安全是有分量的

网站防御_阿里云高防ip段有哪些_优惠券

2021-10-14 10:10栏目:动态

网站防御_阿里云高防ip段有哪些_优惠券

7月3日,Cloudflare的全球DDoS保护系统Gatebot自动检测并抵御了一次基于UDP的DDoS攻击,攻击峰值为654 Gbps。该攻击是针对Magic Transit客户的为期十天的多媒介DDoS攻击活动的一部分,在没有任何人为干预的情况下得以缓解。DDoS攻击被认为是由Moobot发起的,Moobot是一个基于Mirai的僵尸网络。客户未报告停机、服务降级或误报。

在这十天内,我们的系统自动检测并抵御了针对这一客户的5000多起DDoS攻击,主要是UDP洪水、SYN洪水、ACK洪水和GRE洪水。最大的DDoS攻击是UDP洪水,仅持续了2分钟。此攻击仅针对一个IP地址,但攻击多个端口。该攻击源于18705个独特的IP地址,每个地址都被认为是感染了Moobot的物联网设备。

在全球100个国家的Cloudflare数据中心观察到了该攻击。大约89%的攻击流量来自10个国家,其中美国占41%,其次是韩国和日本(各占12%),印度占10%。这可能意味着,该恶意软件已经在全球100个国家感染了至少18705台设备。

Moobot-自传播恶意软件

"Moobot"听起来像个可爱的名字,但一点也不可爱。据Netlab 360称,Moobot是2019年首次发现的一种基于Mirai的自传播恶意软件的代号。它使用可远程利用的漏洞或弱默认密码感染物联网设备。物联网是一个用于描述智能设备的术语,如安全集线器和摄像头、智能电视、智能扬声器、智能灯、传感器,甚至连至互联网的冰箱。

一旦设备被Moobot感染,设备的控制权将转移至指挥和控制(C2)服务器的运营商,谁可以远程发出命令,例如攻击目标和定位其他易受攻击的物联网设备以进行感染(自我传播)。

Moobot是基于Mirai的僵尸网络,具有与Mirai类似的功能(模块):

自我传播-自我传播模块负责僵尸网络的发展。物联网设备被感染后,它会随机扫描互联网上打开的telnet端口,并向C2服务器报告。一旦C2服务器了解到世界各地开放的telnet端口,它就会试图利用已知的漏洞或使用通用或默认凭据强行进入物联网设备。

2。同步攻击-C2服务器协调大量数据包或HTTP请求,目的是为目标网站或服务创建拒绝服务事件。

僵尸网络运营商可在世界各地使用多台C2服务器,phpcc防御,以降低暴露风险。受感染的设备可能被分配到不同的C2服务器,这些服务器因区域和模块而异;一台服务器用于自我传播,另一台用于发起攻击。因此,如果C2服务器遭到破坏并被执法机构关闭,则只有部分僵尸网络被停用。

此攻击未成功的原因

这是过去几个月来我们在Cloudflare网络上观察到的第二次大规模攻击。前一次的峰值为每秒754M包,并试图以高包速率关闭我们的路由器。尽管数据包速率很高,但754Mpps攻击的峰值仅为253 Gbps。

与高数据包速率攻击相反,此攻击是一种高比特率攻击,峰值为654 Gbps。由于此攻击的高比特率,攻击者似乎试图(但失败)通过使我们的Internet链路容量饱和而导致拒绝服务事件。因此,大规模DDoS攻击的最佳防御点,让我们来探讨此攻击失败的原因。

避免链路饱和并保持设备运行

Cloudflare的全球网络容量超过42 TB,并在不断增长。我们的网络覆盖100多个国家的200多个城市,包括高防御和高幸运大陆的17个城市。它与全球8800多个网络互连,包括主要的ISP、云服务和企业。这种互连水平以及Anycast的使用确保了我们的网络可以轻松地吸收甚至最大的攻击。

流量到达边缘数据中心后,使用我们自己构建的第4层负载均衡器Unimog高效地进行负载平衡,它使用我们设备的健康状况和其他指标在数据中心内智能地负载平衡流量,以避免压倒任何一台服务器。

除了使用Anycast进行数据中心间负载平衡和使用Unimog进行数据中心内负载平衡之外,我们还利用各种形式的流量工程来处理网络中流量负载的突然变化。我们利用了我们的24/7/365站点可靠性工程(SRE)团队可以采用的自动和手动流量工程方法。

这些综合因素显著降低了由于链路饱和或设备被淹没而导致拒绝服务事件的可能性——正如这次攻击所示,未发生链路饱和。

检测和缓解DDoS攻击

一旦流量到达我们的边缘,它将遇到我们的三个软件定义的DDoS保护系统:

Gatebot-Cloudflare的集中式DDoS保护系统,用于检测和缓解全球分布的大规模DDoS攻击。Gatebot运行在我们网络的核心数据中心。它从我们的每一个边缘数据中心接收样本,进行分析,并在检测到攻击时自动发送缓解指令。Gatebot还与我们每个客户的web服务器同步,以确定其运行状况并相应地触发缓解措施。dosd(拒绝服务守护程序)-Cloudflare的分布式DDoS保护系统。dosd在全球每个Cloudflare数据中心的每台服务器上自动运行,分析流量并在需要时应用本地缓解规则。除了能够以超快的速度检测和缓解攻击外,dosd还通过将检测和缓解功能委托给edge.flowtrackd(流跟踪守护进程)显著提高了我们的网络恢复能力-Cloudflare的TCP状态跟踪机,用于检测和缓解单向路由拓扑(如Magic Transit)中最随机和最复杂的基于TCP的DDoS攻击。flowtrackd能够识别TCP连接的状态,然后丢弃、质询或速率限制不属于合法连接的数据包。

三个DDoS保护系统收集流量样本以检测DDoS攻击。他们采样的流量数据类型包括: