在分布式拒绝服务(DDoS)攻击中,攻击者使用多个设备向同一目标服务器发送流量,使目标服务器不堪重负,导致线上服务下线。一些最大规模的 DDoS 攻击已经成为科技界的头条新闻。
阅读本文后,您将能够:
相关内容
订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!
复制文章链接
On October 21, 2024, Cloudflare mitigated the largest distributed denial-of-service (DDoS) attack ever reported, an attack that reached 4.2 terabits per second (Tbps) at its peak. The attack lasted about a minute and was part of a larger ongoing campaign of hyper-volumetric DDoS attacks. The Cloudflare network automatically mitigated the 4.2 Tbps attack and all other attacks that were part of the campaign, protecting Cloudflare customers.
In October 2023, Google claimed to have mitigated the largest distributed denial-of-service (DDoS) attack ever — a HTTP/2 “Rapid Reset” attack that peaked at 398 million requests per second (RPS).
HTTP/2 Rapid Reset 利用 HTTP/2 协议中的缺陷来发动 DDoS 攻击。HTTP/2 协议对于浏览器与网站的交互至关重要:它允许浏览器从网站请求文本、图像和其他内容。在 HTTP/2 Rapid Reset 攻击中,攻击者向网站提交大量请求,然后立即取消这些请求。他们重复这个请求和取消的过程,希望压垮网站并使其关闭。
Cloudflare 可帮助发现此类威胁,并成功缓解了一些破纪录的攻击,例如峰值超过 201 rps 的攻击(见下文)。
2023 年 8 月,Cloudflare 缓解了数千次超大规模 HTTP DDoS 攻击,其中 89 次超过 1 亿 rps。最大攻击的峰值为 2.01 亿 rps,这一数字是之前记录在册的最大攻击(7100 万 rps,记录于 2023 年 2 月)的三倍。
Google 报告称,Google Cloud 的一位客户遭受了 HTTPS DDoS 攻击,峰值达到 4600 万 rps。此次攻击来自 130 多个国家/地区的 5000 多个来源。
2021 年 11 月,Azure 遭受了当时规模最大的 DDoS 攻击。攻击吞吐量达到 3.47 Tbps。据 Microsoft 称,该攻击来自至少 10 个国家/地区的约 10,000 个来源。该公司指出,当年它还缓解了另外两次吞吐量超过 2.5 Tbps 的攻击。
2017 年,针对 Google Cloud 服务的一次攻击达到 2.54 Tbps 的规模。Google 于 2020 年 10 月披露了这次攻击。
攻击者向 18 万个 Web 服务器发送伪造数据包,后者将响应发送给 Google。这次攻击并非一个孤立的事件:攻击者在之前六个月内已对 Google 的基础设施发动了多次 DDoS 攻击。
AWS 报告在 2020 年 2 月缓解了一次大规模 DDoS 攻击。此次攻击的峰值传入流量达到 2.3 Tbps。AWS 没有透露这次攻击的目标是哪一个客户。
攻击者使用了遭到劫持的无连接轻量目录访问协议(CLDAP)Web 服务器。CLDAP 是一种用户目录协议。它是这种协议的较老版本 LDAP 的替代品。近年来,CLDAP 已被用于多起 DDoS 攻击。
2018 年,发生了一起针对 GitHub 的大规模 DDoS 攻击,这是数百万开发人员使用的流行在线代码管理服务。这次攻击达到 1.3 Tbps,数据包发送速率达到 1.269 亿个/秒。
GitHub 攻击并未使用僵尸网络。相反,这是一次 memcached DDoS 攻击:攻击者利用了流行的数据库缓存系统 memcached 的放大效应。通过向 memcached 服务器发送大量伪造请求,攻击者能够将攻击放大约 50,000 倍。
幸运的是,GitHub 采用了 DDoS 防护服务,在攻击发起后 10 分钟内自动得到警报。警报触发了缓解过程,GitHub 得以迅速阻止了攻击。这次大规模 DDoS 攻击仅持续了大约 20 分钟。
另一次大型 DDoS 攻击发生于 2016 年 10 月,目标是主要 DNS 提供商 Dyn。这次攻击带来了毁灭性打击,导致许多主要网站服务中断,包括 AirBnB、Netflix、PayPal、Visa、Amazon、The New York Times、Reddit 和 GitHub。攻击者使用了称为 Mirai 的恶意软件。Mirai 利用遭入侵的物联网 (IoT) 设备(如相机、智能电视、收音机、打印机,甚至婴儿监视器)创建僵尸网络。为形成攻击流量,这些遭入侵设备均经过编程,全部向单一受害者发送请求。
幸运的是,Dyn 在一日内击退了攻击,但一直未能确定攻击动机。黑客组织声称对此次攻击事件负责,理由是维基解密创始人 Julian Assange 在厄瓜多尔被拒绝使用互联网,但没有证据能够支持这一说法。也有人怀疑此次攻击由心怀不满的游戏玩家发起。
GitHub 在 2015 年遭受了一起当时史上最大规模的 DDoS 攻击。这次带有政治动机的攻击持续了数日,而且围绕实施的 DDoS缓解策略进行了调整。DDoS 流量源于中国,并专门针对两个旨在绕过中国国家审查的 GitHub 项目的 URL。据推测,攻击目的是试图强迫 GitHub 取消这些项目。
攻击者将 JavaScript 代码注入所有访问百度(中国最受欢迎的搜索引擎)的用户的浏览器,进而形成攻击流量。其他使用百度分析服务的站点也注入该恶意代码,代码导致被感染的浏览器向目标 GitHub 页面发送 HTTP 请求。攻击发生后,据确定恶意代码并非源于百度,而是由中间服务添加的。
2013 年,发生了一起针对 Spamhaus 的大规模攻击,这是一个帮助打击垃圾邮件和垃圾邮件相关活动的组织。Spamhous 负责过滤多达 80% 的垃圾邮件,因而频频遭到希望垃圾邮件顺利到达目标收件人的恶意分子攻击。
这次攻击以 300 Gbps 的速度向 Spamhous 推送流量。攻击开始后,Spamhous 立即向 Cloudflare 寻求帮助并达成协议。Cloudflare DDoS 防护缓解了此次攻击。攻击者的回应是攻击特定互联网数据交换中心和带宽提供商,试图弄垮 Cloudflare。这次攻击没有达到目的,但确实给伦敦互联网交换中心 (LINX) 造成了重大问题。攻击的罪魁祸首原来是英国一名少年黑客,受雇发动此次 DDoS 攻击。
阅读 Cloudflare 博客,进一步了解此次攻击及其缓解方法。
2000 年,一位化名“Mafiaboy”的攻击者攻陷了多家大型网站,包括 CNN、Dell、E-Trade、eBay 和 Yahoo!。当时,Yahoo! 是全球最受欢迎的搜索引擎。这次攻击造成了毁灭性的后果,甚至导致股市混乱。
后来有消息显示 Mafiaboy 是一名年仅 15 岁的高中生,真名为 Michael Calce。他通过入侵几所大学的网络并使用其服务器来发动这次 DDoS 攻击。这次攻击直接导致了如今很多网络犯罪法律的制定。
2007 年 4 月,爱沙尼亚遭受了一次针对政府服务、金融机构和媒体机构的 DDoS 攻击。由于爱沙尼亚政府率先采用了网上政务系统,当时已基本实现无纸化,甚至全国大选都在网上进行,因此攻击产生了毁灭性的影响。
此次攻击被很多人视为网络战争的序幕,旨在回应与俄罗斯就第二次世界大战纪念碑“塔林青铜战士”的重新安置发生的政治冲突。俄罗斯政府涉嫌参与攻击,一名来自俄罗斯的爱沙尼亚公民因此被捕,但俄罗斯政府未允许爱沙尼亚执法部门在俄罗斯开展任何进一步的调查。这次攻击催生了网络战国际法。
DDoS 防护供应商缓解此类大规模攻击的能力取决于其网络容量。一些供应商确实拥有足够的网络容量来化解相关 DDoS 攻击产生的流量,同时仍提供服务。Cloudflare 拥有 321 Tbps 的网络容量,这比有史以来最大的 DDoS 攻击要大得多。
Cloudflare 还缓解了一些数据包速率和 HTTP 请求速率极高的 DDoS 攻击。例如,在 2020 年 6 月,Cloudflare 缓解了一起每秒 7.54 亿个数据包的 DDoS 攻击。而在 2023 年 8 月,Cloudflare 缓解了一起超过 2.01 亿 rps 的攻击。重要的是,Cloudflare 还可以防御 HTTP/2 Rapid Reset 攻击。
绝大多数 DDoS 攻击的规模没有上述攻击那么严重。事实上,大多数 DDoS 攻击不超过 1 Gbps。然而,如果没有采取 DDoS 缓解措施,即使是这些规模较小的 DDoS 攻击也可能导致网站或应用长时间离线。随着 DDoS 攻击继续演变,更多组织可能面临风险。
了解有关 DDoS 攻击新时代的更多信息,以及探索 Cloudflare Magic Transit,它利用 Cloudflare 庞大的全球网络来保护面向公众的子网免受 DDoS 攻击,而不会降低流量速度。