早在三月份，我的同事Marek就写了一篇关于周末DDoS攻击的冬天，我们看到400Gbps的攻击大多发生在周末。我们推测袭击者在这一周内忙于其他事情。今年冬天我们看到了一种新的模式，袭击者并没有休息一周，但他们似乎确实在正常工作。Carol VanHook提供的CC BY 2.0图像11月23日，也就是感恩节的前一天，我们的系统检测到并缓解了一次峰值为172Mpps和400Gbps的攻击。袭击开始于协调世界时1830时，持续了几乎整整8.5小时，在协调世界时3时停止。感觉好像一个攻击者"工作"了一天，然后就回家了。就在第二天，同样的事情又发生了（尽管袭击是30分钟前在协调世界时1800时开始的）。第三天，袭击者在协调世界时1800分迅速出发，但在协调世界时0130分左右提早回家。但他们设法使攻击峰值超过200Mpps和480Gbps。袭击者一天又一天地维持着。一直到感恩节，黑色星期五，网络星期一到本周。连夜攻击的峰值为400Gbps，连续数小时达到320Gbps。这个图表显示了以Mpps为单位的数据包速率。此图表显示了攻击带宽（以每秒千兆字节为单位）（乘以8可获得Gbps）。这个星期二事情变得有趣了。袭击者不再休息一晚，转而24小时工作。对这些攻击的另一个好奇之处在于，它们并不是来自人们津津乐道的Mirai僵尸网络。他们使用不同的攻击软件，针对TCP协议发送非常大的L3/L4洪水。袭击也高度集中在少数几个地点，大多位于美国西海岸。在整个过程中，我们在不影响客户的情况下减轻了攻击。正如我们之前所写的，我们构建了Cloudflare来自动处理大规模攻击。如果你对这样的系统感兴趣，我们正在招聘。