CloudFlare:香港PopVote史无前例DDoS攻击事件全解析

美国时间6月19日周四深夜(北京时间周五),旧金山有一群人整夜待在CloudFlare的办公室里待命,随时迎战即将到来的网络大战。早在投票前几天,PopVote投票网站(popvote.hk)就遭受到一波大规模DDoS攻击,为了避免影响正式投票,PopVote网站向CloudFlare求助。

果然投票一开始,PopVote网站就陆续遭遇超大规模的DDoS攻击,攻击流量为史上第二高,连Amazon或Google都挡不住,最后靠着多家网络业者联手,才撑过了这段投票时间。

攻击流量史无前例

Matthew Prince于8月19日在台湾黑客年会HITCON上首度公开了他们在香港防御DDoS攻击的过程。在协助处理香港PopVote的DDoS攻击防御上,一开始CloudFlare使用亚马逊的AWS云服务,此前PopVote已经遭到了DNS及NTP放大攻击,攻击流量一度达到150Gb/s,最后就连AWS服务也因无法应付大量攻击流量而终止提供服务。

FreeBuf:Hitcon会议现场,CloudFlare CEO Matthew Prince称一开始还以为PopVote是一个类似于美国偶像的粉丝投票网站……

Google的Project Shield作为PopVote网站第二层的DDoS防御机制,但最后也因为攻击流量过于庞大而影响Google其他服务,以致于最后不得不宣布退出。

多种手段混合攻击

Matthew Prince表示,PopVote网站为了方便更多人投票,宣布投票时间由原订6月20日起3天,延长为10天,截至29日结束,这段期间接连发生了多起大规模DDoS攻击,从投票当天起就遭受攻击,一直持续到投票结果出炉后的1小时才停止。其攻击手法之複杂,Matthew Prince甚至称之为一种Kitchen Sink Attack(用尽一切可能手段的攻击),包括出现了大量DNS反射及NTP反射攻击封包,对PopVote进行瘫痪攻击,DNS反射攻击流量每秒超过100Gb,而NTP反射攻击流量甚至更高达每秒300Gb,当中也有许多攻击流量来自台湾被操控的殭尸电脑,另外还出现了以攻击网路第四层为主的SYN Flood洪水攻击,骇客利用殭尸电脑发送大量伪造的TCP连接请求,SYN封包传送每秒钟高达1亿次,就连CloudFlare服务器也因此而无法承受住。

此外,黑客也发动了网路第七层应用层攻击,包括如HTTP洪水攻击、HTTPS加密服务攻击等,还出现了新兴的DNS Flood洪水攻击,这也是许多网路目前最害怕的DDoS攻击。PopVote网站遭遇到了每秒高达2亿5千万次的有效DNS请求,甚至未经放大,DNS请求就有高达每秒128 Gb的网路流量,棘手的程度,Matthew Prince甚至以Scary(可怕)来形容它。

攻击来自全球各地

另外根据Google从6月14日当日侦测到的全球网路总攻击频宽显示,锁定以香港PopVote网站发动攻击的流量来源,遍及世界各地,以各种DDoS攻击手法,如DNS、NTP进行大量网路流量攻击,其中又以来自巴西、印尼、美国、中国的攻击活动最为频繁,而针对如此大规模的流量攻击,Matthew Prince指出,光靠一家网路服务供应商已无法抵御这样大规模的DDoS攻击。

CloudFlare最后则是采用了全球任播网路(Global Anycast Network)的技术,与全球各地的网路供应商,共同合作防堵来自四面八方的DDoS攻击,而在防御DNS Flood洪水攻击上,CloudFlare也与GoogleDNS、OpenDNS及香港ISP业者合作加入更困难的编码DNS反应机制,同时保护.hk的国码网域名称(ccTLD)不受到攻击瘫痪,另外也在资料中心内採取任播(Anycast)架构,以此分散减缓DNS Flood攻击的影响。

[原文链接]

http://ithome.com.tw/news/90246

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-08-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏CIT极客

极客周刊丨IS将建黑客组织,9成iphone现高危漏洞,日本拟推J币替代支付宝...

3876
来自专栏FreeBuf

2017年全球8大网络安全威胁趋势预测

? 1. 更多的IOT意味着更多的DDOS攻击 2008年,IBM提议智能城市建设,就是所谓的Smart City。之后,越来越多的科技会议都在探讨研究Sma...

2086
来自专栏安恒信息

物联网最大隐患并非黑客 而是设备制造商

技术宅Craig Heffner表示物联网最大的隐患不在黑客,而在各种设备的制造商。 Tactical Network Solutions的研究员Craig H...

3366
来自专栏域名资讯

含义诱人 域名SW.com被曝完成交易!

前有JB.com被中国投资人收购的消息,最近好消息没收住脚步,另一枚2声母域名SW.com也完成交易了。

1916
来自专栏腾讯研究院的专栏

牛津Mark Howard Stephens:欧盟被遗忘权面临的发展与挑战

11月22-23日,由腾讯互联网与社会研究院发起并联合北京大学法学院、斯坦福大学法学院、牛津大学法学院联合举办的第三届“2014北大-斯坦福-牛津:互联网...

3436
来自专栏安恒信息

美欧警方联手拿下了非常难以捉摸的Beebone僵尸网络

美欧警方已经联手拿下了一个感染了大量计算机的僵尸网络,对于计算机犯罪者来说,Beebone为他们提供了简单迅速地在肉鸡上安装恶意软件的后门。摧毁Beebone的...

3316
来自专栏黑白安全

LOW逼混子玄道实锤“黑客”教父“郭胜华”

玄道曰:“其实不想纠结这个娱乐圈只知道用自媒体造势的这个黑客。但是奈何如同烟雾缭绕,笔者今日准备深扒一下这位“黑客教父”。”

2691
来自专栏域名资讯

化学加网获投近千万 启用域名huaxuejia.cn

近日,化学加网获得近千万元的升级融资,投资方为龙乾资本、上海速博化学科技等产业资本,一期投资款数百万元已经到位。

2186
来自专栏腾讯研究院的专栏

全球隐私及数据保护法律政策动态报告(下)

四、其他地区 (一)俄罗斯 俄罗斯总理梅德韦杰夫签署法令,进一步加强对互联网的控制,要求互联网用户使用公共WIFI热点时需提供个人身份信息,这一政策激...

1929
来自专栏安恒信息

从台积电病毒事件看工控安全

8月3日晚,台机电部分机房受到病毒感染,导致3大生产基地短期间停工,无法进行生产,带来了极大的损失。

1243

扫码关注云+社区