Ранее в этом месяце системы Cloudflare автоматически обнаружили и смягчили DDoS-атаку с частотой 15,3 млн запросов в секунду (RPS) — одну из крупнейших зарегистрированных DDoS-атак HTTPS.
Хотя это не самая крупная атака на уровне приложений, которую мы видели, это самая крупная атака, которую мы видели через HTTP.С. Атаки HTTPS DDoS обходятся дороже с точки зрения требуемых вычислительных ресурсов из-за более высокой стоимости установления безопасного зашифрованного соединения TLS. Следовательно, злоумышленнику дороже начать атаку, а жертве — смягчить ее. В прошлом мы видели очень крупные атаки через (незашифрованный) HTTP, но эта атака выделяется тем, что требует ресурсов в своем масштабе.
Атака, продолжавшаяся менее 15 секунд, была нацелена на клиента Cloudflare с тарифным планом Professional (Pro), использующего панель запуска криптовалюты. Криптовалютные стартовые площадки используются для представления проектов децентрализованных финансов потенциальным инвесторам. Атака была запущена ботнетом, за которым мы наблюдали — мы уже видели крупные атаки со скоростью до 10 млн запросов в секунду, совпадающие с одним и тем же отпечатком атаки.
Клиенты Cloudflare защищены от этого ботнета и не должны предпринимать никаких действий.
Атака
Что интересно, атака в основном происходила из дата-центров. Мы наблюдаем большой переход от поставщиков интернет-услуг (ISP) для домашних сетей к поставщикам услуг облачных вычислений.
Эта атака была запущена из ботнета из примерно 6000 уникальных ботов. Он возник из 112 стран мира. Почти 15% трафика атак исходило из Индонезии, за которой следуют Россия, Бразилия, Индия, Колумбия и США.
В этих странах атака исходила из более чем 1300 различных сетей. В топ-сети вошли немецкий провайдер Hetzner Online GmbH (номер автономной системы 24940), Azteca Comunicaciones Colombia (ASN 262186), OVH во Франции (ASN 16276), а также другие облачные провайдеры.
Как эта атака была автоматически обнаружена и смягчена
Для защиты организаций от DDoS-атак мы создали и эксплуатируем программно-определяемые системы, работающие автономно. Они автоматически обнаруживают и нейтрализуют DDoS-атаки по всей нашей сети — и, как и в этом случае, атака была автоматически обнаружена и подавлена без какого-либо вмешательства человека.
Наша система начинает с асинхронной выборки трафика; Затем он анализирует образцы и при необходимости применяет меры по смягчению последствий.
Выборка
Изначально трафик направляется через Интернет по протоколу BGP Anycast в ближайшие дата-центры Cloudflare, расположенные более чем в 250 городах мира. Как только трафик достигает нашего центра обработки данных, наши DDoS-системы асинхронно отбирают его, что позволяет проводить анализ трафика вне пути без штрафных санкций за задержку.
Анализ и смягчение последствий
Анализ выполняется с использованием алгоритмов потоковой передачи данных. Образцы HTTP-запросов сравниваются с условными отпечатками пальцев, и создается несколько подписей в реальном времени на основе динамического маскирования различных полей запроса и метаданных. Каждый раз, когда другой запрос соответствует одной из подписей, значение счетчика увеличивается. Когда достигается порог активации для данной сигнатуры, правило смягчения компилируется и вставляется в строку. Правило смягчения включает сигнатуру в реальном времени и действие по смягчению, например блокировку.
Клиенты Cloudflare также могут настраивать параметры систем защиты от DDoS-атак, настраивая управляемые правила HTTP DDoS.
Вы можете узнать больше о наших автономных системах защиты от DDoS-атак и о том, как они работают, в нашем подробном техническом блоге.
Помогаем сделать Интернет лучше
В Cloudflare все, что мы делаем, руководствуется нашей миссией — помочь сделать Интернет лучше. Видение команды DDoS основано на этой миссии: наша цель — сделать так, чтобы последствия DDoS-атак остались в прошлом. Уровень защиты, который мы предлагаем, является неизмеримым и неограниченным — он не ограничен размером атаки, количеством атак или продолжительностью атак. Это особенно важно в наши дни, потому что, как мы недавно видели, атаки становятся все более масштабными и частыми.
Еще не используете Cloudflare? Начните прямо сейчас с наших тарифных планов Free и Pro для защиты своих веб-сайтов или свяжитесь с нами для комплексной защиты от DDoS для всей вашей сети с помощью Magic Transit.
