萬 rps，也即是相當於我們第二季度合法 HTTP 流量平均 rps 速率的 68%。

Cloudflare 平均每秒請求數與 DDoS 攻擊對比

Cloudflare 自主邊緣進行自動 DDoS 緩解

Cloudflare 的自主邊緣 DDoS 保護系統自動檢測並緩解了以上攻擊，以及下文提到的其他攻擊。這個系統由我們本機資料中心緩解系統（ dosd）驅動。dosd 是我們自己研發的軟體定義後臺程式。在我們分佈在全球各地的資料中心每一臺伺服器中，都執行著唯一的 dosd 例項。每個 dosd 例項都會對流量樣本進行路徑外分析。透過在路徑外分析流量，我們可在不造成延遲和影響效能的情況下非同步檢測 DDoS 攻擊。DDoS 檢測結果也會在同一資料中心內部的不同 dosd 之間共享，這是主動威脅情報共享的一種形式。

一旦檢測到攻擊，我們的系統就會產生一條緩解規則，其中附帶與攻擊模式匹配的實時特徵。該規則將被傳播至技術堆疊中的最佳位置。例如，容量耗盡 HTTP DDoS 攻擊可在第四層 Linux iptables 防火牆內予以阻止，而非第七層在使用者空間執行的 L7 反向代理內。在堆疊的較低層進行緩解更具成本效益，例如，在 L4 丟棄資料包，而非在 L7 以 403 錯誤頁面響應。這樣做能減少邊緣 CPU 消耗和資料中心內部的頻寬使用，從而幫助我們在不影響效能的情況下緩解大規模攻擊。

這種自主方式，加上我們網路的全球規模和可靠性，使我們能夠緩解達到我們平均每秒速率 68% 或以上的攻擊，而無需任何 Cloudflare 人員執行手動緩解，也不會造成效能出現任何下降。

Mirai 捲土重來和強大的新型殭屍網路

這次攻擊是由一個強大的殭屍網路發動的，目標是 Cloudflare 在金融行業的客戶。在短短几秒鐘內，這個殭屍網路就使用了超過 3.3 億個攻擊請求對 Cloudflare 邊緣進行了轟炸。

1720 萬 rps 攻擊

這些攻擊流量源於全球 125 個國家/地區的 2 萬多個殭屍程式。根據殭屍程式的源 IP 地址，接近 15% 的攻擊流量源於印度尼西亞，另外 17% 源於印度和巴西。這表明，在以上國家/地區可能存在很多被惡意軟體感染的裝置。

攻擊來源分佈（主要國家 /地區）

巨流量攻擊 (Volumetric Attack)有所增加

這個 1720 萬 rps 攻擊是 Cloudflare 迄今為止見到的最大規模 HTTP DDoS 攻擊，相當於其他任一已報告 HTTP DDoS 攻擊的近三倍。然而，這個殭屍網路在過去幾周內已經出現過至少兩次。就在上週，這個殭屍網路還對另一個 Cloudflare 客戶（一家託管服務提供商）發動了一次峰值速率接近 800 萬 rps 的 HTTP DDoS 攻擊。

800 萬 rps 攻擊

兩週前，一個發起了十多次基於 UDP 和 TCP 的 DDoS 攻擊，峰值多次超過 1 Tbps，最大峰值約為 1.2 Tbps。其中第一次 HTTP 攻擊的目標是 Cloudflare 上的客戶，而超過 1 Tbps 的網路層攻擊針對 Cloudflare 和服務的客戶。其中一個目標是位於亞太地區的主要網際網路服務、電信和託管服務提供商。另一個是遊戲公司。在所有情況下，攻擊都被自動檢測並緩解，無需人工干預。

峰值 1.2 Tbps Mirai 殭屍網路攻擊

這個 Mirai 殭屍網路最初包含大約 3 萬個殭屍程式，隨後逐漸減少至約 2.8 萬個。然而，儘管數量有所減少，這個殭屍網路依然能夠在短時間內產生大規模的攻擊流量。在某些情況下，每次爆發僅持續數秒鐘。

與此同時，過去幾周內，我們的網路上檢測到的 Mirai 型 DDoS 攻擊也有所增加。僅在 7 月份，L3/L4 Mirai 攻擊就增加了 88%，L7 攻擊增加了 9%。此外，根據目前 8 月的日均 Mirai 攻擊數量，我們可以預計，到月底時，L7 Mirai DDoS 攻擊和其他類似殭屍網路攻擊的數量將增長 185%，而L3/L4 攻擊將增長 71%。

Mirai 型 DDoS 攻擊月度變化

回到 “未來”

在日語中意為 “未來”，是一種惡意軟體的代號，由非營利安全研究工作組在 2016 年首次發現。這種惡意軟體透過感染執行 Linux 的裝置（例如安全攝像頭和路由器）進行傳播。然後它透過搜尋開放的 Telnet 埠 23 和 2323 進行自我傳播。一旦找到，它就會嘗試透過已知憑據（例如出廠預設使用者名稱和密碼）來訪問易受攻擊的裝置。 Mirai 的後期變體還利用了路由器和其他裝置中的零日漏洞。一旦被感染，裝置將監控命令與控制 (C2) 伺服器以獲取有關攻擊目標的指令。

殭屍網路操作者控制殭屍網路來攻擊網站

如何保護您的家庭和企業

雖然大部分攻擊時間短、規模小，我們繼續看到這種型別的容量耗盡攻擊更頻繁地出現。值得注意的是，對於沒有主動型、始終啟用雲保護的傳統 DDos 保護系統或組織而言，這些短暫爆發型攻擊可能尤其危險。

此外，雖然短暫的持續時間一定程度上反映了殭屍網路長時間維持流量水平的能力，人類可能難以或不可能對這種攻擊做出反應。在這種情況下，安全工程師甚至還未來得及分析流量或啟用其備用 DDoS 攻擊系統，攻擊就已經結束了。這種攻擊凸顯了自動型、始終啟用保護的必要性。

如何保護您的企業和網際網路資產

1. ，保護您的網際網路資產。

2. DDoS 保護開箱即用，您也可以。

3. 遵循我們的預防性，以確保您的 Cloudflare 設定和源伺服器設定都得到最佳化。例如，確保您只允許來自流量。理想情況下，請您的上游網際網路服務提供商 (ISP) 應用訪問控制列表 (ACL)，否則，攻擊者可能會直接針對您伺服器的 IP 地址並繞過您的保護。

有關如何保護家庭和物聯網裝置的建議

1. 更改任何聯網裝置的預設使用者名稱和密碼，例如智慧相機和路由器。這樣將降低 Mirai 等惡意軟體侵入您的路由器和物聯網裝置的風險。

2. 使用 Cloudflare for Families 保護您的家庭免受惡意軟體的侵害。 Cloudflare for Families 是一項免費服務，可自動阻止從您的家庭網路到惡意網站的流量和惡意軟體通訊。

Cloudflare 成功抵抗有史以來最大規模的攻擊——高達1720 萬 rps 的 DDoS 攻擊