新闻媒体和博客经常会根据受害者收到的流量来比较DDoS攻击。这当然有道理，对吧？受害者收到的流量越大，就越难减轻攻击，对吧？至少，这就是过去的事情。攻击者将获得容量，然后使用该容量发起攻击。如果有足够的容量，攻击会使受害者的网络硬件被垃圾流量淹没，使其无法再为合法请求提供服务。如果你的网络流量由一个100 Gbps端口的服务器提供，而有人向你发送200 Gbps，你的网络将饱和，网站将不可用。最近，随着攻击者变得越来越复杂，这种动态已经发生了变化。现代互联网的实际情况增加了阻塞DDoS受害者网络容量所需的工作量—攻击者已经注意到这一点，现在选择在网络堆栈的更高层执行攻击。近几个月来，Cloudflare已经看到了用垃圾流量淹没我们网络的简单尝试的大幅减少。虽然我们继续看到超过300和400 Gbps的大型网络级攻击，但总体而言，网络级攻击已变得不常见（最近最大的攻击仅超过0.5 Tbps）。自从9月底，我们制定了一项官方政策，不会仅仅因为收到过大的DDoS攻击而将任何客户从我们的网络中删除，包括免费计划中的客户。我们看到了一个趋势，即攻击者正在转向更高级的应用层攻击策略，而不是仅仅关闭商店。这一趋势不仅体现在我们的自动化攻击缓解系统的指标中，也体现在我们的一线客户支持工程师的经验中。虽然我们继续看到非常大的网络级攻击，但请注意，自从引入未计量的缓解措施以来，这些攻击的发生频率有所降低：要了解形势如何发生如此巨大的变化，我们必须首先了解DDoS攻击是如何执行的。执行DDoS在执行DDoS攻击之前，首先需要的是容量。你需要网络资源来压倒受害者。为了建立容量，攻击者可以使用一些机制；例如僵尸网络、物联网设备和DNS放大：扑网计算机病毒的部署有多种原因，例如，它们可以从用户那里获取私人信息，或勒索用户付钱让他们取回宝贵的文件。计算机病毒的另一个用途是建立执行DDoS攻击的能力。僵尸网络是由受感染计算机组成的网络，由攻击者集中控制；这些僵尸计算机随后可用于发送垃圾邮件或执行DDoS攻击。消费者使用互联网的速度比以往任何时候都快。2016年11月，英国宽带的平均上传速度达到了4.3Mbps，这意味着一个感染了2400台电脑的僵尸网络可以发起大约10Gbps的攻击。这样的容量足以使大多数在线网站的终端网络饱和。2017年8月17日，多个在线网络受到来自WireX的僵尸网络的严重攻击。来自Akamai、Cloudflare、Flashpoint、谷歌、甲骨文Dyn、RiskIQ、Cymru团队和其他组织的研究人员合作打击这一僵尸网络，最终导致数百个Android应用被删除，并开始从所有设备中删除恶意软件充斥的应用程序。物联网设备我们越来越多的日常用品都嵌入了互联网连接。与其他类型的技术一样，它们可以被恶意软件接管并控制以发起大规模的DDoS攻击。去年年底，我们开始看到连接互联网的摄像头开始发动大规模的DDoS攻击。摄像机的使用对攻击者来说是有利的，因为他们需要连接到有足够带宽的网络来传输视频。Mirai就是这样一个僵尸网络，它的目标是连接互联网的摄像头和互联网路由器。它首先使用60个默认用户名和密码登录设备的web仪表板，然后在设备上安装恶意软件。当用户设置密码而不是仅仅将其作为默认值时，其他恶意软件可以使用字典攻击重复猜测用户配置的简单密码，使用如下所示的常见密码列表。我对一些密码进行了自我审查，显然用户在设置密码时可能会处于相当愤怒的状态：撇开密码不谈，早在5月份，我就在博客上专门写了一些我们开始看到的物联网设备特有的安全风险例子：物联网安全反模式。DNS放大DNS是Internet的电话簿；为了访问此站点，您的本地计算机使用DNS来查找哪个IP地址将为其提供流量blog.cloudflare.com. 我可以使用dig A从命令行执行这个DNS查询blog.cloudflare.com:首先要注意的是，回答是相当大的，肯定比我们问的问题要大。DNS是建立在一个称为UDP的传输协议上的，当使用UDP时，很容易伪造查询的请求者，因为UDP在发送响应之前不需要握手。由于这两个因素，有人能够代表其他人进行DNS查询。我们可以请求一个相对较小的DNS查询，这将导致一个较长的响应被发送到其他地方。在线有开放的DNS解析程序，它将接受任何在线用户的请求并将响应发送给其他任何人。在大多数情况下，我们不应该将开放的DNS解析程序暴露到internet上（大多数是由于配置错误而打开的）。然而，当故意在网上公开DNS解析程序时，应该采取安全措施——StrongArm在他们的博客上有一本关于保护开放DNS解析程序的入门知识。让我们用一个假设来说明这一点。假设您写信给一个邮购零售商，要求提供目录（如果您仍然知道目录是什么）。你会寄一张相对较短的明信片，上面写着你的联系方式和你的要求，然后你会得到一个相当大的目录。现在假设你也这么做了，但是寄了成百上千张明信片，却加上了别人的地址。假设零售商有义务寄送如此大量的商品目录，你的朋友可能会在某天醒来时发现他们的前门被商品目录堵住了。2013年，我们在博客中讲述了我们面临的一次DNS放大攻击如何几乎摧毁了互联网；然而，最近一段时间，除了一次异常高的攻击（就在我们启动未经测量的DDoS缓解之后发生），DNS放大攻击通常在我们最近看到的攻击中所占比例很低：虽然我们看到的这些攻击较少，但您可以在我们的学习中心找到更详细的概述：DNS放大攻击DDoS抵御：旧的优先事项利用攻击者积累的容量，他们可以向web属性发送垃圾通信。这被称为3/4层攻击。这种攻击主要是为了阻塞受害网络的网络容量。最重要的是，减轻这些攻击需要能力。如果您受到600 Gbps的攻击，而您只有10 Gbps的容量，则您要么需要向中间网络付费，以便为您过滤流量，要么让您的网络由于攻击的力量而离线。作为一个网络，Cloudflare的工作原理是通过我们的网络传递客户的流量；这样，我们就能够对我们看到的流量进行性能优化和安全过滤。其中一个安全过滤器是删除与第3/4层DDoS攻击相关的垃圾流量。Cloudflare的网络是在大规模DDoS攻击成为现实时建立的。巨大的网络容量，分布在世界各地的许多不同的数据中心，使其更容易吸收大型攻击。我们目前有超过15汤匙，而且这个数字一直在快速增长。不过，防范DDoS攻击需要比容量更复杂一点。传统的内容交付网络是使用单播技术构建的，而Cloudflare的网络是使用Anycast设计构建的。本质上，这意味着网络流量被路由到最近的可用存在点，攻击者不可能覆盖这种路由行为-路由是使用互联网的路由协议BGP有效地执行的。单播网络将经常使用DNS等技术来引导流量关闭数据中心。此路由很容易被攻击者覆盖，从而使攻击者能够将攻击流量强制传输到单个数据中心。这在Cloudflare的Anycast网络中是不可能的；这意味着我们可以完全控制流量的路由（只要中间ISP尊重我们的路由）。有了这种网络设计，就能够快速更新路由决策，即使是针对那些通常不考虑DNS记录（TTL）缓存过期时间的ISP。Cloudflare的网络也保持开放的对等策略；我们愿意免费将我们的网络与任何其他网络互连。这意味着我们倾向于消除整个网络中的中间网络。当我们受到攻击时，我们通常有一个非常短的网络路径从攻击者到我们-这意味着没有中间网络可以遭受间接损害。新景观我在这篇博客文章的开头给出了一个图表，它展示了一种网络层攻击的频率，即针对Cloudflare网络的SYN Flood攻击。你会注意到过去几个月里最大的攻击是如何进一步分散开来的：您还可以看到，与我们继续看到的应用层DDoS攻击图相比，这种趋势并没有出现：上面的图表有一个重要的警告，应用层攻击是由我们确定的攻击定义的。应用层（第7层）攻击比第3/4层攻击更难与实际流量区分开来。攻击效果