揭秘Cloudflare在全球边缘的DDoS防护策略
在Cloudflare的全球网络上,我们保护着超过2600万个互联网资产。在这一规模下,识别小型且隐匿的DDoS攻击也具有一定的挑战性。现如今,攻击者往往可以利用数量庞大的独立IP来进行DDoS攻击,如果不能即时缓解,即便是小型攻击也会对企业带来不容忽视的影响。
Cloudflare对于速率密集型攻击以及分布式的HTTP DDoS攻击有着不同的缓解策略,在介绍之前,让我们先来看一看今年以来的DDoS攻击趋势吧。
小型攻击愈发猖獗,大型攻击仍然存在
从2019年9月到2020年3月,在Cloudflare网络上,峰值超过30 Gbps的攻击减少了82%,DDoS攻击的平均大小也稳步下降了53%,仅为11.88 Gbps。然而这并不代表小型攻击正在消退。与之相反,我们越来越多地观察到从单一数据中心范围内发起的攻击,这种针对我们一个或两个数据中心的局部洪灾往往很难被发现,因为其攻击样本在汇总到我们的核心数据中心后会被稀释。
与此同时,大型攻击并未消失,我们仍观察到了峰值为330 Gbps、每秒高达4亿个数据包的攻击。我们的某些客户一天之内就受到了890次DDoS攻击,一个月中遭受的DDoS攻击次数多达1750次。
这些攻击趋势促使我们的工程团队发明了更高效、更智能的方式来大规模捍卫我们的网络和客户。
集中分析,边缘强制DDoS缓解
在Cloudflare,我们使用Gatebot来保护客户免受速率密集型攻击。Gatebot会从路由器中获取流数据样本,并从服务器中获取HTTP请求样本,随后分析样本的异常情况,并在检测到攻击时将缓解指令自动推送到边缘。
Gatebot集中运行在我们的核心数据中心而非边缘,它在减轻大型攻击方面有着十分出色的表现,平均每个月能够阻止超过4000次L3/L4 DDoS攻击。
边缘分析,边缘强制缓解
我们使用dosd守护进程来阻止较小的、局部的DDoS攻击。作为Gatebot的补充,dosd被设计为分布式系统,运行在我们每一个数据中心的每台服务器中。结果即是,dosd可在0到3秒内检测到DDoS攻击,生成实时规则并立即进行缓解。仅在过去的一个月中,dosd就缓解了超过28万例L3 / 4 DDoS攻击。
IP Jails,更具经济性的缓解方式
让我们先看两组真实案例:
2019年7月,Cloudflare缓解了一个攻击峰值达到每秒140万个请求的HTTP DDoS攻击,该攻击使用了110万个独立IP地址,这些IP地址的背后都是能够完成TCP和HTTPS握手功能的实际客户端。
攻击者在这些攻击中都使用了大量的独立IP,因此我们也需要一个更高效且更具成本效益的缓解策略。
Cloudflare的IP Jails功能可以高效地缓解速率密集型和分布式HTTP DDoS攻击。IP Jails将缓解措施推送到了传输层(L4),无需丢弃代理错误或质询页面,只需删除IP连接。在L4上进行缓解具有更高的计算效率,并且可以节省带宽,减少CPU和内存的消耗。
结合Gatebot检测机制以及源节点错误
通过同步Gatebot的检测机制以及客户原始服务器的运行状况,我们可以更好地检测并应对低速率攻击。这一功能现在正保护着我们从免费计划到企业计划的每一位客户,让客户免受DDoS攻击,让源节点免受各类有害洪水的侵害。
仅在2020年3月,我们平均每天缓解812次HTTP DDoS攻击,总共抵御了超过20000次HTTP DDoS攻击。
为所有人提供无限制的DDoS防护
在2017年的Cloudflare八周年生日周,我们推出了免费的DDoS防护。只要您使用任意Cloudflare计划(Free, Pro, Business 或 Enterprise),以上的新保护功能都将默认开启,无需额外付费。Cloudflare DDoS防护已包含在了我们每一项服务中,无论是L3的Magic Transit,L4的Spectrum,还是L7 的WAF / CDN服务。我们一直致力于让互联网变得更快、更安全、更可靠。
我们提供各类平台出租服务:新中原六合彩平台出租、澳门六合彩、SG138双赢平台出租、新环球平台出租、IDC正版平台出租、OA系统平台出租,24小时服务热线 Teltgram:sg1249