شرکت زیرساخت اینترنتی Cloudflare اعلام کرد که موفق به متوقف کردن یک حمله DDoS با رکوردشکنی ۳٫۸Tbps شده است. این حمله بزرگترین حمله Volumetric DDoS ثبت شده در تاریخ به شمار میآید. این حمله بخشهای حیاتی مانند خدمات مالی، ارتباطات از راه دور و ارائه دهندگان اینترنت را مورد هدف قرار داد. حملات به مدت یک ماه ادامه داشت و شامل بیش از ۱۰۰ حمله Volumetric بود که زیرساختهای شبکه را با حجم زیادی از دادههای “garbage” تحت فشار قرار داد. حملات Volumetric DDoS، مانند این مورد، پهنای باند هدف را پر کرده یا منابع آن را تخلیه میکنند و باعث میشوند که برنامهها، دستگاهها یا سیستمهای شبکه برای کاربران واقعی در دسترس نباشند. در این مورد، بسیاری از حملات به دو میلیارد داده در ثانیه (pps) و بیش از 3Tbps رسیدند و به طور خاص لایههای ۳ و ۴ زیرساخت شبکه و حمل و نقل را تحت تأثیر قرار دادند.
Cloudflare با موفقیت این حملات را کاهش داد و گزارش کرد که دستگاههای آلوده تشکیلدهنده باتنت شامل روترهای Asus، سیستمهای MikroTik، DVRها و سرورهای وب بودند. این دستگاهها در کشورهای مختلفی از جمله روسیه، ایالات متحده، ویتنام، برزیل و اسپانیا پخش شده بودند و از پروتکل Datagram کاربر (UDP) در پورتهای ثابت استفاده میکردند که امکان انتقال سریع دادهها بدون ایجاد ارتباطات رسمی را فراهم میکند. حملهای که به اوج 3.8Tbps رسید، ۶۵ ثانیه طول کشید تا کاهش یابد. قبل از این، مایکروسافت رکورد بزرگترین دفاع DDoS را داشت که در برابر یک حمله حجمی 3.47Tbps به یک کلاینت Azure در آسیا دفاع کرد.
چگونه Cloudflare به طور خودکار حمله DDoS با رکورد جهانی ۳.۸ ترابیت در ثانیه را کاهش داد؟
از اوایل سپتامبر، سیستمهای حفاظت از DDoS Cloudflare در حال مقابله با یک کمپین یک ماهه از حملات DDoS با حجم بسیار بالا در لایههای ۳ و ۴ بودند. دفاعهای Cloudflare در طول این ماه، بیش از صد حمله DDoS با حجم بسیار بالا را کاهش دادند که بسیاری از آنها بیش از ۲ میلیارد بسته در ثانیه (Bpps) و ۳ ترابیت در ثانیه (Tbps) بودند. بزرگترین حمله به اوج ۳.۸ ترابیت در ثانیه رسید که بزرگترین حملهای است که تاکنون به طور عمومی توسط هر سازمانی افشا شده است. شناسایی و کاهش این حملات کاملاً خودکار بوده است. نمودارهای زیر نمایانگر دو رویداد حمله جداگانه هستند که هدف آنها یک کلاینت Cloudflare بود و به طور خودکار کاهش یافتند:
مشتریان Cloudflare که از خدمات پروکسی HTTP Cloudflare مانند WAF و CDN استفاده میکنند، به طور خودکار محافظت میشوند. همچنین مشتریان Cloudflare که از خدمات Spectrum و Magic Transit استفاده میکنند نیز به طور خودکار محافظت میشوند. مشتریان Magic Transit میتوانند با پیادهسازی قوانین Magic Firewall، حفاظت خود را بهینهسازی کنند و یک مدل امنیتی مثبت و منفی سختگیرانه را در لایه بستهها اعمال کنند.
حملات عمدتاً از پروتکل UDP بر روی یک پورت ثابت استفاده میکنند و از نقاط مختلف جهان، به ویژه ویتنام، روسیه، برزیل، اسپانیا و ایالات متحده نشأت میگیرند.
حملات با نرخ بستههای بالا به نظر میرسد که از انواع مختلفی از دستگاههای آسیب دیده، شامل دستگاههای MikroTik، DVRها و سرورهای وب ناشی میشوند که به صورت هماهنگ کار کرده و هدف را با حجم بسیار بالایی از ترافیک غرق میکنند. حملات با نرخ بیت بالا به نظر میرسد که از تعداد زیادی روتر خانگی آسیبدیده ASUS نشأت میگیرند که احتمالاً با استفاده از یک آسیبپذیری CVE 9.8 (بحرانی) که اخیراً توسط Censys کشف شده است، مورد سوءاستفاده قرار گرفتهاند.
هدف از حمله DDoS، جلوگیری از دسترسی کاربران قانونی به یک سرویس است. این کار معمولاً با خالی کردن منابع مورد نیاز برای ارائه آن سرویس انجام میشود. در زمینه این حملات اخیر در لایههای ۳ و ۴، این منابع شامل چرخههای CPU و پهنای باند شبکه هستند.
گسترش سطح حمله با استفاده از Anycast جهانی
اولین عنصر نه چندان مخفی این است که شبکه Cloudflare بر اساس Anycast ساخته شده است. به طور خلاصه، Anycast اجازه میدهد یک آدرس IP توسط چندین ماشین در سرتاسر جهان تبلیغ شود. بستهای که به آن آدرس IP ارسال میشود، توسط نزدیکترین ماشین ارائه میشود. این بدان معناست که وقتی مهاجم از باتنت توزیعشده خود برای راهاندازی حمله استفاده میکند، حمله به طور توزیعشده در سراسر شبکه Cloudflare دریافت خواهد شد. یک DVR آلوده در دالاس تگزاس بستهها را به یک سرور Cloudflare در دالاس ارسال میکند. یک دوربین وب آلوده در لندن بستهها را به یک سرور Cloudflare در لندن ارسال میکند.
