7月3日,Cloudflare的全球DDoS保护系统Gatebot自动检测并缓解了基于UDP的DDoS攻击,该攻击的峰值达到654 Gbps。该攻击是针对Magic Transit客户的为期十天的多向量DDoS运动的一部分,无需任何人工干预即可缓解。据信,DDoS活动是由基于Mirai的僵尸网络Moobot发起的。客户未报告停机,服务降级或误报。
Moobot将654 Gbps面向Magic Transit客户
在那十天中,我们的系统自动检测并缓解了针对此客户的5,000多次DDoS攻击,主要是UDP洪水,SYN洪水,ACK洪水和GRE洪水。最大的DDoS攻击是UDP泛洪,仅持续了2分钟。该攻击仅针对一个IP地址,但攻击了多个端口。攻击源自18,705个唯一IP地址,每个IP地址被认为是感染Moobot的IoT设备。
攻击分布(按国家/地区)-来自100个国家/地区
在全球100个国家/地区的Cloudflare数据中心中都观察到了这种攻击。大约89%的攻击流量仅来自10个国家/地区,其中美国占41%,其次是韩国和日本,位居第二(各占12%),印度则排在第三(10%)。这可能意味着该恶意软件已感染了全球100个国家中的至少18,705台设备。
按国家/地区划分的攻击分布-前10名
Moobot-自我传播的恶意软件
“ Moobot”听起来像是一个可爱的名字,但没有什么可爱的。根据Netlab 360的说法,Moobot是于2019年首次发现的基于Mirai的自我传播的恶意软件的代号。它使用可远程利用的漏洞或弱默认密码感染IoT(物联网)设备。物联网是一个术语,用于描述智能设备,例如安全集线器和相机,智能电视,智能扬声器,智能灯,传感器,甚至是连接到Internet的冰箱。
一旦设备被Moobot感染,该设备的控制权就会转移到命令和控制(C2)服务器的操作员,后者可以远程发出命令,例如攻击目标并找到其他易受感染的IoT设备进行感染(自我传播) 。
Moobot是基于Mirai的僵尸网络,并具有与Mirai类似的功能(模块):
自我传播-自我传播模块负责僵尸网络的发展。IoT设备被感染后,它会随机扫描Internet以查找开放的telnet端口并向C2服务器报告。C2服务器一旦获得了世界各地开放式telnet端口的知识,便会尝试利用已知的漏洞或以通用或默认凭据将其强行闯入IoT设备。
自我传播
2.同步攻击-C2服务器编排协调的数据包或HTTP请求泛洪,目的是为目标网站或服务创建拒绝服务事件。
同步攻击
僵尸网络运营商可以在世界各地使用多个C2服务器,以降低暴露风险。受感染的设备可能会分配给不同的C2服务器,具体取决于区域和模块;一台用于自我传播的服务器,另一台用于发起攻击。因此,如果C2服务器被执法机构破坏并关闭,则仅僵尸网络的一部分将被停用。
为什么这次攻击没有成功
这是我们过去几个月在Cloudflare的网络上观察到的第二次大规模攻击。前一个峰值达到每秒754M数据包,并试图以高数据包速率拆除我们的路由器。尽管包速率很高,但754Mpps攻击的峰值仅为253 Gbps。
与高数据包速率攻击相反,此攻击是高比特率攻击,峰值为654 Gbps。由于此攻击的比特率很高,因此,攻击者似乎试图(并且失败了)通过饱和我们的Internet链接容量来导致拒绝服务事件。因此,让我们探究为什么这次攻击没有成功。
避免链路饱和并保持设备运行
Cloudflare的全球网络容量超过42 Tbps,并且还在不断增长。我们的网络覆盖100多个国家/地区的200多个城市,其中包括中国大陆的17个城市。它与全球8800多个网络互连,包括主要的ISP,云服务和企业。这种高度的互连性以及对Anycast的使用确保了我们的网络甚至可以轻松吸收最大的攻击。
Cloudflare网络
流量到达边缘数据中心后,然后使用我们自己构建的第4层负载均衡器Unimog对其进行有效的负载均衡,该设备使用设备的运行状况和其他指标来智能地均衡数据中心内的流量,以达到以下目的:避免压倒任何单个服务器。
除了使用Anycast进行数据中心间负载平衡和使用Unimog进行数据中心内负载平衡外,我们还利用各种形式的流量工程来处理网络中流量负载的突然变化。我们利用24/7/365站点可靠性工程(SRE)团队可以采用的自动和手动流量工程方法。
这些综合因素显着降低了由于链路饱和或设备不堪重负而导致拒绝服务事件的可能性-从此攻击中可以看出,没有发生链路饱和。
检测和缓解DDoS攻击
一旦流量到达我们的边缘,就会遇到我们的三个软件定义的DDoS保护系统:
Gatebot -Cloudflare的集中式DDoS防护系统,用于检测和缓解全球分布的批量DDoS攻击。Gatebot在我们网络的核心数据中心中运行。它从我们每个边缘数据中心接收样本,对其进行分析,并在检测到攻击时自动发送缓解指令。Gatebot还同步到我们每个客户的Web服务器,以识别其运行状况并相应地触发缓解措施。
dosd(拒绝服务守护程序)-Cloudflare的分散式DDoS保护系统。dosd在全球每个Cloudflare数据中心的每台服务器中自主运行,分析流量并在需要时应用本地缓解规则。除了能够以超快的速度检测和缓解攻击外,Dosd还通过将检测和缓解功能委托给边缘来显着提高我们的网络弹性。
flowtrackd(流跟踪守护程序)-Cloudflare的TCP状态跟踪机,用于检测和缓解单向路由拓扑(例如Magic Transit的情况)中最随机,最复杂的基于TCP的DDoS攻击。flowtrackd能够识别TCP连接的状态,然后丢弃,挑战或限制不属于合法连接的数据包。
Cloudflare DDoS保护生命周期
三个DDoS保护系统收集流量样本,以检测DDoS攻击。他们采样的流量数据类型包括:数据包字段,例如源IP,源端口,目标IP,目标端口,协议,TCP标志,序列号,选项和数据包速率。
HTTP请求元数据,例如HTTP标头,用户代理,查询字符串,路径,主机,HTTP方法,HTTP版本,TLS密码版本和请求速率。
HTTP响应指标,例如客户的原始服务器返回的错误代码及其费率。
然后,我们的系统将这些样本数据点集中在一起,以实时查看我们网络的安全状况和客户的原始服务器运行状况。他们寻找攻击模式和流量异常。找到后,将实时生成带有动态制作的攻击特征的缓解规则。规则会传播到最优化的位置,以降低成本。例如,可以在L4处丢弃L7 HTTP泛洪以减少CPU消耗。
由dosd和flowtrackd生成的规则将在单个数据中心内传播,以便快速缓解。Gatebot的规则会传播到所有边缘数据中心,这些中心随后会优先于dosd的规则进行平均和最佳缓解。即使在边缘数据中心的一个子集中检测到攻击,Gatebot也会将缓解指令传播到Cloudflare的所有边缘数据中心,从而以主动保护的形式在我们的网络中有效共享威胁情报。
对于这种攻击,dosd在每个边缘数据中心中生成了规则,以迅速缓解攻击。然后,当Gatebot从边缘接收并分析了样本时,它确定这是一次全球分布式攻击。Gatebot将统一的缓解指令传播到边缘,这使我们200多个数据中心中的每一个都做好了应对攻击的准备,因为攻击流量可能由于Anycast或流量工程而转移到另一个数据中心。
无虚假账单
DDoS攻击显然会带来中断和服务中断的风险。但是还有另一个风险需要考虑-缓解成本。在这十天中,僵尸网络产生了超过65 TB的攻击流量。但是,作为Cloudflare不受限制的DDoS保护保证的一部分,Cloudflare缓解并吸收了攻击流量,而无需向客户收费。客户不需要提交追溯信用请求。攻击流量会自动从我们的计费系统中排除。我们消除了财务风险。