如何丟棄 1 Tbps 的 DDoS 流量?

2024 年 1 月 6 日,我们的网络遭受了 DDoS 攻击,峰值速度约为 1 Tbps。迄今为止,这是我们成功检测和缓解的最大规模的 DDoS 攻击。

分析
雖然我們過去看到的許多攻擊旨在破壞客戶託管的某些服務,但這次攻擊專門針對我們的網絡。在攻擊過程中,我們發現了各種嘗試從互聯網上的合法服務器向我們反彈請求。我們將此稱為反射攻擊。用於反射的服務包括常見的攻擊媒介,例如 STUN、DNS、NTP 和 BitTorrent。流量攻擊源自 UDP 反射/放大是很常見的。下圖直觀地展示了一些最流行的 DDoS 攻擊形式。請注意,UDP 碎片通常是 UDP 放大攻擊的副產品。如果攻擊者能夠從用於放大的服務器獲得大於 MTU(通常為 1500 字節)的回复,則數據報將被分段。 DNS 中經常會出現這種情況。

一些最大的 DDoS 攻击可归因于 UDP 反射或放大。2018 年 2 月,Github 遭受了利用 memcached 服务器发起的 1.3 Tbps 攻击。不到一周后,NetScout Arbor 遭到1.7 Tbps DDoS 攻击,该攻击也使用了 memcached。 观察到的只是另一个迹象,表明每年可能会遵循相同的攻击趋势。

方法
我們能夠吸收這次非常大的攻擊有兩個主要原因。由於我們的網絡不斷增長,目前容量超過 6 Tbps,我們能夠防禦任何規模的攻擊。此外,我們最先進的 DDoS 緩解管道提供了以極快的速度過濾掉惡意流量的必要手段。使用任播技術,發往我們網絡上某個 IP 地址的流量將自動路由到最近的 PoP。每個站點都配備了運行我們尖端的 eBPF/XDP 堆棧的緩解硬件。這使我們能夠過濾掉網絡邊緣不需要的流量。任播還允許潛在的惡意流量更均勻地分佈在不同的 PoP 上,從而減少一個站點過載的可能性。攻擊發起後,我們的網站立即啟動並開始清理流量。這種容量和能力的結合使我們領先於競爭對手。