史上最大 DDoS 攻击之争:这三次攻击,谁才是「最大」?
史上最大 DDoS 攻击
2020 年 5 月 29 日,AWS 发布威胁态势报告,披露一次流量峰值高达 2.3Tbps 的攻击,号称史上最大 DDoS 攻击。紧接着在 6 月 25 日,Akamai 写 Blog 提到一次包速率峰值高达 809Mpps 的攻击,也号称史上最大 DDoS 攻击。又过 4 个月, Google 在 Blog 中发文声称,其全球系统早在 3 年前防御了一次流量峰值高达 2.54Tbps 的 DDoS 攻击,并表示这才是迄今为止最大 DDoS 攻击。Google 的这一声明似乎炫耀 3 年前就实现了小目标——防御了”史上最大 DDoS 攻击”。3 个史上最大 DDoS 攻击,谁才是真的最大,数据是王道。从公开数据对比分析,发现了一些有意思的信息。
AWS
AWS 的报告展示了 2020 年 Q1 威胁态势,数据中显示在 02-17 那周的攻击流量峰值达到了 2.3Tbps,如下图所示:
图 1 Q1 DDoS 攻击流量峰值(来源 AWS)
Q1 期间的攻击包速率峰值趋势则不相同,流量峰值最大那周对应的包速率峰值却很低,图上显示 60Mpps 左右,如下图示:
图 2 Q1 DDoS 攻击包速率峰值(来源 AWS)
直接计算得到此次 DDoS 攻击的平均包长达 4792 字节,显然不合理。如果取 02-24 那周包速率 290Mpps 计算单包平均大小约为 991 字节,难道是 AWS 制表时对应错了吗?由于时间关系,未能找到相关人员求证。
AkamaiAkamai 在 blog 中披露了发生在 6 月 21 日的一起包速率高达 809Mpps 的 DDoS 攻击:
图 3 DDoS 攻击包速率趋势(来源 Akamai)
前面 AWS 最大的攻击包速率接近 300Mpps,那这个 809Mpps 会不会超过 2.3T 呢?Akamai 没有直接给出数据,但他说明了此次攻击的细节:攻击者采用 udpflood 方式,每包 payload 只有 1 个字节。
图 4 攻击包详情(来源 Akamai)
了解以太网的同学会知道,网络上跑的数据包长度小于 60 字节时会被自动填充。采用科学的带宽计算方式,需要再加上每包的帧间隙 20 字节和 FCS 4 个字节,得到此次攻击流量峰值为:(60+20+4)8809M=543.6Gbps。Akamai 号称的史上最大 DDoS 攻击强调的是包速率峰值。
谷歌在文章中描述攻击者以 167Mpps 速率发送伪造数据包到 18 万个反射源,这些反射源响应数据包的流量峰值达到了 2.54Tbps。Google 从攻击者视角给出了攻击规模数据,这个数据很有意思,无法直接确认包速率规模,是否能够超过 809Mpps 呢,跟 167Mpps 又是什么关系?我们猜测 167Mpps 是根据反射源的响应包计算得到的,反射数据包可能会由于超过 MTU 值造成分片,首包包含 UDP 包头与端口号,其他片段不包含端口号,而是包含 IP 层的片段偏移量,因此通过计算收到的初始碎片包数,可以得到攻击者向反射源发送伪造数据包的速率。
图 5 回复详情
Damian 在回复中对 167Mpps 的数据的计算方式与笔者的猜测基本一致,但还是没有直接得到史上攻击的包速率规模,按其提供的计算方式,最大的包速率规模应该可以达到 334Mpps。从上述几个最大 DDoS 攻击事件呈现的数量来看,主是通过流量峰值、包速率峰值、反射源规模、伪造请求包速率等来衡量的。下图是 Google 提供的 3 个指标趋势:带着疑问与猜测,我们向文章作者 Damian 进行了咨询:
图 6 攻击规模趋势(来源 Google)
其中的 rps,通常指 HTTP/HTTPS 的请求速率,一般用于统计 CC 攻击规模。CC 攻击也是分布式拒绝服务的典型攻击,与通常的流量型 DDoS 不同,攻击者模拟用户请求对目标实施攻击是使用了真实 IP,那这样的攻击又如何评估最大呢?由 Google 提供的趋势图可知,2020 年达到了 6Mrps,即 600 万每秒。事实上,每拦截 1 个攻击请求,会响应一些数据,不同的防御平台响应数据流大小不同,CF 的 JS 验证会达到 5KB 左右,这将是一个非常大的带宽消耗,可以计算下:6Mrps5KB8=240Gbps。2017 年 2 月 23 日,智云盾团队成功防护了某金融支付接口遭遇的特大规模 CC 攻击,持续近 1 天,总计有超过 200 万个独立的 IP 参与攻击。当时做了比较深入的溯源分析,在客户的要求下对该事件低调处理。这次攻击,包括 3 种攻击资源参与,其中一种是一系列的色情 APP(安卓 APP)在参与攻击,通过 UA 数据统计到手机型号(代号)分布如下图示:
图 7 参与攻击的手机型号(代号)分布这次攻击由于防御节点出向带宽资源有限,系统自动验证请求 IP 为恶意攻击后,持续对恶意 IP 进行网络层拦截,最终形成了流量峰值达 20Gbps 的 synflood 攻击,相当与 29.8Mpps 的 syn 请求规模。一个又一个的史上最大 DDoS 攻击,让我们了解各大厂的防御能力之高,也让我们了解到黑客掌握的攻击资源远超想象,突出显示了当前互联网面临非常严峻的大规模攻击的风险。
智云盾团队介绍
百度智云盾是百度安全专注在互联网基础设施网络安全攻防的团队,提供 T 级云防、定制端防和运营商联防等 DDoS/CC 防御解决方案。一直服务于搜索、贴吧、地图、云等百度业务,在保障百度全场景业务之余也进行防御能力外部输出,为互联网客户提供一体化的防御服务。
为网络安全共同努力
随着互联网带宽、移动技术的高速发展与普及,网络安全问题已经成为了全球瞩目的焦点。网络安全需要我们每个人也需要我们安全行业的公司,更需要我们安全企业各方面的支持,我们呼吁每个人加入我们的队列,为网络安全共同努力,只有安全的互联网才有美好的互联网,只有保障安全互联网才有未来。
原文链接:https://developer.baidu.com/article.html#/articleDetailPage?id=293649?from=020817
版权声明: 本文为 InfoQ 作者【百度开发者中心】的原创文章。
原文链接:【http://xie.infoq.cn/article/916d58533a2e1f281a5bf891d】。文章转载请联系作者。
评论