发布时间:2025.06.19
源地址:https://blog.cloudflare.com/defending-the-internet-how-cloudflare-blocked-a-monumental-7-3-tbps-ddos/
2025 年 5 月中旬,Cloudflare 成功阻止了有史以来最大规模的 DDoS 攻击,峰值达到惊人的 7.3 太比特每秒(Tbps)。这一事件发生在我们于 2025 年 4 月 27 日发布的 2025 年第一季度 DDoS 威胁报告之后,该报告中提到的攻击峰值为 6.5 Tbps 和每秒 48 亿个数据包(pps)。此次 7.3 Tbps 的攻击比我们之前的记录高出 12%,比网络安全记者 Brian Krebs 在 KrebsOnSecurity 报道的近期攻击高出 1 Tbps。
新世界纪录:Cloudflare 自主阻断 7.3 Tbps 分布式拒绝服务攻击
此次攻击针对的是 Cloudflare 的一位客户——一家使用 Magic Transit 保护其 IP 网络的主机服务提供商。正如我们在最新的 DDoS 威胁报告中所述,主机服务提供商和关键互联网基础设施日益成为 DDoS 攻击的目标。下图展示的是 2025 年 1 月至 2 月期间的一次攻击活动,该活动对 Cloudflare 的基础设施及受 Cloudflare 保护的主机服务提供商发动了超过 1350 万次 DDoS 攻击。
DDoS 攻击活动针对 Cloudflare 基础设施及受 Cloudflare 保护的主机服务提供商
首先介绍一些数据统计,然后我们将深入探讨我们的系统如何检测并缓解此次攻击。
这次 7.3 Tbps 的攻击在 45 秒内传输了 37.4 TB 的数据
37.4 太字节在当今的数据规模中并不算惊人,但在短短 45 秒内传输 37.4 太字节则令人震惊。这相当于在 45 秒内向网络传输了超过 9,350 部高清完整版电影,或者连续不断地播放 7,480 小时的高清视频(几乎是一整年的连续追剧)。如果是音乐的话,你将在不到一分钟的时间内下载约 935 万首歌曲,足够让听众连续听 57 年。想象一下,用智能手机拍摄 1,250 万张高分辨率照片,且永远不会存储空间不足——即使每天拍一张,也能连续拍摄 4,000 年——而这一切都发生在 45 秒内。
创纪录的 7.3 Tbps 分布式拒绝服务攻击在 45 秒内传输了 37.4 TB 数据
这次攻击的细节
此次攻击对我们客户拥有并使用的单个 IP 地址的目标端口进行了密集轰炸,平均每秒攻击 21,925 个目标端口,峰值达到每秒 34,517 个目标端口。攻击流量的源端口分布也呈现出类似的分布特征。
目的港分布
攻击向量
这次 7.3 Tbps 的攻击是一场多向量分布式拒绝服务(DDoS)攻击。约 99.996%的攻击流量被归类为 UDP 泛洪攻击。然而,剩余的 0.004%,即 1.3 GB 的攻击流量,则被识别为 QOTD 反射攻击、Echo 反射攻击、NTP 反射攻击、Mirai UDP 泛洪攻击、Portmap 泛洪以及 RIPv1 放大攻击。
此次攻击中除 UDP 洪泛外的其他攻击手段
攻击手段分类解析
以下内容详细介绍了此次攻击中出现的多种攻击手段,说明了组织机构如何避免成为反射和放大攻击的参与者,并提出了防御这些攻击的建议,同时确保不影响正常流量。Cloudflare 的客户已获得针对这些攻击的防护。
UDP DDoS 攻击
类型:泛洪攻击
工作原理:向目标 IP 地址的随机或特定端口发送大量 UDP 数据包,试图通过超量数据包淹没互联网链路或使其在线设备不堪重负。
如何防御攻击:部署基于云的体积型 DDoS 保护,对 UDP 流量实施智能速率限制,并完全丢弃不需要的 UDP 流量。
如何避免意外影响:过度过滤可能会干扰合法的 UDP 服务,如 VoIP、视频会议或网络游戏。请谨慎设置阈值。
每日一句 DDoS 攻击
反射放大攻击原理解析
工作机制:该攻击滥用每日名言(Quote of the Day,简称 QOTD)协议,该协议监听 UDP 17 端口,并返回简短的名言或消息。攻击者通过伪造源 IP 地址向暴露的服务器发送 QOTD 请求,导致服务器放大响应流量,进而淹没受害目标。
防范措施:关闭 QOTD 服务,并在所有服务器及防火墙上阻断 UDP 17 端口,避免成为反射放大攻击的中转节点。
如何防御该攻击:阻断入站 UDP/17 流量。丢弃异常的小包 UDP 请求激增。
如何避免意外影响:QOTD 是一种过时的诊断/调试协议,现代应用程序不再使用。禁用该协议不会对正常服务产生负面影响。
回声 DDoS 攻击
类型:反思与扩展
工作原理:利用回声协议(UDP/TCP 端口 7),该协议会回复收到的相同数据。攻击者伪造受害者的 IP 地址,使设备将数据反射回去,从而放大攻击效果。
如何防止成为反射/放大攻击的工具:在所有设备上禁用回声服务。 在边缘网络阻断 UDP/TCP 端口 7。
如何防御攻击:禁用 Echo 服务,并在网络边界阻断 TCP/UDP 7 端口。
如何避免意外影响:Echo 是一种过时的诊断工具,禁用或阻断它不会对现代系统产生负面影响。
NTP 分布式拒绝服务攻击
类型:反思与扩展
其工作原理:滥用网络时间协议(NTP),该协议用于通过互联网同步时钟。攻击者利用旧版 NTP 服务器(UDP/123)上的 monlist 命令,该命令会返回大量近期连接列表。伪造的请求导致放大反射攻击。
如何防止成为反射/放大攻击的源头:升级或配置 NTP 服务器以禁用 monlist 功能。仅允许受信任的 IP 地址进行 NTP 查询。
如何防御此类攻击:禁用 monlist 命令,更新 NTP 软件,并对 UDP/123 流量进行过滤或限速。
如何避免意外影响:禁用 monlist 不会影响时间同步。然而,过滤或阻断 UDP/123 端口如果范围过大,可能会影响时间同步——请确保仅阻断不受信任或外部来源。
Mirai UDP 攻击
类型:泛洪攻击
Mirai 僵尸网络由被攻陷的物联网设备组成,通过发送随机或特定服务的 UDP 数据包(如 DNS、游戏服务)来对受害者发动攻击。
如何防止成为僵尸网络的一部分:确保物联网设备安全,修改默认密码,升级到最新固件版本,并遵循物联网安全最佳实践,避免被纳入僵尸网络。尽可能监控出站流量,以发现异常情况。
如何防御此类攻击:部署基于云的体积型 DDoS 防护,并对 UDP 流量实施速率限制。
如何避免意外影响:首先,了解您的网络及其接收的流量类型,特别是协议、流量来源和目的地。识别运行在 UDP 上且您希望避免影响的服务。一旦确定这些服务,您可以采用限速措施,排除这些端点,或根据您的常规流量水平进行调整。否则,过度限速 UDP 流量可能会影响您的合法流量,并影响运行在 UDP 上的服务,如 VoIP 通话和 VPN 流量。
Portmap DDoS 攻击
类型:反射 + 放大
工作原理:针对远程过程调用(RPC)应用使用的 Portmapper 服务(UDP/111)进行攻击,通过伪造请求引发反射响应。
如何防止成为反射/放大攻击的工具:如果不需要,禁用 Portmapper 服务;如果内部需要使用,仅限受信任的 IP 地址访问。
如何防御此类攻击:如果不需要,禁用 Portmapper 服务,阻止入站的 UDP/111 流量。使用访问控制列表(ACL)或防火墙限制对已知 RPC 服务的访问。
如何避免意外影响:禁用 Portmapper 可能会中断依赖 RPC(如网络文件系统协议)的应用程序。移除前请确认服务依赖关系。
RIPv1 分布式拒绝服务攻击
反射放大攻击类型:反射 + (低)放大
工作原理:利用路由信息协议版本 1(RIPv1),这是一种老旧且无认证的距离矢量路由协议,使用 UDP 端口 520。攻击者通过发送伪造的路由更新包,淹没或干扰网络。
防止成为反射/放大攻击源的方法:在路由器上禁用 RIPv1。在需要路由功能的情况下,使用带认证的 RIPv2。
如何防御该攻击:阻止来自不受信任网络的入站 UDP/520 流量。监控异常的路由更新。
如何避免意外影响:RIPv1 已基本过时,通常可以安全禁用。如果遗留系统依赖该协议,需在更改前验证路由行为。
所有建议应结合各个网络或应用的具体环境和行为进行考量,以避免对合法流量造成任何意外影响。
袭击起源
此次攻击源自超过 122,145 个源 IP 地址,分布在 161 个国家的 5,433 个自治系统(AS)中。
近一半的攻击流量来自巴西和越南,各约占四分之一。其余三分之一则分别来自台湾、中国、印度尼西亚、乌克兰、厄瓜多尔、泰国、美国和沙特阿拉伯。
攻击流量的十大来源国
每秒独立源 IP 地址的平均数量为 26,855,峰值达到 45,097。
唯一源 IP 地址的分布
此次攻击源自 5433 个不同的网络(自治系统,AS)。巴西电信公司 Telefonica Brazil(AS27699)占据了最大份额,负责了 10.5%的 DDoS 攻击流量。紧随其后的是越南 Viettel 集团(AS7552),占比 9.8%;中国联通(AS4837)和中华电信(AS3462)分别贡献了 3.9%和 2.9%。中国电信(AS4134)占据了 2.8%的流量。排名前十的其他自治系统包括 Claro NXT(AS28573)、越南邮政电信集团 VNPT Corp(AS45899)、巴拿马 UFINET(AS52468)、沙特电信公司 STC(AS25019)以及越南 FPT 电信公司(AS18403),它们各自贡献了 1.3%至 1.8%的 DDoS 攻击流量。
十大源自治系统
免费僵尸网络威胁情报源
为了帮助托管服务商、云计算提供商以及各类互联网服务提供商识别并清理发起攻击的滥用账户,我们利用 Cloudflare 独特的视角,免费向服务提供商提供 DDoS 僵尸网络威胁情报源。全球已有超过 600 家机构注册使用该情报源。该情报源为服务提供商提供其 ASN 内发起 HTTP DDoS 攻击的违规 IP 地址列表。此服务完全免费,用户只需注册一个免费的 Cloudflare 账户,通过 PeeringDB 认证 ASN,随后即可通过 API 获取情报源。
攻击是如何被发现和应对的
利用分布式拒绝服务攻击的分散特性针对其进行攻击
被攻击的 IP 地址是通过 Cloudflare 的网络使用全球 Anycast 技术进行广告发布的。这意味着针对该 IP 的攻击数据包会被路由到距离最近的 Cloudflare 数据中心。利用全球 Anycast 技术,我们能够分散攻击流量,并利用其分布式特性进行防御,使我们能够在接近僵尸网络节点的位置进行缓解,同时继续从距离用户最近的数据中心为其提供服务。在此次攻击中,攻击被检测并在全球 293 个地点的 477 个数据中心得到缓解。在流量较大的地区,我们在多个数据中心均有部署。
自主分布式拒绝服务攻击检测与缓解
Cloudflare 的全球网络在每个数据中心运行所有服务,包括我们的 DDoS 检测和缓解系统。这意味着无论攻击源自何处,都能实现完全自主的检测和缓解。
实时指纹识别
当数据包进入我们的数据中心时,会被智能地负载均衡分配到可用服务器。随后,我们直接从 Linux 内核深处的 eXpress Data Path(XDP)中采样数据包,利用扩展的 Berkeley Packet Filter(eBPF)程序将数据包样本路由到用户空间,在那里进行分析。
我们的系统通过分析数据包样本,利用名为 dosd(拒绝服务守护进程)的独特启发式引擎,识别可疑模式。dosd 会在数据包样本中寻找模式,比如检测数据包头字段的共性和异常,同时还会应用其他专有技术。
实时指纹生成流程图
对于我们的客户来说,这套复杂的指纹识别系统被封装成一组用户友好的托管规则,即 DDoS Protection Managed Rulesets。
当 dosd 侦测到攻击模式时,它会生成这些指纹的多种变体,以寻找最准确的指纹,从而实现最高的防护效果和准确性,也就是尽可能精准地匹配攻击流量,同时不影响正常流量。
Cloudflare 分布式拒绝服务(DDoS)防护系统示意图
缓解措施
我们统计与每个指纹排列匹配的各种数据包样本数量,并利用数据流算法,将命中次数最多的指纹筛选出来。当激活阈值被超过时,为避免误报,会使用指纹语法编译出一条 eBPF 程序的缓解规则,用于丢弃匹配攻击模式的数据包。攻击结束后,该规则会超时并自动移除。
关于攻击的传播
正如我们所提到的,每台服务器都能完全自主地检测和缓解攻击,使我们的网络在阻挡攻击方面高效、稳健且快速。此外,每台服务器会在数据中心内以及全球范围内多播(传播)最重要的指纹变体。这种实时威胁情报的共享,有助于提升数据中心内及全球范围的防护效果。
保护互联网
我们的系统成功自主阻止了这次创纪录的 7.3 Tbps 分布式拒绝服务(DDoS)攻击,无需任何人工干预,也未触发任何警报或引发任何事故。这充分展示了我们全球领先的 DDoS 防护系统的有效性。我们开发该系统,旨在助力构建更美好的互联网,致力于提供免费且不限流量的 DDoS 防护服务。