Cloudflare近日披露,其系统在2025年5月中旬自动拦截了有记录以来规模最大的分布式拒绝服务(DDoS)攻击,攻击峰值达到每秒7.3太比特(Tbps),在短短45秒内就产生了37.4TB的恶意流量。
这次史无前例的网络攻击针对使用Cloudflare Magic Transit服务的主机提供商客户,攻击规模较此前纪录高出12%,显示出当代DDoS攻击在规模和复杂度上的持续升级。
Part01多向量DDoS攻击剖析
本次大规模攻击采用了多向量组合策略,其中99.996%的攻击流量为UDP洪水攻击,针对单个IP地址平均攻击21,925个目标端口,峰值时每秒攻击34,517个端口。
剩余0.004%的流量采用了精密的反射放大技术,包括:
利用UDP 17端口的Quote of the Day(QOTD)协议
针对UDP/TCP 7端口的Echo协议攻击
使用monlist命令的NTP(网络时间协议)放大攻击
其他攻击向量还包括:
Mirai僵尸网络发起的UDP洪水攻击
针对UDP 111端口的Portmap服务利用
针对UDP 520端口的路由信息协议版本1(RIPv1)攻击
攻击源呈现显著的地理分布特征,共涉及122,145个独立IP地址,跨越161个国家的5,433个自治系统(AS)。巴西和越南是主要攻击来源国,各贡献约25%的总流量;中国台湾、印度尼西亚、乌克兰、厄瓜多尔、泰国、美国和沙特阿拉伯合计贡献了另外三分之一的恶意流量。
Telefonica Brazil(AS27699)是参与攻击的最大网络,贡献了10.5%的攻击流量;Viettel集团(AS7552)紧随其后,贡献了9.8%。
Part02自主检测与缓解技术
根据报告,Cloudflare的防御系统采用基于Linux内核的eXpress数据路径(XDP)和扩展伯克利包过滤器(eBPF)程序的高级数据包采样技术,实现流量模式实时分析。
该公司的启发式引擎”dosd”(拒绝服务守护进程)自动生成多种指纹排列组合来识别攻击模式,同时将对正常流量的影响降至最低。
通过任播路由技术,攻击在Cloudflare位于全球293个地点的477个数据中心被检测和缓解,攻击流量被分散到整个网络基础设施中。每个数据中心都维护着通过gossip协议更新的本地威胁情报缓存,确保新出现的攻击特征能在亚秒级时间内传遍整个网络。
这套集成的自主防御框架实现了对7.3Tbps攻击的零接触缓解,在45秒的攻击持续时间内完全遏制了事件,甚至没有触发事件响应协议。整个缓解过程完全自主完成,无需人工干预、未产生告警或服务事故,充分展示了现代云端DDoS防护系统在抵御日益复杂的网络威胁方面的有效性。
Part03关联恶意软件活动
此次披露恰逢奇安信XLab团队报告称,追踪为RapperBot的僵尸网络在2025年2月对人工智能公司DeepSeek发动攻击。该恶意软件最新变种试图勒索受害者支付”保护费”以避免未来遭受DDoS攻击。感染设备主要分布在中国、美国、以色列等10个国家。
RapperBot攻击链特点:
利用默认弱密码或固件漏洞入侵路由器、网络存储设备和录像机
通过DNS TXT记录与C2服务器通信获取攻击指令
采用自定义加密算法保护通信内容
自2025年3月起日均攻击目标超100个,活跃僵尸节点超5万个
攻击范围涵盖公共管理、社会保障、互联网平台等多个领域
来源: freebuf
领取优惠
提交成功!