在过去的一个月里，我们看到了一些有史以来最大的分布式拒绝服务（DDoS）攻击的展开。随着CloudFlare的发展，我们带来了能够吸收和精确测量攻击的在线系统。因为我们不需要使用粗糙的技术来阻止流量，所以我们可以精确地测量和过滤攻击。我们的系统将坏包和好包进行分类，保持网站在线，并跟踪攻击包的速率和每秒的比特数。目前大量的大型攻击都是第三层（L3）DDoS。第三层攻击是指攻击目标网络的大量数据包，其目的通常是压倒目标网络的硬件或连接性。L3攻击是危险的，因为大多数时候，唯一的解决方案是获得大的网络容量和购买坚固的网络硬件，这对大多数独立网站运营商来说根本不是一个选择。或者，面对巨大的数据包速率，一些提供商干脆关闭连接或完全阻塞IP地址。CloudFlare的典型一天历史上，L3攻击是CloudFlare最头疼的问题。在过去两年中，我们几乎实现了L3攻击处理的自动化，这些自动系统每天24小时保护全球的CloudFlare客户。此图显示了2015年最后一个季度我们的L3 DoS缓解情况：y轴是我们响应的单个"DoS事件"的数量，通常一天大约20-80个。这些DoS事件中的每一个都是由对一个或多个客户的攻击自动触发的。最近的DDoS攻击规模更大。大得多大多数缓解的DoS事件都很小。当一个大的攻击发生时，它通常在我们的系统中显示为大量的独立事件。在过去的一个月左右，我们一直在处理（大部分是自动的）非常大的攻击。这是同样的图表，但包括2016年第一季度。请注意比例：在过去的一个月里，我们看到了一些有史以来最大的分布式拒绝服务（DDoS）攻击的展开。随着CloudFlare的发展，我们带来了能够吸收和精确测量攻击的在线系统。这大约是单个DoS事件的15倍。这些新的攻击之所以有趣，有几个原因。首先，峰值与周末一致。看来袭击者在这一周忙于其他事情。其次，他们针对的是一些相当温和的网站，这表明任何人都可能成为大规模攻击的目标。第三，攻击总量巨大。让我详细说明最后一点。BGP黑洞在规模较小的情况下，DDoS攻击会压倒目标网络的容量。这会导致网络拥塞，并迫使受攻击网络的运营商将受攻击的IP地址黑洞化，几乎将其从互联网上删除。在那之后，就不可能报告攻击的数量了。攻击流量将消失在"黑洞"中，被攻击网络的运营商看不见。这就是为什么BGP黑名单很难报告大型攻击，无法评估恶意流量的真实规模。CC BY 2.0图片作者：Marcin Wichiry我们在过去遇到过非常大的攻击，我们不需要经常使用黑名单。这使我们能够详细报告我们看到的攻击量。幸运的是，这一次我们的网络规模和系统的效率使我们能够简单地吸收攻击。这是我们能够提供以下指标的唯一原因。这次DDoS攻击有多大？DDoS攻击是用两个维度来衡量的：每秒恶意数据包数（pps）和攻击带宽（bps）。数据包速率（pps）每秒数据包的度量很重要，因为路由器上所需的处理能力与pps计数成比例地提高。每当攻击压倒路由器的处理能力时，我们都会看到这样一条疯狂的错误消息：问题/关键：边缘21.sin01。cloudflare.cc路由器PFE硬件故障信元下降速度为210106.35/s。织物落差以329678.81/s的速度增加。对CloudFlare的攻击达到100Mpps并不少见。最近的攻击规模更大，达到了每小时180英里的峰值。下面是我们上个月收到的每秒攻击数据包的图表：世界上没有多少网络可以承受这种攻击数据包的速度，但我们的硬件能够跟上所有恶意流量。我们的网络团队在确保CloudFlare的网络硬件能够完成任务方面做得非常出色。以位为单位的卷（bps）另一个有趣的参数是攻击的大小，以每秒千兆位为单位。一些大型DDoS攻击试图饱和网络容量（bps），而不是路由器处理能力（pps）。如果发生这种情况，我们会看到这样的警报：问题/关键：edge112.tel01。cloudflare.cc路由器接口ae-1/2/2（硬层）输入：81092mbps（81.10%）我们看到这个警告前一段时间，当一个链接变得相当满。事实上，最近几周，我们的两条100Gbps链路非常繁忙，在入站时达到了77Gbps的上限：我们推测，针对该数据中心的攻击大于77Gbps，但拥塞发生在靠近攻击者的网络另一端。我们正在和我们的网络供应商调查此事。最近的攻击达到峰值，总入站流量约为400Gbps。高峰不是一次性的，它持续了几个小时！即使在攻击流量达到峰值时，我们的网络也没有拥塞，系统运行正常。我们的自动缓解软件能够把好的和坏的包区分开来。最后的话过去几周，我们遇到了一系列大型DDoS攻击。峰值时，我们的系统报告了超过400Gbps的传入流量，这是我们见过的最大的总流量之一。攻击大部分被我们的自动防御系统吸收了。每次攻击，我们都在改进我们的自动攻击缓解系统。此外，我们的网络团队不断关注网络，努力找出新的瓶颈。没有我们的自动防御系统和网络团队，对付这种规模的攻击是不可能的。您可能认为，随着CloudFlare的增长，与合法流量相比，攻击的相对规模将缩小。有趣的是，事实恰恰相反。每次我们升级网络容量时，我们都会看到更大的攻击，因为我们不必求助于黑名单。有了更大的容量，我们就能够抵挡和精确测量更大的攻击。有兴趣处理世界上最大的DDoS攻击吗？我们在旧金山、伦敦和新加坡招聘。