2013年3月，歐洲的反垃圾郵件公司Spamhaus網(wǎng)站遭遇史上最大流量DDoS攻擊，攻擊流量峰值高達(dá)300Gbps。Spamhaus是一家致力于反垃圾郵件的非盈利性組織，總部設(shè)在倫敦和日內(nèi)瓦。Spamhaus維護(hù)了一個(gè)巨大的垃圾郵件黑名單，這個(gè)黑名單被很多大學(xué)/研究機(jī)構(gòu)、互聯(lián)網(wǎng)提供商、軍事機(jī)構(gòu)和商業(yè)公司廣泛使用。此次攻擊事件疑為荷蘭托管公司CyberBunker因不滿被Spamhaus多次列為垃圾郵件黑名單而發(fā)動(dòng)。

事件分析

2013年3月18日，Spamhaus網(wǎng)站開始遭遇DDoS攻擊，攻擊流量快速升至75Gbps，導(dǎo)致其網(wǎng)站無法訪問。至3月27日，攻擊流量峰值已經(jīng)高達(dá)300Gbps，成為史上最大DDoS攻擊。超大的攻擊流量匯聚到歐洲幾個(gè)一級運(yùn)營商網(wǎng)絡(luò)內(nèi)部，造成歐洲地區(qū)的網(wǎng)絡(luò)擁塞。此次攻擊防御過程中，先是各ISP試圖采取黑名單過濾阻斷攻擊，無效。Spamhaus很快向?qū)I(yè)提供網(wǎng)站防護(hù)和DDoS流量清洗的CDN服務(wù)提供商CloudFlare公司尋求支持。最終CloudFlare通過anycast技術(shù)使攻擊得到有效緩解，CloudFlare依托anycast路由協(xié)議的最短路徑選路技術(shù)，將到Spamhaus的訪問流量依據(jù)地理位置分發(fā)到其位于全球的20多個(gè)彼此獨(dú)立的清洗中心，每個(gè)清洗中心獨(dú)立實(shí)施攻擊流量過濾，然后再將清洗后的流量轉(zhuǎn)發(fā)給Spamhaus所在的數(shù)據(jù)中心。

本次攻擊事件中，攻擊者借助現(xiàn)網(wǎng)數(shù)量龐大的開放DNS服務(wù)器，采用DNS反射攻擊將攻擊流量輕松放大100倍。攻擊過程使用了約3萬臺開放DNS服務(wù)器，攻擊者向這些開放DNS服務(wù)器發(fā)送對ripe.net域名的解析請求，并將源IP地址偽造成Spamhaus的IP地址，DNS請求數(shù)據(jù)的長度約為36字節(jié)，而響應(yīng)數(shù)據(jù)的長度約為3000字節(jié)，經(jīng)過DNS開放服務(wù)器反射將攻擊流量輕松放大100倍。攻擊者只需要控制一個(gè)能夠產(chǎn)生3Gbps流量的僵尸網(wǎng)絡(luò)就能夠輕松實(shí)施300Gbps的大規(guī)模攻擊。而攻擊過程中，每個(gè)DNS服務(wù)器發(fā)出的流量只需要10Mbps，這樣小的攻擊流量很難被DNS業(yè)務(wù)監(jiān)控系統(tǒng)監(jiān)測到。事實(shí)上，開放DNS服務(wù)器在互聯(lián)網(wǎng)上數(shù)目龐大，遠(yuǎn)不止3萬臺?；ヂ?lián)網(wǎng)如果繼續(xù)保持開放DNS服務(wù)器的無管理狀態(tài)，利用開放DNS系統(tǒng)發(fā)起的DNS反射攻擊事件會(huì)越來越多，攻擊規(guī)模也會(huì)越來越大。

事件影響

本次攻擊事件讓人們意識到：開放DNS服務(wù)器是互聯(lián)網(wǎng)的定時(shí)炸彈，如果不加以治理，未來的某一天將會(huì)爆發(fā)更大規(guī)模的DDoS攻擊。本次針對Spamhaus的DDoS攻擊已經(jīng)影響到了整個(gè)歐洲互聯(lián)網(wǎng)的正常訪問。從這個(gè)角度來講，網(wǎng)絡(luò)安全不是某個(gè)企業(yè)的責(zé)任，而是全社會(huì)的共同責(zé)任。

不過，從此次攻擊事件的處理結(jié)果來看，對企業(yè)客戶提供DDoS流量清洗服務(wù)的CloudFlare使用基于anycast技術(shù)的云清洗方案成功抵御了此次攻擊，讓人們看到了緩解超大規(guī)模DDoS攻擊的解決辦法，從而認(rèn)識到了MSSP的價(jià)值?；ヂ?lián)網(wǎng)的確需要像CloudFlare這樣能夠在全球部署清洗中心的MSSP來守護(hù)，畢竟單純依靠接入網(wǎng)絡(luò)出口部署的安全防御系統(tǒng)無法獨(dú)立應(yīng)對超大流量的DDoS攻擊?？梢灶A(yù)見，未來在各大洲部署清洗中心，以提供強(qiáng)大的Anti-DDoS SaaS服務(wù)，會(huì)逐步成為基礎(chǔ)ISP的一種選擇。