CloudFlare:香港PopVote史无前例DDoS攻击事件全解析

美国时间6月19日周四深夜(北京时间周五),旧金山有一群人整夜待在CloudFlare的办公室里待命,随时迎战即将到来的网络大战。早在投票前几天,PopVote投票网站(popvote.hk)就遭受到一波大规模DDoS攻击,为了避免影响正式投票,PopVote网站向CloudFlare求助。
果然投票一开始,PopVote网站就陆续遭遇超大规模的DDoS攻击,攻击流量为史上第二高,连Amazon或Google都挡不住,最后靠着多家网络业者联手,才撑过了这段投票时间。

CloudFlare1

攻击流量史无前例

Matthew Prince于8月19日在台湾黑客年会HITCON上首度公开了他们在香港防御DDoS攻击的过程。在协助处理香港PopVote的DDoS攻击防御上,一开始CloudFlare使用亚马逊的AWS云服务,此前PopVote已经遭到了DNS及NTP放大攻击,攻击流量一度达到150Gb/s,最后就连AWS服务也因无法应付大量攻击流量而终止提供服务。
FreeBuf:Hitcon会议现场,CloudFlare CEO Matthew Prince称一开始还以为PopVote是一个类似于美国偶像的粉丝投票网站……
Google的Project Shield作为PopVote网站第二层的DDoS防御机制,但最后也因为攻击流量过于庞大而影响Google其他服务,以致于最后不得不宣布退出。

多种手段混合攻击

Matthew Prince表示,PopVote网站为了方便更多人投票,宣布投票时间由原订6月20日起3天延长为10天,截至29日结束,这段期间接连发生了多起大规模DDoS攻击,从投票当天起就遭受攻击,一直持续到投票结果出炉后的1小时才停止。其攻击手法之複杂,Matthew Prince甚至称之为一种Kitchen Sink Attack(用尽一切可能手段的攻击),包括出现了大量DNS反射及NTP反射攻击封包,对PopVote进行瘫痪攻击,DNS反射攻击流量每秒超过100Gb,而NTP反射攻击流量甚至更高达每秒300Gb,当中也有许多攻击流量来自台湾被操控的殭尸电脑,另外还出现了以攻击网路第四层为主的SYN Flood洪水攻击,骇客利用殭尸电脑发送大量伪造的TCP连接请求,SYN封包传送每秒钟高达1亿次,就连CloudFlare服务器也因此而无法承受住。
此外,黑客也发动了网路第七层应用层攻击,包括如HTTP洪水攻击、HTTPS加密服务攻击等,还出现了新兴的DNS Flood洪水攻击,这也是许多网路目前最害怕的DDoS攻击。PopVote网站遭遇到了每秒高达2亿5千万次的有效DNS请求甚至未经放大,DNS请求就有高达每秒128 Gb的网路流量,棘手的程度,Matthew Prince甚至以Scary(可怕)来形容它。

攻击来自全球各地

另外根据Google从6月14日当日侦测到的全球网路总攻击频宽显示,锁定以香港PopVote网站发动攻击的流量来源,遍及世界各地,以各种DDoS攻击手法,如DNS、NTP进行大量网路流量攻击,其中又以来自巴西、印尼、美国、中国的攻击活动最为频繁,而针对如此大规模的流量攻击,Matthew Prince指出,光靠一家网路服务供应商已无法抵御这样大规模的DDoS攻击。
CloudFlare2

CloudFlare最后则是采用了全球任播网路(Global Anycast Network)的技术,与全球各地的网路供应商,共同合作防堵来自四面八方的DDoS攻击,而在防御DNS Flood洪水攻击上,CloudFlare也与GoogleDNS、OpenDNS及香港ISP业者合作加入更困难的编码DNS反应机制,同时保护.hk的国码网域名称(ccTLD)不受到攻击瘫痪,另外也在资料中心内採取任播(Anycast)架构,以此分散减缓DNS Flood攻击的影响。

转载请注明来源:新一 » CloudFlare:香港PopVote史无前例DDoS攻击事件全解析

赞 (1) 评论 (1) 分享 ()

评论 1

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. 傅小黑所以是国家级行为回复