安全是有分量的

ddos防御攻击_防cccdn_超高防御

2021-10-14 10:00栏目:资讯

ddos防御攻击_防cccdn_超高防御

今天,我很高兴能谈谈我们的自主DDoS(分布式拒绝服务)保护系统。该系统已在全球200多个数据中心部署,并在不需要任何人为干预的情况下,主动保护所有客户免受第3层至第7层(OSI模型)的DDoS攻击。作为我们未计量DDoS保护承诺的一部分,我们不会因为客户受到DDoS攻击而向其收取更多费用。

边缘的自主保护

以快速准确地保护客户免受DDoS攻击,我们建立了一个自主的边缘检测和缓解系统,可以在不寻求集中共识的情况下自行做出决策。它完全由软件定义,在我们的边缘商品服务器上运行。它由我们的拒绝服务守护程序(dosd)提供支持,该守护程序最初于2019年年中投入使用,用于抵御L3/4 DDoS攻击。从那时起,我们一直在投资增强和改进其能力,以保持领先于攻击者,并破坏攻击的经济性。最新的一系列改进扩展了我们的边缘缓解组件,以防止L3/4之外的L7攻击。

该系统在我们所有边缘数据中心的每台服务器上运行。它不断分析数据包和HTTP请求,扫描DDoS攻击。一旦检测到,它会立即将带有实时生成签名的缓解规则推送到Linux堆栈中的最佳位置,在那里可以应用最具成本效益的缓解措施。

我们新的边缘检测功能补充了我们现有的全球威胁检测机制Gatebot,它位于我们的网络核心。使用Gatebot在网络核心检测攻击对于需要跨整个Cloudflare边缘进行协调的大型分布式攻击非常有用,但较小的局部攻击需要不同的方法。在边缘检测网络层和HTTP攻击意味着我们可以以更高的速率采样,检测小型和大型攻击,并立即生成缓解规则。在过去几个月中,dosd检测到98.6%的所有L3/4 DDoS攻击。类似地,自从部署dosd的扩展版本以来,它已经减轻了81%的L7攻击。

在以前的博客中,我们已经介绍了Gatebot和flowtrackd。因此,在本博客中,我们将重点关注扩展的dosd功能。

利用Linux网络以线速丢弃数据包和请求

十年前,Linux网络速度很慢。今天,由于Linux,我们正在以有线速度丢弃数据包—特别是使用iptables和eXpress Data Path(XDP)。

数据包的寿命

发送给受Cloudflare保护的客户的数据包通过BGP Anycast到达最近的Cloudflare数据中心。一旦它到达,它将通过网络交换机使用等成本多路径路由组(ECMP)算法从路由器传递到服务器。当数据包到达服务器时,它被发送到一组eXpress Data Path(XDP)程序中。第一组XDP程序L4Drop应用以前检测到的攻击的缓解规则,并将数据包样本发送给dosd进行进一步分析。

如果数据包不是恶意丢弃的,则会传递给我们专有的L4负载平衡器Unimog。使用服务器运行状况和性能指标,Unimog决定是将数据包保存在同一台服务器上,还是将其传递给数据中心中能够更好地处理数据包的另一台服务器。在Unimog之后,它将通过iptables防火墙,然后,如果目标是L7应用程序,例如受Cloudflare WAF保护的服务,则将其发送到我们的HTTP反向代理。反向代理在用户空间中运行,HTTP请求通过我们的Web应用程序防火墙、应用程序防火墙规则和其他客户配置。如果数据包的目的地是TCP/UDP应用程序(频谱)或IP目的地(路由而非代理(Magic Transit)),金盾能防御cc么,它将通过这些系统而不是我们的HTTP代理。

除了L4Drop,我们的HTTP代理还将HTTP请求的样本和元数据传输到dosd。这种边缘采样的发生率是核心采样率的10倍,因为信号现在可以在本地进行分析(并对其采取行动),而不是发送到核心数据中心。类似地,dosd以比gatebot快81倍的速率对数据包进行采样。

dosd、gatebot和flowtrackd一起分析它们接收的样本,并在检测到DDoS攻击时应用缓解规则。它们将缓解规则推送到web代理中以缓解HTTP攻击。根据系统的决定,攻击请求通过块、速率限制或质询操作进行处理。但是,如果攻击是高容量的,那么缓解规则将被下推到iptables防火墙的堆栈中,L7攻击将在L4使用IP监狱被丢弃,自己的服务器怎么防御CC,以实现更经济高效的缓解。类似地,L3/4攻击在iptables防火墙中使用L4Drop中的扩展Berkeley数据包过滤器(eBPF)程序进行缓解。利用这些组件,我们可以大规模自动抵御DDoS攻击。

破坏攻击经济性

我们开发了上述扩展的自主系统,以及我们现有的威胁抵御组件,以保护我们的客户免受DDoS攻击,这些攻击已变得非常容易和廉价。这些攻击由恶意行为者使用,目的是摧毁网站、移动应用程序、游戏或任何与互联网连接的财产。正如我们在DDoS趋势报告中所记录的那样,这些扩展的保护是必要的一步,因为在过去一年中,攻击数量有所增加。此外,攻击越来越大,也越来越复杂,比如模仿声音节拍的攻击。同样重要的是,可能会摧毁一个小型web财产的小型攻击;我们希望阻止大型和小型的攻击。