[译]CloudFlare是如何在400Gbps的DDos中幸存的

原文:400Gbps: Winter of Whopping Weekend DDoS Attacks

译者:杰微刊兼职翻译缪晨

上个月,我们见识到几场史上最大的分布式拒绝服务(DDos)攻击。由于CloudFlare已经可以为在线系统提供吸收和准确测量攻击的能力。我们不需要采用粗暴的技术来阻塞流量,我们可以精确地测量和过滤攻击。我们的系统从正常的包中筛选出攻击的包,保持网站在线同时追踪攻击包的速度和流量。

现在大型的攻击都是第三层(L3)的DDoS。第三层攻击由大量攻击目标网络的包组成,目标通常是使目标网络的硬件或连接过载。

L3攻击很危险,因为大多数时间中,唯一的解决方案是获取大的网络带宽以及购买健壮的网络硬件,但这对独立的网站运维显然不太现实。或者面对巨大包流量时,一些人直接关闭连接或完全关闭IP地址。

CloudFlare典型的一天

过去, L3攻击是最令CloudFlare头痛的事情。在过去的两年中,我们自动处理几乎所有的L3攻击,这些自动化系统每天24小时保护着世界各地的CloudFlare用户。

这张图表展示了我们2015年最后三个月L3 DoS攻击的变化情况:

y轴表示我们处理的独立的“DoS事件”数,每天大概20-80起。这些DoS事件都由向我们用户的攻击触发。

最近 DDoS Attacks 变得更强,强得多。

大部分缓和过的DoS事件都比较小。当一个大的攻击发生,在我们系统中通常当做多个分开的事件。

近几个月,我们处理(大部分是自动的)了巨大的攻击。下图是同样的图表,但是包括了2016年第一个季度。注意刻度:


独立DoS事件大概增长了15倍。由于一些原因,这些新的攻击非常有趣。首先峰值都集中在周末,看起来攻击者除了周末都挺忙的。其次,他们的攻击也面向一部分良性网站,这意味着任何人都可能成为一次大型攻击的目标。最后,攻击总的体量非常巨大。

下面会对最后一点展开来讲。

BGP 黑洞

当在一个较小的规模上做运维时,使用DDoS攻击淹没目标网络容量是司空见惯的。这导致网络的阻塞,被攻击网络的的运维不得不将被攻击IP地址加入 黑洞 ,更多的直接将这些IP从互联网上移走。

但如果这么做,就不可能报告这次攻击的体量了。攻击的流量会在“黑洞”中消失,对被攻击网络的运维不可见。这就是为什么大型攻击的报告很难出——BGP黑洞,无法得到恶意流量的真正规模。


CC BY 2.0image by Marcin Wichary

我们曾遇到过非常大的攻击,但是很少被逼到用黑洞。这使我们可以详细报告我们看到的攻击体量的细节。幸运的是,以我们网络的容量及系统的高效性,我们可以单纯的吸收攻击的流量。这是我们能提供下面的度量数据的唯一原因。

这次DDoS攻击到底有多大?

DDoS攻击的尺度从两个维度度量:每秒恶意包的数量(pps)以及攻击的带宽(每秒比特数bps)。

包速度(pps)

每秒包数量的度量非常重要,因为路由器处理能力的需求正比于pps值。当攻击的超过了路由的处理能力,我们可以看到一个如下的报错信息:

PROBLEM/CRITICAL:

edge21.sin01.cloudflare.cc router PFE hardware drops

Info cell drops are increasing at a rate of 210106.35/s.

Fabric drops are increasing at a rate of 329678.81/s.

对CloudFlare的攻击到达100Mpps很正常。近期的攻击更是达到了180Mpps。下面是一个上个月我们受到攻击的pps值的图表:

世界上并没有多少网络可支撑这种速度的包攻击,但是我们的硬件在此等恶意流量下可以继续维持运行。我们的网络团队在维持CloudFlare网络硬件做的非常出色。

比特量 (bps)

另一个有趣的参数是以Gbit/s形式的攻击体量。一些大的DDoS攻击尝试使目标网络容量饱和,而不是使路由处理能力溢出。如果发生了这个问题,我们会看到如下报警:

PROBLEM/CRITICAL:

edge112.tel01.cloudflare.cc router interfaces

ae-1/2/2 (HardLayer) in: 81092mbps (81.10%)

我们前段时间当一个连接几乎快满的时候看到上述警告。事实上,近几周我们的一组100Gpbs的连接都非常满,进入流量几乎达到77Gbps:


我们推测对这个数据中心的攻击的体量实际是超过77Gbps的,但是在网络的另一端(更接近攻击者的一端)发生了拥堵,我们通过我们的因特网服务提供商了解到这点。

近期攻击流量聚合后巅峰达到400Gbps左右。而且这个巅峰不是长钉型的,这持续了几个小时。


即使在攻击流量的巅峰期间,我们的网络也没有阻塞,系统运行正常。我们的自动减灾软件可以从恶意包中挑出正常的包。

写在最后

过去的数周中,我们遭遇了一系列大型的DDoS攻击。在峰值时,我们系统报告了超过400Gbps的上行流量,是我们见过流量最大的攻击。但是这次攻击基本都被我们的减灾软件所吸收了。

每次攻击我们都会加强我们的自动攻击减灾系统。附带的,我们的网络团队时刻关注着网络情况,寻找新的瓶颈。离开了我们的自动减灾系统以及网络团队,根本无法应对这种级别的攻击。

你可能认为随着CloudFlare的发展,相比于合法流量攻击的比例会缩小。但事实正好相反,每次我们对网络进行扩容,我们都会看到更大的攻击,因为我们不需要通过黑洞来吸收流量。借助更大的容量,我们可以抵抗并测量更大的攻击。

对处理世界最大的DDoS攻击有兴趣? 我们在招聘,旧金山、伦敦及新加坡都有职位。

更多精彩译文

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容