分散式拒绝服务(DDoS)攻击的频率与强度日益升高。由于有数以百万计不安全的物联网(IoT)设备太容易让人入侵,如今要建立僵尸网路来发动高度分布式巨流量攻击,不仅较以往更容易,受影响的范围也更大。除了攻击量变大,攻击者还逐渐将攻击目标从网路层和传输层转往应用程式层(第 7 层)。应用程式层攻击在结构上更为复杂,而且通常只需要较少的资源就可以让网站或应用程式无法正常运作,进而使得操作中断,造成更大的影响。
DDoS 攻击通过降低网站和应用程序的性能和可用性来破坏正常的业务运营,有时甚至完全脱机。基础设施故障导致的平均停机成本为每小时 100,000 美元。这种性质的攻击可能导致客户流失,品牌退化和业务损失。
网站和应用程序需要可扩展网络的弹性和智能来对抗最大和最新的攻击。防范威胁不应该降低由安全引起的延迟导致的性能,并且安全服务必须易于配置,以消除可引入新漏洞的错误配置。
抵御最大规模的攻击
Cloudflare 的网络容量比有史以来最大的 DDoS 攻击大 15x。它拥有 30 Tbps 的容量,可以处理任何现代分布式攻击,包括那些针对 DNS 基础架构的攻击。
共享网络智能
随着每一个新的互联网财产的加入,Cloudflare 的网络变得更加智能。Cloudflare 的 IP 信誉数据库可为网络上的所有 700 百万资产识别并阻止新威胁和不断变化的威胁。
无性能权衡
通过与 Cloudflare 附带的性能服务(包括 CDN、智能路由、网站优化和最新的 Web 标准)集成,消除安全性导致的延迟。
通过破坏 DNS 解析,DNS 洪水攻击将使网站、API 或 Web 应用程序性能下降或完全不可用。
攻击者利用开放式 DNS 或 NTP 解析器的功能来产生放大的请求流量(有效载荷大小大于原始请求的大小),淹没目标服务器或网络。
HTTP 洪水攻击会从多个源生成大量 HTTP、GET 或 POST 请求,以应用程序层为目标,从而导致服务降级或不可用。
Cloudflare的分层安全方法将多个 DDoS 缓解功能整合到一个服务中。它可以防止恶意流量造成的中断,同时允许良好流量通过,保持网站、应用程序和 API 的高可用性和高性能。
主要成果
226,500,000
次攻击于 2015 年 8 月至 2016 年 11 月期间受到阻挡,相当于每天有 50 万次攻击受阻挡;没有一次攻击得逞。
95%
的每月总频宽得以省下。
$250,000
阅读案例研究
Brad Parscale
Giles-Parscale 总裁
特朗普竞选团队的数字总监
所有 Cloudflare 计划均提供针对分布式拒绝服务(DDoS)攻击的无限和无计量缓解服务,无论攻击规模多大,均无需额外费用。任何客户都不应因与分布式攻击相关的网络流量高峰而受到处罚。Cloudflare DDoS 防护可确保所有 Internet 资产保持在线状态,同时基础架构成本仍可预测。
Cloudflare 工程师见证了历史上一些最大规模的攻击事件。欢迎前往我们的开发人员博客,了解我们如何处理它们。
2016 年冬季,Cloudflare 缓解了迄今为止最大规模的第 3 层分布式攻击。我们不仅阻止了这场攻击,更进行了精确的测量与分析。
分布式攻击采用各种形式。在此次 400Gbps 放大攻击中,攻击者使用 4,529 个 NTP 服务器来放大来自仅仅 87 Mbps 源服务器的攻击。
阅读更多信息
7 年多来,Cloudflare 成功对抗了许多史上最严重的分布式攻击。2013 年,Spamhaus 所遭受的 120 Gbps 攻击是公认的一场大规模攻击,但 Cloudflare 却能够保持其网站在线。
防止攻击者泄露敏感的客户数据,例如用户凭据、信用卡信息和其他个人身份信息。
阻止滥用机器人通过内容抓取、欺诈性结账和账户接管破坏互联网资产。
Cloudflare 的性能和安全服务协同工作,以减少网站、移动应用程序和端到端 API 的延迟,同时防御 DDoS 攻击、滥用机器人和数据泄露。
Cloudflare 性能服务加速 Web 和移动性能,同时保持应用程序可用,从而提高转换率、减少客户流失并改善访客体验。
Cloudflare 安全服务防御 DDoS攻击、滥用机器人和数据泄露,从而降低客户流失,收入下降和品牌退化的风险。
由于 Cloudflare 充当您所有网络流量的代理,因此我们可以保护您免受任何类型的分布式拒绝服务攻击,包括以下所有攻击:
大多数攻击都针对通信系统的传输层和网络层。这些层表示为 OSI 模型的第 3 层和第 4 层。网络堆栈的所谓“传输” 层指定网络上的两个主机彼此通信时使用的协议(例如,TCP 或 UDP)。针对第 3 层和第 4 层的攻击旨在使网络接口充满攻击流量,以淹没其资源并造成其无法响应合法流量。更具体地说,这种攻击的目的是使网络交换机的容量饱和,或者压垮服务器的网卡或其CPU 处理攻击流量的能力。
要利用内部部署解决方案减轻第 3 层与第 4 层攻击会很困难,甚至不可能。如果攻击者可以发送的流量超过网络链路的处理能力,任何额外的硬件资源都不会有助于减轻此类攻击。例如,您的路由器具有 10Gbps 端口且攻击者向您发送 11Gbps 的攻击流量,如果网络链路完全饱和,则使用任何数量的智能软件或硬件都无法阻止攻击。
大规模的第 3 层/第 4 层攻击几乎都有许多个来源,每个来源都向单个互联网位置发送攻击流量,形成一股超大流量,造成攻击目标的资源瘫痪。从这个意义上讲,攻击是分布式的。攻击流量的来源可能是一群互相合作的个人,由被害电脑组成的僵尸网络,由被害服务器组成的僵尸网路,配置错误的 DNS 解析器,甚至是密码太弱的家用互联网路由器。
由于发动第 3 层/第 4 层攻击的攻击者不关心所发送的请求是否获得响应,因此构成攻击的数据包不必准确或格式正确无误。攻击者将定期伪造攻击数据包中的所有信息,包括源 IP,使其看起来好像攻击来自几乎无限多的来源。由于封包数据可以完全随机化,因此即使是上游 IP 过滤等技术也几乎无用。
借助 Cloudflare DDoS 防护,所有直接攻击您的服务器基础架构的攻击流量将自动路由到 Cloudflare 的全球数据中心任播网络。一旦攻击流量转移,我们就能够利用我们网络的巨大全球容量,以及层层交叠的服务器基础设施,在我们的网络边缘吸收掉犹如洪水般的攻击流量。这意味着 Cloudflare 能够阻止来自传统第 3 层/第 4 层的单个攻击流量包到达受 Cloudflare 保护的网站。
DNS 放大攻击(一种 DRDoS 攻击)日益普遍,如今已成为第 3 层/第 4 层攻击的最大来源。Cloudflare 所减轻的攻击经常会超过 100Gpbs,最近甚至帮客户阻挡超过 300Gbps 的攻击,该次攻击被纽约时报评为“互联网史上公开宣布的最大 DDoS 攻击。”
在 DNS 反射攻击中,攻击者向大量开放 DNS 解析器发送对大型 DNS 区域文件的请求,但源 IP 地址已伪造成目标受害者的 IP 地址。然后,解析器响应请求,将大型 DNS 区域应答发送到目标受害者的 IP 地址。攻击者的请求本身只是响应规模的一小部分,但允许攻击者将攻击放大到本身所能控制带宽资源规模的许多倍。
攻击者收集资源,如僵尸网络或不安全的 DNS 解析器,并模仿目标的 IP 地址。然后,资源会向目标发送大量回复,使其脱机。
攻击者收集资源,如僵尸网络或不安全的 DNS 解析器,并模仿目标的 IP 地址。然后,资源会向目标发送大量回复,但它们会被 Cloudflare 的数据中心区域性地阻止。合法的流量仍然可以访问网络资产。
要进行放大攻击,必须符合两项条件:(1)可以使用欺骗性源地址发送查询(例如,通过不需要握手的 ICMP 或 UDP 等协议);(2)对查询的响应明显大于查询本身。DNS是满足这些条件的无所不在的核心互联网平台,因此已成为放大攻击的最大来源。
DNS 查询通常通过 UDP 传输,这意味着,就像 SMURF 攻击(如下所述)中使用的 ICMP 查询一样,一旦传送出来,以后就会完全自行运作。因此,DNS 查询的源属性可能伪造,并且接收方无法在响应之前确定其真实性。DNS 还能够生成比查询大得多的响应。例如,您可以发送以下(微小)查询(其中 x.x.x.x 是开放 DNS 解析器的 IP):
dig ANY isc.org @x.x.x.x +edns=0
就能得到以下超庞大的响应:
; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5147
;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5
;; QUESTION SECTION:
;isc.org. IN ANY
;; ANSWER SECTION:
isc.org. 4084 IN SOA ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
isc.org. 4084 IN A 149.20.64.42
isc.org. 4084 IN MX 10 mx.pao1.isc.org.
isc.org. 4084 IN MX 10 mx.ams1.isc.org.
isc.org. 4084 IN TXT "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 4084 IN TXT "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
isc.org. 4084 IN AAAA 2001:4f8:0:2::d
isc.org. 4084 IN NAPTR 20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
isc.org. 484 IN NSEC _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
isc.org. 4084 IN DNSKEY 256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
isc.org. 4084 IN DNSKEY 257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
isc.org. 4084 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 484 IN RRSIG NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
isc.org. 484 IN RRSIG SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
isc.org. 484 IN RRSIG MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
isc.org. 484 IN RRSIG TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
isc.org. 484 IN RRSIG AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
isc.org. 484 IN RRSIG NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
isc.org. 484 IN RRSIG NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
isc.org. 484 IN RRSIG SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
isc.org. 484 IN RRSIG A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; AUTHORITY SECTION:
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; ADDITIONAL SECTION:
mx.ams1.isc.org. 484 IN A 199.6.1.65
mx.ams1.isc.org. 484 IN AAAA 2001:500:60::65
mx.pao1.isc.org. 484 IN A 149.20.64.53
mx.pao1.isc.org. 484 IN AAAA 2001:4f8:0:2::2b
_sip._udp.isc.org. 4084 IN SRV 0 1 5060 asterisk.isc.org.
;; Query time: 176 msec
;; SERVER: x.x.x.x#53(x.x.x.x)
;; WHEN: Tue Oct 30 01:14:32 2012
;; MSG SIZE rcvd: 3223
这是一个 64 字节的查询,却导致 3,223 字节的响应。换句话说,攻击者能够利用向开放 DNS 解析器传送的任何流量,实现 50 倍的放大率。
Cloudflare的“ Anycast”网络专门用于阻止大规模的第 3 层/第 4 层攻击。在 Anycast 网络上,我们散布于世界各地的 194 个数据中心每一个都能够宣布相同的 IP 位址。网络本身对最近设施的请求进行负载平衡。在正常情况下,这有助于我们确保您网站的访问者自动路由到我们网络上最近的数据中心,以确保最佳性能。当发生攻击时,Anycast 可以在整个数据中心网络中有效地分散和稀释攻击流量。由于每个数据中心都为任何 Cloudflare 客户宣布相同的 IP 地址,因此无法将流量定向到任何一个位置。攻击性质顿时从多对一转变成多对多,而网络上没有任何一个位置能够作为单一故障点。
有一种新型攻击是以 OSI 模型中的第 7 层(“应用程式”层)为目标。这类攻击的原理是运用 Web 应用程式中会造成瓶颈的特定特性。例如,所谓的“慢读”攻击在多个连接上缓慢地发送数据包。因为 Apache 为每个连接打开一个新线程,并且由于只要有流量被发送就保持连接,攻击者可以通过相对快速地耗尽其线程池来使 Web 服务器瘫痪。
Cloudflare 针对这些攻击中的许多攻击提供了保护,在现实世界中,我们的 DDoS 防护通常可以将 HTTP 攻击流量减少 90%。对于大多数攻击而言,这足以使我们的大多数客户保持在线状态。然而,对于资源有限或面临非常大的攻击的客户来说,突破传统防护措施的 10% 的流量仍然灾难性的。在这种情况下, Cloudflare 提供称为“I’m Under Attack”模式(IUAM)的 DDoS 缓解设置。
IUAM 是您在受到攻击时可以为您的站点设置的安全级别。当 IUAM 打开时,Cloudflare 将添加额外的保护层,以阻止恶意 HTTP 流量传递到您的服务器。虽然在后台执行了一些额外的检查,但在检查完成时,会向您网站的访问者显示插页式页面 5 秒钟。可以将其视为一种质疑操作,但测试自动完成,且访客永远不需要填写 CAPTCHA。
访问者在经自动测试确认是正当使用者后,就能自由浏览您的网站。为了进行测试,以及记录正确通过测试这一事实,需要JavaScript 和 Cookie。可以完全定制 IUAM 模式下访问者看到的页面,以便反映您的品牌。I’m Under Attack 模式不会阻止搜索引擎抓取工具或您现有的 Cloudflare 白名单。
在最早出现的放大攻击当中,其中一种是 SMURF 攻击。 在 SMURF 攻击中,攻击者将 ICMP 请求(即 ping 请求)发送到从路由器宣布的网络广播地址(即 X.X.X.255),该路由器被配置为将 ICMP 传递到路由器后面的所有设备。然后,攻击者将 ICMP 请求的来源伪造为目标受害者的 IP 地址。由于 ICMP 不包含握手,因此目标无法验证源 IP 是否合法。路由器接收请求并将其传递给位于其后面的所有设备。然后,这些设备中的每一个都响应 ping。攻击者能够放大攻击,倍数等于路由器后面的设备数(即,如果路由器后面有 5 个设备,则攻击者能够将攻击放大 5 倍,请参见下图)。
SMURF 攻击在很大程度上已成为过去。在大多数情况下,网络运营商已将其路由器配置为禁止传递发送到网络广播地址的 ICMP 请求。
