昨天我发了一篇关于周六停电的验尸报告。当我们在与一个确定的DDoS攻击者战斗时，我们对网络上的流量应用了一个过度激进的速率限制，导致了中断。在写这篇文章的过程中，我提到我们在周六早些时候看到了一个65 Gbps的DDoS。我收到了几个问题，都是这样的："65Gbps DDoS！？谁发动了这样的攻击，你又如何防御？！"所以我想我可以再详细一点。什么是大型DDoS？65Gbps DDoS是一种大攻击，很容易在我们看到的最大攻击中排名前5%。下图显示了攻击我们欧盟数据中心的攻击量（绿线表示入站流量）。当攻击速度为65Gbps时，意味着每秒有65G的数据发送到我们的网络。这相当于同时观看3400个高清电视频道的数据量。这是一大堆数据。大多数网络连接都是以100Mbps、1Gbps或10Gbps为单位的，因此这样的攻击即使是大型的Internet连接也会很快饱和。

在CloudFlare，攻击需要超过5Gbps才能与我们的运营团队一起发出警报。即便如此，我们的自动化网络防御通常不需要任何人工干预就能阻止攻击。当攻击以每秒数十千兆位的速度出现时，我们的运营团队开始监控攻击：应用过滤器并转移流量，以确保受攻击客户的网站保持在线，而我们的网络其他部分都不会受到影响。所以你想启动DDoS那么，攻击者是如何产生65Gbps流量的呢？攻击者不太可能拥有一台具有足够大的互联网连接的机器来独自生成那么多流量。产生这么多流量的一种方法是通过僵尸网络。僵尸网络是一组被病毒破坏的电脑，可以被所谓的僵尸网络牧人控制。僵尸网络牧民通常会出租他们的僵尸网络访问权，通常以15分钟的增量计费（就像律师一样）。租赁价格取决于僵尸网络的大小。传统上，电子邮件垃圾邮件发送者在僵尸网络上购买时间，以便发送看起来像来自大量来源的消息。随着更好的垃圾邮件过滤器的兴起，电子邮件垃圾邮件的利润越来越少，僵尸网络的牧民们越来越多地将他们的网络中的受损机器出租给想要发动DDoS攻击的攻击者。要发起65Gbps攻击，你需要一个僵尸网络，至少有65000台受损机器，每台机器都能发送1Mbps的上游数据。考虑到这些被破坏的计算机中有许多是在连接速度较慢的发展中国家，而且构成僵尸网络一部分的许多机器在任何给定的时间都可能不在线，发起攻击所需的僵尸网络的实际大小可能至少是这个大小的10倍。虽然并非闻所未闻，但这是一个庞大的僵尸网络而使用其所有资源来启动DDoS的风险是isp发现许多受损机器并使其离线的风险。放大攻击由于租用大型僵尸网络既昂贵又笨重，攻击者通常会寻找其他方法来放大其攻击的规模。周六的攻击使用了一种称为DNS反射的放大技术。要了解这些是如何工作的，您需要了解一下DNS是如何工作的。当您第一次注册Internet连接时，ISP将为您提供递归DNS服务器，也称为DNS解析程序。当您单击某个链接时，您的计算机会向ISP的DNS解析程序发送查找。查找是在问一个问题，比如：服务器的IP地址是什么cloudflare.com？如果您查询的DNS解析程序知道答案，因为最近有人已经问过它，并且答案被缓存，它会响应。如果没有，它会将请求传递给域的权威DNS。通常，ISP的DNS解析程序被设置为只回答来自ISP客户端的请求。不幸的是，有大量错误配置的DNS解析程序将接受来自Internet上任何人的查询。这些被称为"开放的解决方案"，它们是互联网上一种潜在的地雷，一旦被滥用就会爆炸。DNS查询通常通过UDP协议发送。UDP是一种fire-and-forget协议，这意味着不需要握手来确定数据包说它来自哪里实际上就是它来自哪里。这意味着，如果你是一个攻击者，你可以伪造UDP数据包的报头，说明它来自你想要攻击的特定IP，然后将伪造的数据包发送到一个开放的DNS解析程序。DNS解析程序将用对伪造的IP地址的响应来回复，并回答所询问的任何问题。

为了放大攻击，攻击者会提出一个问题，这个问题将导致非常大的响应。例如，攻击者可以请求特定区域的所有DNS记录。或者他们可能要求DNSSEC记录，这些记录通常非常大。由于解析器通常具有相对较高的带宽连接到Internet，因此它们可以泵出大量字节。换句话说，攻击者可以发送一个相对较小的UDP请求，并使用开放的解析程序以大量的通信量回击目标。减轻DNS反射攻击当我们处理这些攻击时，最大的讽刺之一是我们经常会收到一封来自网络所有者的电子邮件，其中有一个开放的解析器正在运行，要求我们关闭我们的网络对其发起的攻击。他们看到大量的UDP数据包以我们的一个ip作为源进入他们的网络，并假设我们是启动它的人。事实上，正是他们的网络被用来对我们发动攻击。最棒的是，我们可以安全地响应并要求他们阻止所有来自我们网络的DNS请求，因为我们的ip永远不会向解析程序发起DNS请求。这不仅解决了他们的问题，而且意味着有一个较小的开放解析器池，可以用于目标站点CloudFlare的网络。为了清理目前处于活动状态的开放式解析器，已经做出了许多努力。不幸的是，它进展缓慢，许多DNS客户端的默认安装仍然默认打开它们。当我们积极地联系最坏的罪犯来保护我们的网络时，为了保护互联网，通常需要共同努力清理开放的DNS解析程序。

在阻止这些攻击方面，CloudFlare使用了许多技术。从我们的网络架构开始。我们使用Anycast，这意味着来自解析程序的响应，当目标指向一个特定的IP地址时，将命中任何最近的数据中心。这本质上削弱了攻击的影响，将其影响分散到我们所有23个数据中心。考虑到我们的网络中有数百个千兆位的容量，即使是大的攻击也很少会使连接饱和。在我们的每一个设施，我们采取额外的措施来保护自己。例如，我们知道我们还没有从我们的网络发送任何DNS查询。因此，我们可以安全地过滤来自DNS解析程序的响应：将响应包从我们的路由器上的开放解析程序中丢弃，或者在某些情况下，甚至在我们的某个带宽提供商的上游。结果是，这些类型的攻击相对容易减轻。有趣的是，当受到攻击的客户受到65Gbps流量的攻击时，没有一个数据包进入他们的网络或影响他们的运营。事实上，CloudFlare在客户不知道有问题的情况下停止了整个攻击。从网络图你可以看到大约30分钟后攻击者放弃了。我们认为这很酷，而且随着我们继续扩展我们的网络，我们将对类似的攻击变得更加有弹性。