2013年3月,歐洲的反垃圾郵件公司Spamhaus網(wǎng)站遭遇史上最大流量DDoS攻擊,攻擊流量峰值高達300Gbps。Spamhaus是一家致力于反垃圾郵件的非盈利性組織,總部設(shè)在倫敦和日內(nèi)瓦。Spamhaus維護了一個巨大的垃圾郵件黑名單,這個黑名單被很多大學(xué)/研究機構(gòu)、互聯(lián)網(wǎng)提供商、軍事機構(gòu)和商業(yè)公司廣泛使用。此次攻擊事件疑為荷蘭托管公司CyberBunker因不滿被Spamhaus多次列為垃圾郵件黑名單而發(fā)動。
事件分析
2013年3月18日,Spamhaus網(wǎng)站開始遭遇DDoS攻擊,攻擊流量快速升至75Gbps,導(dǎo)致其網(wǎng)站無法訪問。至3月27日,攻擊流量峰值已經(jīng)高達300Gbps,成為史上最大DDoS攻擊。超大的攻擊流量匯聚到歐洲幾個一級運營商網(wǎng)絡(luò)內(nèi)部,造成歐洲地區(qū)的網(wǎng)絡(luò)擁塞。此次攻擊防御過程中,先是各ISP試圖采取黑名單過濾阻斷攻擊,無效。Spamhaus很快向?qū)I(yè)提供網(wǎng)站防護和DDoS流量清洗的CDN服務(wù)提供商CloudFlare公司尋求支持。最終CloudFlare通過anycast技術(shù)使攻擊得到有效緩解,CloudFlare依托anycast路由協(xié)議的最短路徑選路技術(shù),將到Spamhaus的訪問流量依據(jù)地理位置分發(fā)到其位于全球的20多個彼此獨立的清洗中心,每個清洗中心獨立實施攻擊流量過濾,然后再將清洗后的流量轉(zhuǎn)發(fā)給Spamhaus所在的數(shù)據(jù)中心。
本次攻擊事件中,攻擊者借助現(xiàn)網(wǎng)數(shù)量龐大的開放DNS服務(wù)器,采用DNS反射攻擊將攻擊流量輕松放大100倍。攻擊過程使用了約3萬臺開放DNS服務(wù)器,攻擊者向這些開放DNS服務(wù)器發(fā)送對ripe.net域名的解析請求,并將源IP地址偽造成Spamhaus的IP地址,DNS請求數(shù)據(jù)的長度約為36字節(jié),而響應(yīng)數(shù)據(jù)的長度約為3000字節(jié),經(jīng)過DNS開放服務(wù)器反射將攻擊流量輕松放大100倍。攻擊者只需要控制一個能夠產(chǎn)生3Gbps流量的僵尸網(wǎng)絡(luò)就能夠輕松實施300Gbps的大規(guī)模攻擊。而攻擊過程中,每個DNS服務(wù)器發(fā)出的流量只需要10Mbps,這樣小的攻擊流量很難被DNS業(yè)務(wù)監(jiān)控系統(tǒng)監(jiān)測到。事實上,開放DNS服務(wù)器在互聯(lián)網(wǎng)上數(shù)目龐大,遠不止3萬臺。互聯(lián)網(wǎng)如果繼續(xù)保持開放DNS服務(wù)器的無管理狀態(tài),利用開放DNS系統(tǒng)發(fā)起的DNS反射攻擊事件會越來越多,攻擊規(guī)模也會越來越大。
事件影響
本次攻擊事件讓人們意識到:開放DNS服務(wù)器是互聯(lián)網(wǎng)的定時炸彈,如果不加以治理,未來的某一天將會爆發(fā)更大規(guī)模的DDoS攻擊。本次針對Spamhaus的DDoS攻擊已經(jīng)影響到了整個歐洲互聯(lián)網(wǎng)的正常訪問。從這個角度來講,網(wǎng)絡(luò)安全不是某個企業(yè)的責任,而是全社會的共同責任。
不過,從此次攻擊事件的處理結(jié)果來看,對企業(yè)客戶提供DDoS流量清洗服務(wù)的CloudFlare使用基于anycast技術(shù)的云清洗方案成功抵御了此次攻擊,讓人們看到了緩解超大規(guī)模DDoS攻擊的解決辦法,從而認識到了MSSP的價值。互聯(lián)網(wǎng)的確需要像CloudFlare這樣能夠在全球部署清洗中心的MSSP來守護,畢竟單純依靠接入網(wǎng)絡(luò)出口部署的安全防御系統(tǒng)無法獨立應(yīng)對超大流量的DDoS攻擊。可以預(yù)見,未來在各大洲部署清洗中心,以提供強大的Anti-DDoS SaaS服務(wù),會逐步成為基礎(chǔ)ISP的一種選擇。