原文：400Gbps: Winter of Whopping Weekend DDoS Attacks

譯者：杰微刊兼職翻譯繆晨

上個月，我們見識到幾場史上最大的分布式拒絕服務（DDos）攻擊。由于CloudFlare已經可以為在線系統提供吸收和準確測量攻擊的能力。我們不需要采用粗暴的技術來阻塞流量，我們可以精確地測量和過濾攻擊。我們的系統從正常的包中篩選出攻擊的包，保持網站在線同時追蹤攻擊包的速度和流量。

現在大型的攻擊都是第三層（L3）的DDoS。第三層攻擊由大量攻擊目標網絡的包組成，目標通常是使目標網絡的硬件或連接過載。

L3攻擊很危險，因為大多數時間中，唯一的解決方案是獲取大的網絡帶寬以及購買健壯的網絡硬件，但這對獨立的網站運維顯然不太現實。或者面對巨大包流量時，一些人直接關閉連接或完全關閉IP地址。

CloudFlare典型的一天

過去, L3攻擊是最令CloudFlare頭痛的事情。在過去的兩年中，我們自動處理幾乎所有的L3攻擊，這些自動化系統每天24小時保護著世界各地的CloudFlare用戶。

這張圖表展示了我們2015年最后三個月L3 DoS攻擊的變化情況:

y軸表示我們處理的獨立的“DoS事件”數，每天大概20-80起。這些DoS事件都由向我們用戶的攻擊觸發。

最近 DDoS Attacks 變得更強，強得多。

大部分緩和過的DoS事件都比較小。當一個大的攻擊發生，在我們系統中通常當做多個分開的事件。

近幾個月，我們處理（大部分是自動的）了巨大的攻擊。下圖是同樣的圖表，但是包括了2016年第一個季度。注意刻度：

獨立DoS事件大概增長了15倍。由于一些原因，這些新的攻擊非常有趣。首先峰值都集中在周末，看起來攻擊者除了周末都挺忙的。其次，他們的攻擊也面向一部分良性網站，這意味著任何人都可能成為一次大型攻擊的目標。最后，攻擊總的體量非常巨大。

下面會對最后一點展開來講。

BGP 黑洞

當在一個較小的規模上做運維時，使用DDoS攻擊淹沒目標網絡容量是司空見慣的。這導致網絡的阻塞，被攻擊網絡的的運維不得不將被攻擊IP地址加入 黑洞 ，更多的直接將這些IP從互聯網上移走。

但如果這么做，就不可能報告這次攻擊的體量了。攻擊的流量會在“黑洞”中消失，對被攻擊網絡的運維不可見。這就是為什么大型攻擊的報告很難出——BGP黑洞，無法得到惡意流量的真正規模。

CC BY 2.0image by Marcin Wichary

我們曾遇到過非常大的攻擊，但是很少被逼到用黑洞。這使我們可以詳細報告我們看到的攻擊體量的細節。幸運的是，以我們網絡的容量及系統的高效性，我們可以單純的吸收攻擊的流量。這是我們能提供下面的度量數據的唯一原因。

這次DDoS攻擊到底有多大？

DDoS攻擊的尺度從兩個維度度量：每秒惡意包的數量(pps)以及攻擊的帶寬（每秒比特數bps）。

包速度(pps)

每秒包數量的度量非常重要，因為路由器處理能力的需求正比于pps值。當攻擊的超過了路由的處理能力，我們可以看到一個如下的報錯信息：

PROBLEM/CRITICAL:

edge21.sin01.cloudflare.cc router PFE hardware drops

Info cell drops are increasing at a rate of 210106.35/s.

Fabric drops are increasing at a rate of 329678.81/s.

對CloudFlare的攻擊到達100Mpps很正常。近期的攻擊更是達到了180Mpps。下面是一個上個月我們受到攻擊的pps值的圖表：

世界上并沒有多少網絡可支撐這種速度的包攻擊，但是我們的硬件在此等惡意流量下可以繼續維持運行。我們的網絡團隊在維持CloudFlare網絡硬件做的非常出色。

比特量 (bps)

另一個有趣的參數是以Gbit/s形式的攻擊體量。一些大的DDoS攻擊嘗試使目標網絡容量飽和，而不是使路由處理能力溢出。如果發生了這個問題，我們會看到如下報警：

PROBLEM/CRITICAL:

edge112.tel01.cloudflare.cc router interfaces

ae-1/2/2 (HardLayer) in: 81092mbps (81.10%)

我們前段時間當一個連接幾乎快滿的時候看到上述警告。事實上，近幾周我們的一組100Gpbs的連接都非常滿，進入流量幾乎達到77Gbps：

我們推測對這個數據中心的攻擊的體量實際是超過77Gbps的，但是在網絡的另一端（更接近攻擊者的一端）發生了擁堵，我們通過我們的因特網服務提供商了解到這點。

近期攻擊流量聚合后巔峰達到400Gbps左右。而且這個巔峰不是長釘型的，這持續了幾個小時。

即使在攻擊流量的巔峰期間，我們的網絡也沒有阻塞，系統運行正常。我們的自動減災軟件可以從惡意包中挑出正常的包。

寫在最后

過去的數周中，我們遭遇了一系列大型的DDoS攻擊。在峰值時，我們系統報告了超過400Gbps的上行流量，是我們見過流量最大的攻擊。但是這次攻擊基本都被我們的減災軟件所吸收了。

每次攻擊我們都會加強我們的自動攻擊減災系統。附帶的，我們的網絡團隊時刻關注著網絡情況，尋找新的瓶頸。離開了我們的自動減災系統以及網絡團隊，根本無法應對這種級別的攻擊。

你可能認為隨著CloudFlare的發展，相比于合法流量攻擊的比例會縮小。但事實正好相反，每次我們對網絡進行擴容，我們都會看到更大的攻擊，因為我們不需要通過黑洞來吸收流量。借助更大的容量，我們可以抵抗并測量更大的攻擊。

對處理世界最大的DDoS攻擊有興趣？ 我們在招聘，舊金山、倫敦及新加坡都有職位。

更多精彩譯文