自从我们上次在这个博客上写3/4层DDoS攻击以来已经有一段时间了。这是一个好消息—我们一直在悄悄地处理每天的DDoS攻击。自从上次L3/34攻击发生以来，我们已经有了一些有趣的攻击。让我们回顾一下。巨SYN今年4月，John在tweet上发布了一个942Gbps的巨大SYN洪水：这是一个值得注意的事件有几个原因。首先，它真的很大。以前，我们只见过太比特级的放大/反射攻击。在这些情况下，攻击者实际上没有太多的容量。它们需要将流量从其他服务器上反弹以产生大量负载。这与典型的"直接"式攻击不同，比如SYN floods。在John提到的SYN flood中，所有942Gbps都直接来自攻击者控制的机器。第二，这次袭击是真正分散的。正常的SYN洪水来自少数地理位置。这一次，遍布全球，打击了所有Cloudflare数据中心：第三，这次攻击似乎是部分欺骗。虽然我们的分析不是决定性的，但我们在最大的互联网交换中看到了随机的、伪造的源IP地址。上面的Hilbert曲线显示了AMS-IX中的源IP分布。正如您所见，我们甚至看到了127.0.0.0/8块攻击我们！最后，这是一次性的。我们在这起事件之前看到过一些具有类似特征的较小SYN洪水，但在这次事件之后没有。我们相信交通是由异或DDoS恶意软件。过去也有人调查过这个僵尸网络。SYN景观除了巨大的一次性SYN洪灾，我们和往常一样，更常见的SYN洪水主要来自亚洲。这是两天前的图表：这种SYN洪水，达到600-650 Gbps，我们认为这是在互联网上正常运行的一部分。除了SYN洪水，我们经常看到放大攻击。具体的技术时而流行，时而过时。我们很高兴地报告，SSDP和memcached反射似乎都即将退出。SSDP的衰落去年，我们担心SSDP放大攻击的数量不断增加：愚蠢简单的DDoS协议（SSDP）生成100 Gbps DDoS在那次事件之后，我们看到了更大的SSDP攻击，峰值达到400Gbps。但这要追溯到2017年，今年我们很少看到SSDP大幅飙升。在过去的30天里，我们还没有看到一个跨越180Gbps（这是微不足道的）：这些攻击使用60-10万个易受攻击的IP，这些IP主要分布在俄罗斯、中国、美国和意大利；以下是每个国家的独特IP地图：memcached的衰落同样，在2月下旬，我们在博客中讨论了基于memcached的放大攻击：memcrash-来自UDP端口11211的重大放大攻击起初，这些攻击非常可怕，第一次报告时的攻击速度为260 Gbps，一天后达到1 TB。但在最初的炒作之后，攻击已经减弱——业界迅速作出反应，清理了易受攻击的服务器。现在，我们没有看到这种类型的大规模攻击。以下是过去30天的图表，memcached最高达到80Gbps：多向量放大大约两个月前，我们开始观察一种新的有趣的趋势。攻击者不再试图使用SSDP或memcached等一种放大类型来造成很大的损害，而是开始将它们集中起来。我们看到使用许多不同放大类别的攻击同时袭击了我们。业界称之为"多向量攻击"，虽然它相当标准，而且已经存在多年，但我们以前从未见过如此大规模的攻击。例如，这里有一个这样的攻击达到了800Gbps的总和：你可以看到所有不同的放大同时开始和结束。放大类型列表有些有趣：端口53和端口0（碎片）-DNS速度为130 Gbps端口111-端口映射速度为337 Gbps端口123-NTP，16 Gbps端口137-31 Gbps的NetBIOS名称服务端口161-SNMP，115 Gbps端口389-10 Gbps的LDAP端口1900-SSDP为177 Gbps我们几乎忘记了SNMP和Portmap放大——但是它们确实存在，它们共同构成了生成的流量的很大一部分。摘要对第3层/第4层攻击保持透视是很重要的。大约三年前，直接DNS攻击（如随机前缀攻击）每天都在发生。攻击者改变了他们的技术，今天我们不经常看到DNS峰值。两年前，SYN的洪水还在上升。从2016年里约奥运会开始，频率和数量都有所下降。在那之后的一年里，这里相当安静。最近，重大的SYN洪水再次发生，我们正在密切关注。在过去，我们曾将SSDP和memcached放大描述为重大威胁。它们仍在发生，但似乎在减少。最近，我们注意到"多向量"扩增变得越来越普遍。这表明攻击者需要将这些技术集中起来以产生大量流量。我们很乐观。总的来说，现在的互联网似乎不那么暴力了。体积攻击仍在发生，但规模比几年前小。但当它们真的发生时，它们是巨大的。