安全是有分量的

ddos防御工具_云服务器安全防护_3天试用

2021-10-14 10:05栏目:防护

ddos防御工具_云服务器安全防护_3天试用

在黑色星期五的那一周,Cloudflare自动检测到并抵御了一次独特的ACK DDoS攻击,我们将其命名为"Beat",目标是Magic Transit客户。通常,如何防御最新的ddos,当攻击成为头条新闻时,是因为它们的规模。然而,在这种情况下,高防香港cdn,并非尺寸是唯一的,而是从声学世界借用的方法。

声学激发的攻击

如下图所示,攻击的数据包速率在超过19小时内呈波浪形。似乎攻击者的灵感来自一个叫做"拍"的声学概念。在声学中,拍是一个术语,用于描述两个不同波频率的干扰。这是两个波的叠加。当两个波的相位差接近180度时,就会产生跳动现象。当两个波合并时,它们会放大声音,当它们不同步时,它们会相互抵消,从而产生跳动效果。

Acedemo.org有一个很好的工具,您可以在其中创建自己的跳动波。正如您在下面的屏幕截图中所看到的,蓝色和红色的两个波不同步,紫色波是它们的叠加,拍波。

反向工程攻击

看起来攻击者发起了大量的数据包,其中数据包的速率由拍波方程确定:y'beat=y1+y2。两个方程y1和y2代表两个波。

每个方程表示为

,其中fi是每个波的频率,t是时间。

因此,攻击的数据包速率通过操纵等式

来确定,以实现约18M到约42M pps的数据包速率。

为了达到攻击的规模,我们需要将y'beat乘以某个变量a,再加上一个常数c,得到ybeat=ay'beat+c。现在,我已经有一段时间没有玩过方程了,所以我只想尝试得到方程的近似值。

通过观察攻击图,我们可以通过玩desmos的酷图可视化工具来猜测

,如果我们设置f1=0.0000345和f2=0.00003455,我们可以生成一个类似于攻击图的图。在这些变量中绘制,我们得到:

现在这个公式假设只有一个节点触发数据包。然而,这种特定的攻击是全局分布的,如果我们假设此僵尸网络中的每个节点或bot以相同的速率发射等量的数据包,那么我们可以将等式除以僵尸网络的大小;机器人的数量b。最后的等式是:

在下面的屏幕截图中,g=f1。您可以在此处查看此图。

击鼓

攻击者可能利用此方法试图克服我们的DDoS防护系统(可能认为攻击的有节奏的上升和下降会愚弄我们的系统)。然而,我们的单向TCP状态跟踪机器flowtrackd检测到它是大量不属于任何现有TCP连接的ACK数据包。因此,flowtrackd自动将攻击数据包丢弃在Cloudflare的边缘。

攻击者以~7 Mpps的幅度、~4小时的波长敲打了19个多小时,并以~42 Mpps的速度达到峰值。在攻击发生的两天内,Cloudflare systems自动检测并抵御了针对该客户的700多起DDoS攻击。仅在11月份,针对这一客户的攻击流量就达到了3.6 PB,而攻击流量累计达到了近500 TB。在这两天内,安全狗2016无法防御cc攻击,攻击者主要利用ACK洪水、UDP洪水、SYN洪水、圣诞节洪水(所有TCP标志均为"点亮")、ICMP洪水和RST洪水。

基于TCP的攻击的挑战

TCP是有状态协议,这意味着在某些情况下,您需要跟踪TCP连接的状态,以便知道数据包是合法的还是攻击的一部分,购买ddos防御,即状态外。我们能够为我们的"经典"WAF/CDN服务和频谱服务提供防止状态外TCP数据包攻击的保护,因为在这两种情况下,高防cdn目标客户,Cloudflare都充当一个反向代理,可以同时看到入口和出口流量。

然而,当我们启动Magic Transit时,它依赖于具有直接服务器返回的非对称路由拓扑(DSR),我们无法利用现有的TCP连接跟踪系统。

因此,作为一家软件定义的公司,我们能够在需要时和需要时编写代码和启动软件,而不是使用专用DDoS保护硬件设备的供应商。这就是我们所做的。我们构建了flowtrackd,它在每个se上自动运行位于我们网络边缘的服务器。flowtrackd能够通过仅分析进入流量,然后丢弃、挑战或速率限制攻击数据包(与现有流量不对应)来对TCP流的状态进行分类。

flowtrackd与我们的两个附加DDoS保护系统dosd和Gatebot一起工作,以确保我们的客户能够针对DDoS攻击提供保护,无论其规模或复杂程度如何——在本例中,它可以作为消除攻击噪音的系统;减少客户的头痛问题。