自从我们上次在这篇博客上撰写有关Layer 3/4 DDoS攻击的文章以来,已经有一段时间了。这是一个好消息 - 我们一直在悄悄地处理DDoS攻击的日常攻击。自从我们上次发表文章以来,发生了一些有趣的L3 / 4攻击。我们来回顾一下吧。

巨大的SYN
4月,约翰在推特上发布了一个巨大的942Gbps SYN泛洪:

多元DDoS攻击的兴起-IDC帮帮忙

出于几个原因,这是一个值得注意的事件。

首先,它真的很大。以前,我们只看到太比特级的放大/反射攻击。在这些情况下,攻击者实际上并没有太多的容量。他们需要从其他服务器上弹出流量以产生大量负载。这与SYN洪水等典型的“直接”式攻击不同。在John提到的SYN泛洪中,所有942Gbps直接来自攻击者控制的机器。

多元DDoS攻击的兴起-IDC帮帮忙

其次,这次袭击是真正分布的。正常的SYN洪水来自少数地理位置。这一次,遍布全球,击中了所有Cloudflare数据中心:

多元DDoS攻击的兴起-IDC帮帮忙

第三,攻击似乎是部分欺骗。虽然我们的分析并不确定,但我们在最大的互联网交换中看到了随机,欺骗性的源IP地址。上面的希尔伯特曲线显示了AMS-IX中的源IP分布。如你所见,我们甚至看到127.0.0.0/8区块攻击我们!

最后,这是一次性的。我们之前已经看到了几个具有相似特征的较小的SYN洪水,但在此事件之后却没有。

我们认为流量是由Xor.DDoS恶意软件引起的。其他人过去曾调查过这个僵尸网络。

SYN景观
除了巨大的一次性SYN洪水之外,我们像往常一样,主要来自亚洲的更常见的SYN洪水的目标。这是一段时间前两天的图表:

多元DDoS攻击的兴起-IDC帮帮忙

这些SYN泛洪,达到600-650 Gbps,我们认为是互联网运营的正常部分。

除了SYN洪水,我们经常看到放大攻击。具体技术进入并且过时了。我们很高兴地报告说,SSDP和memcached的反思似乎正在逐渐消失。

SSDP的下降
去年我们担心SSDP放大攻击量不断增加:

愚蠢的简单DDoS协议(SSDP)生成100 Gbps DDoS
在那次事件之后,我们看到了更大的SSDP攻击,达到400Gbps的峰值。但这回到了2017年 - 今年我们很少看到主要的SSDP峰值。在过去的30天里,我们还没有看到一个跨越180Gbps(这是微不足道的):

多元DDoS攻击的兴起-IDC帮帮忙

这些攻击使用了6万到10万的易受攻击的IP,主要在俄罗斯,中国,美国和意大利; 这是每个国家/地区唯一的IP地图:

多元DDoS攻击的兴起-IDC帮帮忙

memcached的下降
同样,在2月下旬,我们发表了关于基于memcached的放大攻击的博文:

Memcrashed - 来自UDP端口11211的主要放大攻击
最初的攻击是可怕的,首次报告时从260Gbps开始,一天后达到太比特。但在最初的炒作之后,攻击已经减弱 - 行业迅速做出反应并清理了易受攻击的服务器。如今,我们看不到这种类型的非常大的攻击。这是过去30天的图表,memcached达到80Gbps的上限:

多元DDoS攻击的兴起-IDC帮帮忙

多重放大器
大约两个月前,我们开始观察一个新的有趣趋势。攻击者不是试图使用一种放大类型(如SSDP或memcached)进行大量破坏,而是开始汇集它们。我们看到使用许多不同放大类别的攻击立刻打击了我们所有人。

业界称之为“多元攻击”,虽然它相当标准且已存在多年,但我们之前从未见过如此规模。例如,这是一个达到800Gbps的攻击:

多元DDoS攻击的兴起-IDC帮帮忙

您可以看到所有不同的放大同时开始和结束。放大类型列表有点吸引人:

端口53和端口0(碎片) - 130 Gbps的DNS
端口111 - 337 Gbps的端口映射
端口123 - NTP,速率为16 Gbps
端口137 - 31 Gbps的NetBIOS名称服务
端口161 - SNMP为115 Gbps
端口389 - 10 Gbps的LDAP
端口1900 - SSDP为177 Gbps
我们几乎忘记了SNMP和Portmap放大 - 但它们共同构成了生成流量的很大一部分。

摘要
保持对第3层/第4层攻击的观点非常重要。大约三年前,直接DNS攻击(如随机前缀攻击)每天都会发生。攻击者改变了他们的技术,今天我们没有经常看到DNS峰值。

两年前,SYN洪水正在上升。从2016年里约奥运会开始,频率和数量都在减少。在那之后大约一年,它相当安静。最近主要的SYN洪水再次发生,我们正在仔细观察它们。

在过去,我们将SSDP和memcached放大描述为重大威胁。他们仍然会发生,但似乎正在减少。最近,我们注意到“多元”扩增已经变得更加普遍。这表明攻击者需要汇集技术以产生大量流量。

我们很乐观。总的来说,这些天互联网似乎不那么暴力了。容量攻击仍然发生,但规模小于几年前。但是当他们真的发生时,他们是巨大的。