最近，我在IP级别查看了针对CloudFlare站点的DDoS攻击以及这些攻击的来源。这些DDoS攻击最糟糕的时间是星期三的切换时间，由于源IP地址伪造，大多数攻击似乎来自Mars。但是第7层攻击，即攻击者实际使用TCP连接到我们的硬件并发出明显有效的HTTP请求是另一回事：由于需要建立TCP连接，它们的来源是可追踪的。

第7层攻击在某些方面是最简单的攻击：攻击者执行大量的HTTP请求，希望能够压倒目标服务器。对于目标来说，这些请求看起来非常有效，必须得到服务。这会耗尽目标服务器上的资源，并导致其速度减慢或崩溃。CloudFlare的自动系统监控HTTP流量的异常峰值，并自动处理HTTP DoS攻击（通常在我们的员工的帮助下）。同时，系统收集有关攻击的统计数据。从我们的攻击统计数据来看，95.5%的情况下，针对CloudFlare站点的第7层DoS攻击。这些攻击只来自我们看到的连接到我们网络的IP地址的0.05%。系统（和人员）几乎没有休息时间处理这些攻击。攻击的形式是对站点发出大量的HTTP请求，攻击者希望关闭这些请求。CloudFlare的系统记录了制造第7层攻击的机器的IP地址，因为地址不能伪造，而且对过滤很有用。尽管袭击一直在发生，但最糟糕的一天是星期六。下表显示了2012年1月至8月期间第7层DoS攻击中使用的唯一IP地址数。

关注最大规模的攻击显示出相同的趋势，周六上升，而第7层DoS攻击者似乎在周日稍作休息。

从一天中的时间来看，攻击每天24小时都在发生，在协调世界时0700左右（加利福尼亚州的午夜），攻击的总数只有轻微的下降。

但关注最大规模的攻击揭示了我们团队熟悉的模式。最大的第7层攻击发生在加利福尼亚州的夜间（大约午夜，协调世界时0800），然后在约1800协调世界时再次发生（就在那些熬夜抵抗攻击的人开始工作的时候）。

所以无论是在加州还是在欧洲的夜晚，第7层DoS攻击者都让球队忙得不可开交。全年的趋势显示，第7层DoS活动出现了一些有趣而戏剧性的下降。图表中的下降大约发生在以下日期：1月30日，2月21日（狂欢节），3月20日（袭击者从圣帕特里克节恢复过来？），4月22日（攻击者有没有让地球日休息，或者人们关闭家用机器，让僵尸网络变小一天？），5月29日（阵亡将士纪念日周末），6月28日（7月4日前）。

整体趋势逐月上升。2012年前6个月，第7层DoS攻击增加了10%，但第7层大型攻击增加了21%。低级别DDoS攻击的统计数据显示略有下降。攻击者似乎正在切换到第7层攻击以使站点离线。由于第7层攻击的来源是已知的，所以可以查看攻击的来源（或者至少是执行攻击的机器所在的位置）。这些机器中的大多数将成为僵尸网络的一部分。攻击云闪地点的前五个国家是：美国占18.34%，中国占11.47%，土耳其占7.88%，巴西占6.96%，泰国占6.55%。针对美国，攻击CloudFlare网站的最大网络有：Verizon Online、Comcast、AT&T、Cox、Cablevision和Charter。这与攻击者使用连接到家庭宽带连接的机器的僵尸网络进行攻击是一致的。当然，在CloudFlare，我们花了大量时间来防御这些攻击（包括自动防御和使用像我处于攻击模式下的工具）。我们成功地保护了小型和大型网站（如Eurovision Song Contest）抵御所有层次的攻击。CloudFlare的使命是确保客户的网站保持活力。