如何自定义第3/4 层 DDoS 保护设置
在今年早些时候最初为我们的客户提供对HTTP 层 DDoS 保护设置的控制之后,我们现在很高兴将客户的控制扩展到数据包层。使用这些新控件,使用Magic Transit和Spectrum服务的Cloudflare Enterprise 客户现在可以直接从 Cloudflare 仪表板或通过 Cloudflare API 调整和调整他们的 L3/4 DDoS 保护设置。
新功能让客户可以控制两个主要的DDoS 规则集:
[if !supportLists]1. [endif]网络层DDoS 保护 规则集— 此规则集包括检测和缓解OSI 模型第3/4 层 DDoS 攻击的规则,例如 UDP 泛洪、SYN-ACK 反射攻击、SYN 泛洪和 DNS 泛洪。此规则集适用于企业计划中的 Spectrum 和 Magic Transit 客户。
[if !supportLists]2. [endif]高级TCP 保护 规则集— 此规则集包括用于检测和缓解复杂的状态外 TCP 攻击的规则,例如欺骗性 ACK 泛滥、随机 SYN 泛滥和分布式 SYN-ACK 反射攻击。此规则集仅适用于 Magic Transit 客户。
要了解更多信息,请查看我们的DDoS 托管规则集开发人员文档。我们整理了一些指南,希望对您有所帮助:
[if !supportLists]1. [endif]Cloudflare DDoS 保护入门和入门
[if !supportLists]2. [endif]处理漏报
[if !supportLists]3. [endif]处理误报
[if !supportLists]4. [endif]使用VPN、VoIP 和其他第三方服务的最佳实践
[if !supportLists]5. [endif]如何模拟DDoS 攻击
Cloudflare 的 DDoS 保护
一个服务(DDoS)攻击分布式拒绝是一种网络攻击,其目的是扰乱受害人的互联网服务。DDoS 攻击的类型很多,攻击者可以在 Internet 的不同层级产生这些攻击。一个例子是HTTP 洪水。它旨在破坏HTTP 应用程序服务器,例如那些为移动应用程序和网站提供动力的服务器。另一个例子是UDP 洪水。虽然这种类型的攻击可用于破坏HTTP 服务器,但也可用于破坏非 HTTP 应用程序。其中包括基于 TCP 和 UDP 的应用程序、网络服务(如VoIP 服务)、游戏服务器、加密货币等。
为了保护组织免受DDoS 攻击,我们构建并运行了自主运行的软件定义系统。它们会自动检测和缓解我们整个网络中的 DDoS 攻击。您可以在我们深入探讨的技术博客文章中阅读有关我们的自主DDoS 保护系统及其工作原理的更多信息。
不计量和无限制的DDoS 保护
我们提供的保护级别不受限制且不受限制——不受攻击规模、攻击次数或攻击持续时间的限制。这在最近尤为重要,因为正如我们最近所见,攻击越来越大、越来越频繁。因此,在第三季度,网络层攻击比上一季度增加了 44%。此外,就在最近,我们的系统自动检测并缓解了一次DDoS 攻击,该攻击的峰值略低于 2 Tbps——这是迄今为止我们所见过的最大的一次。
Mirai 僵尸网络发起了近 2 Tbps 的 DDoS 攻击
阅读有关近期DDoS 趋势的更多信息。
托管规则集
您可以将我们的自主DDoS 保护系统视为智能规则组(规则集)。有HTTP DDoS保护规则、网络层DDoS保护规则和高级TCP保护规则的规则集。在这篇博文中,我们将介绍后两个规则集。我们已经在博客文章如何自定义您的HTTP DDoS 保护设置 中介绍了前者。
在网络层DDoS 保护规则集中,每条规则都有一组独特的条件指纹、动态字段屏蔽、激活阈值和缓解措施。这些规则由Cloudflare 管理,这意味着每条规则的细节都由我们的 DDoS 专家在内部策划。在部署新规则之前,它首先经过严格测试和优化,以确保我们整个全球网络的缓解准确性和效率。
在高级TCP 保护规则集中,我们使用一种新颖的TCP 状态分类引擎来识别 TCP 流的状态。支持此规则集的引擎是flowtrackd — 您可以在我们的公告博客文章中阅读更多相关信息。该系统的独特功能之一是它能够仅使用入口(入站)数据包流进行操作。系统只看到入口流量,并且能够根据其合法性丢弃、质询或允许数据包。例如,大量与打开的TCP 连接不对应的 ACK 数据包将被丢弃。
如何检测和缓解攻击
采样
最初,流量通过BGP 任播通过Internet路由到最近的Cloudflare 边缘数据中心。一旦流量到达我们的数据中心,我们的 DDoS 系统就会对其进行异步采样,从而允许对流量进行路径外分析,而不会引入延迟惩罚。高级 TCP 保护规则集需要查看整个数据包流,因此它仅供 Magic Transit 客户使用。它也不会引入任何延迟惩罚。
分析和缓解
高级TCP 保护规则集的分析简单而高效。系统验证TCP 流并跟踪它们的状态。通过这种方式,不符合合法连接及其状态的数据包将被丢弃或质询。只有在客户可以定义的特定阈值以上才会激活缓解措施。
在分析网络层DDoS防护规则集是使用数据流算法来完成。将数据包样本与条件指纹进行比较,并基于动态屏蔽创建多个实时签名。每当另一个数据包与其中一个签名匹配时,计数器就会增加。当达到给定签名的激活阈值时,将编译并内联推送缓解规则。缓解规则包括实时签名和缓解动作,例如丢弃。
示例
作为一个简单的例子,一个指纹可以包括以下字段:源IP、源端口、目标 IP 和 TCP 序列号。具有固定序列号的数据包泛洪攻击将匹配指纹,并且每次数据包匹配时计数器都会增加,直到超过激活阈值。然后将应用缓解措施。
然而,在源IP 地址和端口随机化的欺骗攻击的情况下,我们最终会为源IP 和端口的每个组合得到多个签名。假设足够随机/分布式的攻击,将不会满足激活阈值并且不会发生缓解。出于这个原因,我们使用动态掩码,即忽略可能不是签名的强指标的字段。通过屏蔽(忽略)源 IP 和端口,我们将能够根据唯一的 TCP 序列号匹配所有攻击数据包,而不管攻击是如何随机/分布的。
配置DDoS 保护设置
目前,我们只公开了少数我们认为最容易进行自定义的网络层DDoS 保护规则。我们将定期公开越来越多的规则。这不应该影响您的任何流量。
对于网络层DDoS 防护规则集,对于每个可用的规则,您可以覆盖敏感度级别(激活阈值),自定义缓解操作,并应用表达式过滤器以根据各种数据包排除/包含来自 DDoS 防护系统的流量领域。您可以创建多个覆盖来自定义对您的网络和各种应用程序的保护。
过去,您必须通过我们的支持渠道来自定义规则。在某些情况下,这可能需要比预期更长的时间来解决。通过今天的公告,您可以自行定制和微调我们自治边缘系统的设置,以针对您的特定网络需求快速提高保护的准确性。
对于高级TCP 保护规则集,目前,我们仅在仪表板中公开启用或禁用它的功能。要启用或禁用每个IP 前缀的规则集,您必须使用API。此时,在最初加入Cloudflare 时,Cloudflare 团队必须首先为您创建一个策略。入职后,如果您需要更改敏感度阈值、使用监控模式或添加过滤器表达式,您必须联系 Cloudflare 支持。在即将发布的版本中,这也将通过仪表板和 API 提供,而无需我们支持团队的帮助。
预先存在的自定义
如果您之前联系Cloudflare 支持应用自定义,您的自定义已被保留,您可以访问仪表板查看网络层 DDoS 保护规则集的设置,并在需要时进行更改。如果您需要对高级 TCP 保护自定义进行任何更改,请联系 Cloudflare 支持。
如果到目前为止您不需要自定义此保护,则您无需执行任何操作。但是,如果您想查看和自定义DDoS 保护设置,请按照此仪表板指南或查看API 文档以编程方式配置DDoS 保护设置。
帮助建立更好的互联网
在Cloudflare,我们所做的一切都以我们的使命为指导,即帮助构建更好的互联网。DDoS 团队的愿景源自这一使命:我们的目标是让 DDoS 攻击的影响成为过去。我们的第一步是构建独立检测和缓解攻击的自治系统。完毕。第二步是向我们的客户公开这些系统上的控制平面(今天宣布)。完毕。下一步将是使用自动驾驶功能使配置完全自动化——训练系统以了解您的特定流量模式,从而自动优化您的 DDoS 保护设置。您可以期待更多改进、自动化和新功能,以确保您的 Internet 资产安全、可用和高性能。
在多次DDoS 攻击后,安全公司联手消除 WireX 僵尸网络
尽管安全行业竞争激烈,但来自Akamai、Cloudflare、Flashpoint、谷歌、甲骨文 (Dyn)、RiskIQ、Team Cymru 和其他公司的研究人员联手取缔了一个基于 Android 的僵尸网络,该僵尸网络负责本月早些时候的多起 DDoS 攻击。
8 月 17 日,多个 CDN(内容交付网络)和内容提供商开始看到来自僵尸网络的重大攻击,该僵尸网络后来被称为 WireX。
进一步调查显示,早在8 月 2 日,该僵尸网络还对其他轻微攻击负责,但当时并未引起注意。这些较早的攻击表明僵尸网络的代码仍处于早期开发阶段,但在 8 月 15 日,攻击开始增加。大约在那个时候,一些事件的来源至少有 70,000 个 IP 地址。
根据Salted Hash 看到的一篇文章,WireX 正在应用层推动容量 DDoS 攻击。僵尸网络生成的流量主要由 HTTP GET 请求组成,但对代码的分析表明,某些变体也可以执行 POST 请求。简而言之,这些攻击看起来像是来自许多通用 HTTP 客户端和浏览器的有效请求。在某一时刻,机器人每秒生成大约 20,000 个请求。
信托集团:
在WireX 启动两天后,在注意到 User-Agent 字符串中的模式后,Akamai 的研究人员开始搜索他们的日志。深入挖掘 8 月 17 日的攻击数据,确定涉及 100 多个国家,这有点不寻常。
除了看起来很奇怪的User-Agent 字符串之外,这种非典型特征使 Akamai 的研究人员相信其他组织可能已经看到或经历过类似的攻击。因此,他们联系了一些值得信赖的联系人。
鉴于安全行业的竞争激烈,竞争对手公司的研究人员合作的故事并不常见。当他们这样做时,他们通常值得一提。此类故事也可作为安全社区在某些层面上的紧密程度的可靠示例。
信不信由你,对像WireX 这样的问题有如此多的关注并不是什么障碍。
“我很高兴地说,它比你想象的要顺利得多。参与的研究人员的工作关系早于并超越了我们目前的雇主,我们都有着亲切的工作关系。当我们有要处理更大的问题,” Flashpoint 安全研究总监艾莉森尼克松解释说。
如前所述,这不是该小组第一次——包括来自 Akamai、Cloudflare、Flashpoint、谷歌、甲骨文 (Dyn)、RiskIQ、Cymru 团队的专家——共同应对此类情况。
为Akamai 进行网络互联研究和架构的小组成员 Jared Mauch 表示,他们也参与了 Mirai 攻击,并且倾向于“基于共同威胁进行协作,引入值得信赖且知识渊博的同事”。
Cloudflare 的信任与安全负责人贾斯汀·潘恩 (Justin Paine) 补充说:“这个特殊的信任小组过去曾多次聚集在一起,以解决威胁互联网的重大事件(Mirai、WannaCry 和 NotPetya)。”
一旦信任小组开始工作,WireX 的事情很快就开始瓦解。
剪断WireX:
Akamai 的高级安全架构师 Tim April 表示,8 月 17 日的攻击针对的是他们的一位客户。Akamai 的工程师开始调查后,他们转向 Cloudflare,发现那边的客户也受到了攻击。
“我们汇集了有关这些攻击的集体知识,从而发现了可能的感染源。Akamai 能够定位特定的恶意应用程序,Cloudflare 致力于反编译这些应用程序,以便研究小组可以进一步调查,”Paine 解释说。
Akamai 发现攻击源是恶意的 Android 应用程序,从表面上看,这些应用程序对安装它们的用户无害。大多数应用程序利用了 Android 服务架构,允许它们使用资源并进行攻击,即使应用程序本身没有被使用。
研究人员说,应用程序的名称是无意义的字符串。这些字符串,例如xryufrix和ggnegmth,可能旨在帮助恶意软件的作者避免在应用程序商店中被识别。
此外,应用程序上的开发者名称也略有不同,包括TubeMate 2.2.9 YouTube Downloader PRO和TubeMate 2.2.9 SnapTube Youtube Downloader R,以及每个实例使用不同结尾字母的相似名称,包括J、I、X 和 Z。
Motorcycle Racing Fast研究人员说:“在当前系列启用 DDoS 的恶意软件之前,较旧的应用程序可能使用了带有游戏主题的名称,例如。”
“恶意软件APK包也表现出随机的,假的名称,如com.urrhiccq.app,com.fstnnzbb.app和com.casa.blanca。”
在某些情况下,可以在Google Play 等知名应用商店中找到 WireX 背后的应用。信托小组联系了这些商店并帮助协调清理工作。
“我们确定了大约 300 个与该问题相关的应用程序,将它们从 Play 商店中屏蔽,我们正在将它们从所有受影响的设备中删除。研究人员的发现结合我们自己的分析,使我们能够更好地保护Android 用户,无处不在,”谷歌发言人说。
Paine 解释说,一旦 WireX 代码被反编译,该小组就能够找到硬编码到应用程序中的 C&C(命令和控制)服务器。
“Cloudflare 还可以查看命令和控制服务器,这使我们能够随着僵尸网络规模的增长而跟踪它的规模。Cloudflare 研究人员也一直在积极规划其他僵尸网络基础设施,”Paine 补充道。
当将WireX 与在线广告联系起来的迹象开始出现时,信托小组联系 RiskIQ 进行了仔细研究。
“事实上,驱动僵尸网络的移动恶意软件的有效载荷之一是点击欺诈,而被怀疑僵尸网络运营商使用的网站在早些时候被发现用于在线广告服务,”Darren Spruell 解释说, RiskIQ 的威胁研究员。
有趣的是,反病毒巨头迈克菲报告了上周在Google Play上观察到的一些点击欺诈应用程序。虽然安全公司关于这些应用程序的报告详细说明了一些代码,但他们似乎完全错过了他们发现的应用程序与WireX 之间的联系。McAfee 的报告称,这些应用程序于 8 月 4 日出现,并在几天后被删除。
据研究人员所知,此前对该恶意软件的报道都没有强调DDoS 攻击的发生。但是,他们补充说,与社区共享的任何分析都是有价值的。
该组织在一份声明中表示:“我们感谢服务网络提供商对 WireX 的直接参与,以及工作组特定成员对 Android 应用程序进行逆向工程以揭示该功能背后的代码的贡献。”
更新:Salted Hash 联系了 McAfee。一位发言人表示,他们了解 DDoS 方面的问题,但并未将其作为安全披露流程的一部分进行讨论。
“McAfee 知道这些点击欺诈应用程序的 DDoS 方面,但选择推迟公开讨论它们作为安全披露过程的一部分。最初的博客是向我们的客户保证,McAfee 在该领域为那些仍然存在风险。一旦移除完成,迈克菲将发布后续博客,提供有关 Google Play 上威胁演变以及 DDoS 如何在此威胁中发挥作用的更多信息。”
到今天为止,WireX 还没有完全消亡,但信托组织表示它在很大程度上已经失效。
该小组正在与有能力采取行动的执法部门和私营部门密切合作。该组织在给Salted Hash 的一份声明中表示,虽然 C&C 仍然能够传播,但“僵尸网络的有效规模已显着减小,攻击影响正在最小化。”
“恶意行为者不仅必须重建整个僵尸网络,而且还必须逃避新的安全措施才能再次控制如此庞大的僵尸网络。由于每个参与者的警惕,现在这并不容易. 研究人员目前正在与执法部门合作采取其他行动,以进一步影响僵尸网络操作。”
信息共享可以完成任务:
“这些发现之所以成为可能,是因为 DDoS 目标、DDoS 缓解公司和情报公司之间的开放合作。每个玩家都有不同的难题;如果没有每个人的贡献,这个僵尸网络将仍然是一个谜,”研究人员说一篇关于 WireX 的文章,今天将发布到他们各自的公司博客上。
文章接着说,组织可以做的最好的事情是共享匿名的详细指标——数据包捕获、攻击 IP 日志、赎金记录、请求标头和感兴趣的模式——并提供与共享数据的权限供应商及其可信赖的联系人。
“这份报告是非正式共享如何对受害者和整个互联网产生显着积极影响的一个例子。跨组织合作对于打击互联网威胁至关重要,没有它,犯罪计划就可以不经审查而运作。 ”