时间:2021-07-15 | 标签: | 作者:Q8 | 来源:Omer Yoachimik网络
小提示:您能找到这篇{Moobot vs. Gatebot:Cloudflare自动阻止654 Gbps的僵尸网}绝对不是偶然,我们能帮您找到潜在客户,解决您的困扰。如果您对本页介绍的Moobot vs. Gatebot:Cloudflare自动阻止654 Gbps的僵尸网内容感兴趣,有相关需求意向欢迎拨打我们的服务热线,或留言咨询,我们将第一时间联系您! |
去年7月3日,Cloudflare的全球DDoS保护系统Gatebot自动检测并缓解了一次基于UDP的DDoS攻击,攻击的峰值达到了654 Gbps。该攻击属于针对Magic Transit客户的为期十天的多媒介DDoS活动的一部分,在无任何人工干预的情况下即被缓解。据信,此次DDoS活动是由基于Mirai的僵尸网络Moobot发起的。客户未报告停机,服务降级或误报。 Moobot针对一名Magic Transit客户发起654 Gbps攻击 在10天里,我们的系统自动检测并缓解了针对这个客户的超过5000次DDo营销策划策略S攻击,主要是UDP泛洪、SYN泛洪、ACK泛洪和GRE泛洪。其中最大的一次DDoS攻击是UDP泛洪,仅持续了2分钟。该攻击仅针对一个IP地址,但攻击了多个端口。这次攻击来源于18705个独立IP地址,每个IP地址都可以被看作是Moobot感染的物联网设备。 攻击的国家(地区)分布 – 来源于100个国家 Cloudflare在全球100个国家的数据中心均检测到了此次攻击。大约有89%的攻击流量集中来源于10个国家,其中美国占41%,其次是韩国和日本(各占12%)和印度(10%)。这可能意味着该恶意软件至少已经感染了全球100个国家的18705台设备。 按国家/地区划分的攻击分布-前10名 Moobot - 自传播的恶意软件“Moobot”这个名字听起来很可爱,但其实一点都不可爱。根据360Netlab的解释,Moobot是一个基于Mirai的自传播恶意软件的代号,该恶意软件在2019年首次被发现。它使用可远程利用的漏洞或弱默认密码感染IoT(物联网)设备。IoT是一个术语,用于描述智能设备,比如安全中心、摄像机、智能电视、智能音箱、智能灯、传感器,甚至包括了联网冰箱。 一旦Moobot成功感染设备,该设备的控制权就会被转移到命令和控制(C2)服务器的操作员手中,操作员可以远程发布指令,例如攻击目标,定位其他易受攻击的物联网设备并进行感染(自传播)。 Moobot是基于Mirai的僵尸网络,并具有与Mirai类似的功能(模块):
自传播 2. 同步攻击 - C2服务器可以协调数据包或HTTP请求泛洪,造成目标网站或服务器的拒绝服务事件。 同步攻击 僵尸网络操作员可能在世界各地使用多个C2服务器,以降低暴露的风险。受感染的设备可能被分配给不同区域和模块的C2服务器;一个服务器用于自传播,另一个用于发起攻击。因此,即便某个C2服务器被攻破并被执法当局关闭,也只有部分僵尸网络被停用。 为什么这次攻击没有成功这是我们过去几个月在Cloudflare的网络上观察到的第二次大规模攻击。前一个攻击的峰值达到了754Mpps,并试图以高数据包速率瘫痪我们的路由器。尽管该攻击的数据包速率很高(达到了754Mpps),但其峰值带宽仅为253Gbps。 与高数据包速率攻击相反,此次攻击是高比特率攻击,峰值为654 Gbps。鉴于此攻击的高比特率峰值,攻击者似乎试图(但并未成功)通过饱和我们的互联网链接容量来导致拒绝服务事件。那么,让我们来探讨一下这次攻击为什么没有成功。 避免链路饱和并维持设备运行Cloudflare的全球网络容量超过42 Tbps,并且还在不断增长。我们的网络覆盖100多个国家/地区的200多个城市,其中包括位于中国大陆的17个城市。它与全球8800多个网络互连,包括主要的ISP,云服务和企业。高度的互连性以及对Anycast的使用确保了我们的网络可以轻松吸收最大的攻击。 Cloudflare网络 流量到达边缘数据中心后,Cloudflare网络将通过我们自己构建的第4层负载均衡器Unimog进行有效的负载均衡。Unimog利用我们的设备运行状况和其他指标来智能地在数据中心内实现负载均衡,从而避免任何一台服务器过载。 除了使用Anycast实现数据中心间的负载均衡和使用Unimog实现数据中心内的负载均衡外,我们还利用各种形式的流量工程来应对网络中流量负载的突然变化。我们的24/7/365站点可靠性工程(SRE)团队同时实施自动和手动的流量工程。 这些综合因素显著降低了由于链路饱和或设备过载而导致拒绝服务事件的可能性——正如在这次攻击中所看到的,没有发生链路饱和。 检测和缓解DDoS攻击流量一旦到达我们的边缘,就会遇到我们的三个软件定义DDoS防护系统:
Cloudflare DDoS防护周期 这三个DDoS防护系统通过收集流量样本来检测DDoS攻击。其采样的流量数据类型包括:
然后,我们的系统会将这些样本数据点集中在一起,以实时查看我们网络的安全状况和客户的源服务器运行状况。它们将找寻其中的攻击模式和流量异常,找到后,则实时生成带有动态制作的攻击签名的缓解规则。这些规则会传播到最优的位置,以降低缓解成本。例如,我们可以在L4处丢弃L7 HTTP泛洪以减少CPU的消耗。 由dosd和flowtrackd生成的规则将在单个数据中心内传播,以便快速缓解。Gatebot的规则被传播到郑州网站开发所有边缘数据中心,这些规则将优先于dosd的规则,从而实现均匀的、最优的缓解。即使Gatebot仅在边缘数据中心的一个子集中检测到攻击,它也会将缓解指令传播到Cloudflare的所有边缘数据中心,从而以主动保护的形式在我们的网络中有效地共享威胁情报。 在本次攻击中,dosd在每个边缘数据中心内生成了规则,以迅速进行缓解。随后,Gatebot从边缘接收并分析了样本,确定了这是一起全球分布式攻击。Gatebot将统一的缓解指令传播到边缘,这使我们的200多个数据中心都做好了应对攻击的准备,因为攻击流量可能由于Anycast或流量工程而转移到不同的数据中心。 无高昂账单DDoS攻击显然会带来停机和服务中断的风险。但还有另一个风险需要考虑——缓解成本。在这十天中,僵尸网络产生了超过65 TB的攻击流量。但是,遵循着Cloudflare的无限制DDoS防护保障,Cloudflare缓解并吸收了攻击流量,而没有向客户收费。客户不需要提交追溯信用申请。攻击流量被自动被排除在我们的计费系统以外。我们消除了财务上的风险。 |
上一篇:跨境电商亚马逊FBA精品打造爆款,CPC广告的作用
下一篇:腾讯云教你如何获取实例监控数据
基于对传统行业渠道的理解,对互联网行业的渠道我们可以下这样一个定义:一切...
小米应用商店的后台操作和苹果是比较相似的,因为都能填写100字符关键词,允许...
小米的规则目前是在变更中的,但是根据经验小米的搜索排名评分的高低是个很重...
为了恰饭,有时候是要接入一些广告的,所以FB也专门有一个广告的SDK,这就是A...
在 2018 年于旧金山举行的游戏开发者大会上,Amazon Web Services (AWS) 曾宣布,目前世...
关于Facebook Audience Network如何收款的问题,其实官方已经给了详细的步骤。本文主要...
本文介绍了Audience Network对广告载体的质量检查,以及它重点广告形式需要注意的问...
随着iOS开发,作为开发者或公司需要针对iOS App开发涉及的方方面面作出对应的信息...
Facebook和谷歌对出海企业广告渠道都很熟悉,但事实上,在国外还有一些渠道也很...
卖家从做号的第1分钟开始,就一定要想好变现路径是什么?一定要以变现为目的去...
小提示:您应该对本页介绍的“Moobot vs. Gatebot:Cloudflare自动阻止654 Gbps的僵尸网”相关内容感兴趣,若您有相关需求欢迎拨打我们的服务热线或留言咨询,我们尽快与您联系沟通Moobot vs. Gatebot:Cloudflare自动阻止654 Gbps的僵尸网的相关事宜。
关键词:Moobot,vs.,Gatebot:Cloudflare自