云服务器价格_云数据库_云主机【优惠】最新活动-搜集站云资讯

域名备案_数据库连接地址_优惠

小七 141 0

比如奶酪:来自物联网摄像头的大规模DDoS攻击快照

在过去的几周里,我们看到了DDoS攻击攻击攻击我们的系统,这表明攻击者已经转而使用新的大型方法来关闭web应用程序。它们似乎来自一个物联网僵尸网络(比如Mirai和relations),它们对Brian Krebs的大规模攻击负责。我们的自动DDoS抵御系统一直在处理这些攻击,但我们认为公布我们所看到的一些细节会很有趣。在本文中,我们将共享两种攻击的数据,它们是DDoS新趋势的完美例子。E Magnuson的CC BY 2.0图像在过去,我们已经写了大量关于海量DDoS攻击以及如何减轻它们的文章。这些攻击的特点是大量使用L7(即HTTP)攻击,而不是更常见的SYN flood、ACK flood以及NTP和DNS反射攻击。许多DDoS缓解系统都被调整为处理大量的L3/4攻击;在这种情况下,攻击者已切换到L7攻击,试图使web应用程序离线。看到L7 DDoS攻击的发展趋势,我们建立了一个新的系统来识别和阻止这些攻击的发生。L7缓解程序可识别针对单个主机的攻击,并分发一个指纹,保护所有400万Cloudflare客户。我们以后会写更多的。每秒HTTP请求数通常,当报告DDoS攻击时,攻击的大小以Gbps(甚至Tbps)为单位报告,但是有许多方法可以测量攻击的大小。对于基于L7 HTTP的攻击,测量每秒的请求也是有意义的。这是因为,与容量L3/4攻击不同,基于HTTP的攻击通过向被攻击服务器发出实际的HTTP请求来消耗资源。最近我们遭遇了几次异常大的L7攻击,每秒超过100万个HTTP请求(1mrps)。以下是其中之一:这次袭击持续了15分钟。最近发生的多起袭击事件都超过1次,持续了几分钟。这次袭击的峰值是1.75 Mrps。它由简短的HTTP请求(每个请求大约121个字节)组成,在HTTP报头中没有任何异常。请求有一个固定的Cookie头。我们统计了52467个唯一的IP地址参与了这次攻击。由于Cloudflare网络的Anycast特性,恶意流量分布在多个Cloudflare城市,通过100个城市,我们可以很好地了解机器人的位置。以下是受影响最大的数据中心:这次袭击主要是针对香港和布拉格的数据中心。这是另一个共同特征;最近的大多数攻击看起来都很相似。由于攻击看起来很集中,我们想知道是否只有少量的AS号码(网络)是攻击的来源。不幸的是没有,参与洪水的IP地址是均匀分布的。在我们分析的10000个随机请求中,我们看到300多个源IP地址是数字。这些是最大的来源:48 AS24086;越南101 AS4134;中国128 AS7552;越南329 AS45899;越南2366 AS15895;乌克兰这些攻击是一种新的趋势,因此指责AS运营商不清理参与攻击的设备是不公平的。话虽如此,乌克兰的ISP和越南的AS45899似乎很突出。我们一会儿再谈。带宽尽管每秒请求数是衡量这些攻击的常用指标,但它不是唯一的一个。我们还可以测量攻击中使用的带宽。按此计算,上面提到的攻击非常小(因为我们已经习惯于以100s Gbps的速度报告DDoS攻击)。它的峰值大约为2Gbps。但是回想一下,这些L7攻击最终会攻击一个web服务器,而不是简单的容量:它们使用服务器资源。然而,我们看到了另一个不同寻常的攻击,它是一个L7,其带宽消耗与传统的L3/4容量攻击相似。首先,这是每秒请求数图表:此攻击在峰值时每秒"仅"生成220k个请求。但是,它产生了大量的入站带宽:这次攻击的峰值是每秒360Gbps的入站HTTP流量。HTTP攻击生成大量的网络流量是很不寻常的。此攻击很特殊,由如下HTTP请求组成:获取/en HTTP/1.1用户代理:饼干:主持人:示例.com连接:关闭内容长度:80万a[]=&b[]=&a[]=&b[]=&a[]=&b[]=&a[]=&b[]=&a[]=&b[]=&a[]=&b[]=。。。正是在请求头之后发送的长有效负载允许攻击者生成大量流量。自从这次攻击以来,我们在请求体中看到了具有不同参数的类似事件。有时这些攻击以GET请求的形式出现,有时以POST的形式出现。此外,这一特定的攻击持续了大约一个小时,共有128833个唯一的IP地址。数据中心分布不同,大部分攻击集中在法兰克福:由于攻击是由大量的机器人组成的,所以我们期望As分布相当均匀。实际上,在10000个请求示例中,我们记录了737个惟一的AS数字。以下是主要来源:286 AS45899;越南314 AS7552;越南316 AS3462;台湾323 AS18403;越南1510 AS15895;乌克兰乌克兰的ISP和越南的几家网络公司再次成为最大的打击者。关于消息来源的更多信息我们想知道为什么AS15895如此特别。首先,我们调查了交通图。以下是我们在过去30天从他们那里收到的入站流量:第一次重大攻击显然被视为9月29日的峰值,达到了30Gbps。对于AS45899,可以看到一个非常相似的图表:我们可以看到9月26日左右有人试图发动一些规模较小的袭击。几天后,攻击者打开油门,从这个ASN不间断地达到7.5Gbps。我们调查的其他AS数据也显示了类似的情况。设备虽然我们不可能调查所有的攻击设备,但可以公平地说,这些攻击来自物联网(IoT)类设备。有多种迹象证实了这一理论。首先,所有攻击设备的端口23(telnet)打开(立即关闭连接)或关闭。从不过滤。这是一个强烈的暗示,恶意软件在telnet端口安装后就禁用了它。大多数来自越南电视台的主持人看起来像是连接的闭路电视摄像机。有多个网页开放的网络监控80。不过,乌克兰的设备有点不同。大多数都关闭了80号端口,这使得识别更加困难。我们注意到一个端口443打开的设备正在服务于Western Digital颁发的有效TLS证书,处理域设备-xxxx.wd2go公司.com暗示这是一个硬盘驱动器(确切地说是网络连接存储)。未来:DDoS的未来我们计划继续我们的调查,并与外部研究人员合作,以找到一个永久性的解决办法,这个日益增长的威胁。尽管最近的攻击大多涉及互联网连接摄像头,但没有理由认为它们可能是未来DDoS攻击的唯一来源。随着越来越多的设备(冰箱、健身追踪器、睡眠监视器等)被添加到互联网上,他们很可能不愿意参与未来的攻击。CC BY 2.0图像代码\我们正在招聘多个角色,包括我们的DDoS抵御团队。帮助我们从DDoS攻击中拯救互联网。更新:最初,本文将Mirai僵尸网络归因于所显示的攻击。我们现在相信,由于技术原因,大带宽攻击可能不是来自运行泄漏的Mirai代码的僵尸网络。