网络攻击者也在“进步”？DDoS 攻击新纪录：每秒 1720 万次 HTTP 请求！

俗语有言“每个硬币都有两面”，世间万物也皆如此，有好亦有坏。在我们欣喜于如今云计算、AI、大数据等各类新兴技术蓬勃发展时，无法忽视的是，网络攻击也愈发强势。

近日，互联网基础设施服务提供商 Cloudflare 在其官方博客写道：“我们最近化解了我们最近化解了创纪录的 DDoS 攻击——此次攻击峰值达到了每秒 1720 万次请求（rps），几乎是此前已知的任何大规模 DDoS 攻击的三倍。”

一、何为 DDoS 攻击？

DDoS 攻击即 Distributed Denial of Service，分布式拒绝服务攻击，指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制并利用位于不同位置的多台机器同时对目标实施攻击。

举个例子，比如你开了家餐厅，生意红火，可同时容纳 50 个人。这时你旁边那家餐厅眼红了，叫了 50 个人来你店里占座却不点菜，让真正想来你店里吃饭的客人无法进来。

这就是典型的 DDoS 攻击。一般而言网络服务程序能接受的请求是有限的，一旦有大量请求，即便是正常的，也会导致网站访问非常缓慢甚至无法访问。DDoS 攻击即对目标网站在较短的时间内发起大量请求，大规模消耗目标网站的主机资源，使其无法正常服务。

因为正常的 TCP 连接无法被常规防火墙察觉，因此 DDoS 攻击的一大优势就是可绕过普通防火墙的防护以实现攻击目的，但这种攻击需要找很多僵尸主机，并且由于僵尸主机的 IP 是暴露的，因此容易被追踪。

二、DDoS 攻击者正在不断提高攻击能力

Cloudflare 在 7 月份解决的 DDoS 攻击便是如此，由一个强大的僵尸网络发起，攻击目标为 Cloudflare 在金融行业的匿名客户。

据其官方博客介绍，这次 DDoS 攻击虽然仅持续了不到一分钟，但规模突破了记录：攻击峰值可达每秒 1720 万次 HTTP 请求，是任何其他已知的 HTTP DDoS 攻击的三倍，使 Cloudflare 服务负载每秒超过 2500 万个 HTTP 请求，占其在 2021 年第二季度处理的合法 HTTP 流量的 68%。

（图片来自 Cloudflare 博客）

经统计，此次创纪录的 DDoS 攻击在 15 秒的高峰期内均保护在每秒 1500 万次请求，不到一分钟时间内就向攻击目标发送了超过 3.3 亿次请求。所幸 Cloudflare 研发的自主边缘 DDoS 保护系统检测到了这次攻击并成功化解。

Cloudflare 通过追踪发现，这次创纪录的 DDoS 攻击者至少利用了来自全球 125 个国家/地区 20000 多台设备的僵尸网络，产生攻击流量的 IP 地址 15% 来自印度尼西亚，还有 17% 来自印度和巴西。Cloudflare 认为：“这表明这些国家/地区可能存在许多受恶意软件感染的设备。”

外媒 BleepingComputer 也对此事做出了报道：“虽然此次攻击的持续时间并不久，但其威力惊人，这表明 DDoS 攻击者正在不断提高他们的攻击能力。” Cloudflare 还补充道，这个特别的僵尸网络并非第一次出现，上周它也行动了：针对一家托管服务提供商发起了一次 HTTP DDoS 攻击，但这次的攻击峰值不到 800 万 rps。

（图片来自 Cloudflare 博客）

三、Mirai 僵尸网络似乎卷土重来

除此之外，Cloudflare 还表示最近发生 DDoS 攻击数量剧增，Mirai 僵尸网络似乎也在卷土重来。

Mirai 出现于 2016 年 9 月，其作者在一个著名安全专家的网站上发起了 DDoS 攻击，并很快向其他网络罪犯公开了源代码，以混淆攻击源头，随后 2016 年 10 月域名注册服务提供商 Dyn 被攻击致瘫痪的幕后黑手也疑似是 Mirai。

总体而言，Mirai 就是一个恶意软件，会感染在 ARC 处理器上运行的智能设备，将其转变为远程控制的“僵尸”并组成网络，通常用于发动 DDoS 攻击。

（图片来自 Cloudflare 博客）

在博客中，Cloudflare 提到，大约两周前一个疑似 Mirai 变体僵尸网络发起了十多次基于 UDP 和 TCP 的 DDoS 攻击，峰值多次超过 1 Tbps，最大峰值约为 1.2 Tbps，攻击目标包括一家位于亚太地区的主要互联网服务、电信和托管服务提供商和一个游戏公司。

经过分析，Cloudflare 对这个 Mirai 变体僵尸网络有了一定了解：“Mirai 僵尸网络开始时大约有 3 万个‘僵尸设备’，然后慢慢减少到大约 2.8 万个。不过尽管失去了部分设备，Mirai 僵尸网络仍然能在短时间内产生令人难忘的攻击流量。好在一般情况下，每次爆炸攻势只会持续几秒钟。”

最后，考虑到近期 Mirai 僵尸网络的活跃，建议用户最好修改所有联网设备的默认用户名和密码，以降低 Mirai 等恶意软件感染路由器和智能设备的风险（Mirai 能够登录并感染没有更改默认用户名和密码的设备）。

参考链接：

https://blog.cloudflare.com/cloudflare-thwarts-17-2m-rps-ddos-attack-the-largest-ever-reported/
https://www.bleepingcomputer.com/news/security/http-ddos-attacks-reach-unprecedented-17-million-requests-per-second/