感觉就像昨天我还在与Cloudflare讨论分布式拒绝服务(DDoS)攻击,该公司每天处理的海量恶意攻击,以及形势似乎正在恶化。但实际那是五月份的事了。我们谈话后不久,发生了一件事印证了我们的讨论:针对单个IP地址的有史以来最大规模的DDoS攻击,持续45秒内每秒涌来73亿比特(相当于37.4太字节)的洪水般数据。Cloudflare在一篇详尽的博客文章中(通过Ars Technica)披露了这次攻击,数字令人震惊。这次分布式拒绝服务攻击试图攻破一位Cloudflare客户的IP地址上高达34,517个目标端口,绝大多数尝试(技术上称为攻击向量)采用了用户数据报协议(UDP)数据包洪泛形式。
用户数据报协议数据包是小块数据,用于加速发送和接收视频、游戏信息或服务器细节。与常见的传输控制协议不同,设备间没有握手或数据检查;服务器收到UDP通信后,会立即发送相关数据。这类攻击的核心在于,服务器无法应对海量UDP请求,被请求堵塞后正常任务完全搁置。例如,如果该服务器托管一个网站,整个网站可能冻结甚至完全崩溃。
这些攻击来自161个国家的5,433个自治系统,约50%源自巴西和越南——每秒向该IP地址注入73太比特垃圾数据。数据量如此之大,尽管攻击只持续45秒,但总流入数据积累近38太字节。这好比在一分钟内将260份《博德之门3》塞入单个固态硬盘。听起来相当惊悚,是吧?幸运的是,Cloudflare专为处理此类事件而设,虽然数字庞大,但公司并不陌生。
Cloudflare首席安全官格兰特·布泽卡斯在上个月我们的谈话中表示:“过去六个月攻击大幅增加。事实上,上周我们看到一次每秒6.5太比特的攻击。有趣的是,过去六个月最高纪录是每秒3.5太比特。接着下一周我们看到每秒4.5太字节的纪录,然后是每秒5.5太字节。两周前那次攻击约每秒6.5太比特。”Cloudflare的博客进一步探讨了如何检测和阻止DDoS攻击瘫痪其服务器,但如果技术性太强,布泽卡斯提供了简化总结:“Cloudflare构建时的一个能力是:如果攻击在曼彻斯特,我们就在曼彻斯特拦截;在伦敦攻击,就在伦敦拦截;在巴黎攻击,就在巴黎拦截。这是独特能力,因为你无法淹没整个网络。”
该网络处理约20%的互联网流量,覆盖120个国家350个地点的服务器。有人可能抱怨附近又建大数据中心,但如果那是Cloudflare的,请庆幸它能做到这点,因为下一次破纪录DDoS攻击只会更大。只希望提供商总能领先攻击者一步。
