45秒打满47.4TB,这波DDOS攻击Cloudflare居然没挂掉

将二进制空间安全设为"星标⭐️"

第一时间收到文章更新

攻击背景

2025年5月中旬，Cloudflare成功抵御了有史以来规模最大的DDoS攻击：高达7.3 Tbps, 此次攻击目标是一家使用Magic Transit保护其IP网络的Cloudflare客户（托管服务商）。37.4 TB本身在当今的规模下不算惊人, 但在短短45秒内传输37.4 TB的数据则是惊人的。这相当于向你的网络注入超过9,350部高清电影，或不间断播放7,480小时高清视频。如果是音乐，将在不到一分钟内下载大约935万首歌曲，足够让听众连续听57年。或者想象你用智能手机拍摄了1250万张高分辨率照片，存储空间依然绰绰有余——即使你每天拍一张，也能连续拍4,000年——但这全在45秒内完成。

攻击详情

这次攻击平均每秒轰炸客户所拥有并使用的一个IP地址的21,925个目标端口，峰值达到了每秒34,517个目标端口。攻击的源端口分布也类似。

这次7.3 Tbps的攻击是一次多向量DDoS攻击。大约99.996%的攻击流量被归类为UDP泛洪。然而，其余0.004%（约1.3 GB）被识别为QOTD反射攻击、Echo反射攻击、NTP反射攻击、Mirai UDP泛洪攻击、Portmap泛洪和RIPv1放大攻击。

UDP DDoS攻击

类型：泛洪

原理：向目标IP的随机或特定端口发送大量UDP数据包，试图占用带宽或让安全设备处理不过来。

防御方法：部署基于云的体量型DDoS防护，对UDP流量应用智能限速，或直接丢弃不需要的UDP流量。

避免误伤：强过滤可能影响合法UDP服务，如VoIP、视频会议或网络游戏。需谨慎设置阈值。

QOTD DDoS攻击

类型：反射 + 放大

原理：滥用“QOTD协议（UDP 17端口），攻击者伪造源IP向暴露的QOTD服务器发送请求，造成放大的响应流量攻击受害者。

如何避免成为反射/放大源：禁用QOTD服务，并在所有服务器和防火墙上屏蔽UDP/17端口。

防御方法：拦截入站UDP/17流量，丢弃异常的小包UDP请求。

避免误伤：QOTD是过时的诊断协议，现代应用基本不再使用，禁用不会影响正常服务。

Echo DDoS攻击

类型：反射 + 放大

原理：滥用Echo协议（UDP/TCP端口7），设备收到数据后原样回复。攻击者伪造源IP，造成被攻击设备反射数据，形成攻击放大。

如何避免成为反射/放大源：禁用Echo服务，边界处屏蔽UDP/TCP端口7。

防御方法：禁用Echo服务，边界网络屏蔽TCP/UDP端口7。

避免误伤：Echo是过时的诊断工具，禁用不会对现代系统造成负面影响。

NTP DDoS攻击

类型：反射 + 放大

原理：滥用网络时间协议（NTP），攻击者利用老旧NTP服务器中的monlist命令（UDP/123），该命令返回大量历史连接记录。伪造请求后造成放大反射流量。

如何避免成为反射/放大源：更新或配置NTP服务器以禁用monlist，仅允许可信IP地址访问。

防御方法：禁用monlist命令，更新NTP软件，对UDP/123流量进行过滤或限速。

避免误伤：禁用monlist不会影响时间同步。但若过度屏蔽UDP/123，可能影响时间服务，应确保只屏蔽非信任或外部来源。

Mirai UDP攻击

类型：泛洪

原理：Mirai僵尸网络由被攻陷的物联网设备组成，通过发送随机或特定服务的UDP数据包（例如DNS、游戏服务）对受害者发起泛洪攻击。

如何避免成为僵尸网络的一部分：保护你的物联网设备，修改默认密码，升级到最新固件版本，并遵循物联网安全最佳实践。尽可能监控出站流量以检测异常。

防御方法：部署基于云的体量型DDoS防护，对UDP流量进行限速。

避免误伤：首先了解你的网络和所接收流量的类型，特别是协议、来源和目标地址。识别你希望保护的基于UDP的服务，然后在不影响这些服务的情况下实施限速策略。如果不加区分地严格限速UDP流量，可能会影响合法服务，如VoIP通话和VPN流量。

Portmap DDoS攻击

类型：反射 + 放大

原理：攻击者针对Portmapper服务（UDP/111）发起攻击，该服务被RPC（远程过程调用）类应用用于识别可用服务。伪造的请求将触发反射响应。

如何避免成为反射/放大源：如无必要，禁用Portmapper服务。如需内部使用，仅允许可信IP地址访问。

防御方法：如无需要，禁用Portmapper服务，阻止入站UDP/111流量。使用访问控制列表（ACL）或防火墙限制对已知RPC服务的访问。

避免误伤：禁用Portmapper可能会影响依赖RPC的应用（例如网络文件系统NFS）。在移除前请确认服务依赖关系。

RIPv1 DDoS攻击

类型：反射 +（低）放大

原理：利用RIPv1协议（UDP/520），这是一种旧的、无认证的距离向量路由协议。攻击者发送伪造的路由更新以泛洪或扰乱网络。

如何避免成为反射/放大源：在路由器上禁用RIPv1。如需路由功能，使用带身份验证的RIPv2。

防御方法：阻止来自不可信网络的入站UDP/520流量，监控异常的路由更新。

避免误伤：RIPv1基本已被淘汰，禁用通常是安全的。如果有遗留系统依赖它，请在更改前确认其路由行为。

攻击检测与缓解方法

(1).利用DDoS攻击的分布式特性进行反制

攻击目标IP通过Cloudflare全球Anycast网络进行广播，这意味着攻击流量会被引导到离攻击源最近的Cloudflare数据中心。Anycast的部署可以分散攻击压力，在接近僵尸网络节点的地方进行缓解，同时保障最终用户由离其最近的数据中心继续服务。

此次攻击在全球293个地点、477个数据中心中被检测并缓解。在高流量地区，Cloudflare设有多个数据中心。Cloudflare的全球网络在每一个数据中心都运行全部服务，包括DDoS检测与缓解系统。因此，无论攻击来自何处，都能实现完全自动化的检测与阻断。

(2).实时指纹识别

当数据包进入Cloudflare的数据中心时，系统会将其智能负载均衡到某台可用服务器。分析人员可以从Linux内核的eXpress Data Path（XDP）中提取样本，通过eBPF程序将其送至用户空间进行分析。

Cloudflare的系统通过名为 dosd（Denial of Service Daemon） 的启发式引擎分析这些数据包样本，识别出异常模式，比如包头字段的共性或异常结构，并结合其他专有技术。

下图展示了Cloudflare的实时指纹生成流程, 描述了Cloudflare如何动态检测和防护网络攻击的技术原理:

(1).Sampling packets（采样数据包）

• 从网络流量中采集数据包样本

• 为后续分析提供原始数据基础

(2).Detecting suspicious patterns（检测可疑模式）

• 分析采样的数据包，识别异常或可疑的流量模式

• 使用机器学习或规则引擎检测潜在威胁

(3).Creating multiple fingerprint permutations（创建多个指纹排列）

• 基于检测到的可疑模式，生成多种不同的指纹变体

• 考虑攻击可能的变化和规避手段

(4).Choosing the most optimal fingerprint（选择最优指纹）

• 评估所有生成的指纹变体

• 选择最有效、准确性最高的指纹用于防护

(5). Installing a mitigation rule with the fingerprint（使用指纹安装缓解规则）

• 将选定的指纹部署到防护系统中

• 自动阻止或缓解匹配该指纹的恶意流量

这一复杂的指纹识别系统对客户来说是可视化、可管理的一组DDoS防护规则（Managed Rulesets）。

一旦dosd识别出模式，会生成多个指纹变体，以找出最有效、最准确的匹配方式，从而“精确打击”攻击流量而不影响正常流量。

下图的架构体现了现代云安全的"边缘智能+核心大脑"设计理念,通过分布式处理和集中式学习, 实现了高效、智能的DDoS防护能力。

Cloudflare统计与各个指纹匹配的数据包样本数量,利用流式数据算法, 挑选命中次数最多的指纹, 一旦触发预设阈值，就将该指纹编译成eBPF程序，丢弃所有匹配该攻击模式的数据包。攻击结束后，规则将自动过期并被移除。

每台服务器都能自主检测并缓解攻击。此外，各服务器会在数据中心内部及全球范围内通过“多播协议”共享最重要的指纹变体。该实时威胁情报共享机制可进一步提升局部与全局的缓解效率。

Cloudflare的系统在无人介入、无警报、无事故的前提下，成功阻止了这场创纪录的7.3 Tbps DDoS攻击，展现了全球领先的DDoS防护系统能力。