Cloudflare：DNS与DDoS威胁白皮书（12页）.pdf

《Cloudflare：DNS与DDoS威胁白皮书（12页）.pdf》由会员分享，可在线阅读，更多相关《Cloudflare：DNS与DDoS威胁白皮书（12页）.pdf（12页珍藏版）》请在三个皮匠报告上搜索。

1、DNS 与DDoS 威胁白皮书内容03摘要04大规模、不断增长的攻击对 DNS 构成了新的威胁04基于物联网和服务器的大规模僵尸网络05压垮 DNS 服务器：UDP 洪水05利用 DNS 的工作方式：DNS 放大06大型 DDoS 攻击对 DNS 解析器和下游受害者的影响06如何阻止未来针对 DNS 基础设施的威胁06传统基于硬件的 DDoS 缓解 vs 基于软件的可扩展缓解07未来不是装在盒子中的08Cloudflare 如何轻松扩展 DNS 安全09赢得军备竞赛，并在面对 DDoS 攻击时保持韧性09保护 DNS 免遭各种形式的攻击和利用10要点11参考资料010 8524 1783|3

2、3摘要域名系统(DNS)是使互联网成为可能的主要创新之一。但在今天，大量僵尸网络正被用来利用 DNS 基础设施进行更大规模的网络攻击。近年来，攻击者已经能够使用针对 DNS 的大规模分布式拒绝服务(DDoS)攻击来关停基本服务和大范围的互联网，大量知名网站和组织均面临服务中断和停机。传统基于硬件的 DDoS 缓解服务使用清洗中心来消除恶意流量，无法在与分布式、基本免费的僵尸网络的军备竞赛中取胜。Cloudflare 认为架构非常重要，对抗大规模分布式僵尸网络的唯一解决方案是与安全 DNS 解析配合使用的大规模分布式网络。Cloudflare 的服务就是基于这种架构方法。Cloudflare|D

3、NS 和 DDoS 威胁4大规模、不断增长的攻击对 DNS 构成了新的威胁2016 年 10 月 21 日，一场大规模、持续的分布式拒绝服务(DDoS)攻击影响了互联网的大部分，数十个知名网站和服务陷入中断或瘫痪。此次攻击的直接目标是 DNS 服务提供商 Dyn。DNS 服务将域名映射到它们的互联网协议(IP)地址，以便将流量路由到特定的网站。攻击经过几个小时才得到缓解。1但这只是一波愈演愈烈的大规模 DDoS 攻击的开端。自那以来的多年内，攻击的规模和范围都有所增加，最终出现了一些有记录以来规模最大的网络攻击。AWS 报称在 2020 年 2 月缓解了一次大规模 DDoS 攻击。在最高峰时，

4、攻击导致的传入流量速率达到 2.3 太比特每秒(Tbps)。2 2022 年 6 月，Cloudflare 缓解了一次每秒 2600 万请求数的 DDoS 攻击这是有记录以来最大的 HTTPS DDoS 攻击。3攻击者如何能够将攻击扩大到这种高度？基于物联网和服务器的大规模僵尸网络产生大型攻击的主要方式之一是接管保护不力的物联网设备。在被用于恶意目的的物联网设备网络中，Mirai 僵尸网络可能最引人注目的例子。Mirai 的创造者入侵了超过 10 万个联网设备，例如家庭路由器、智能家居设备、安全摄像头或录像机，组成了一个庞大的僵尸网络，用于发起以上 Dyn 攻击(及其他攻击)，流量可能高达 1

5、.2 Tbps。这个庞大的僵尸网络使 Dyn 不堪重负，瘫痪了所有依赖它的网站和应用的 DNS 解析。这个僵尸网络是用一种叫做 Mirai 的恶意软件创建的。Mirai 扫描互联网上仍然使用出厂默认用户名和密码 设置的设备，因而能够轻易感染、登录并控制这些设备。除了偶尔的性能缓慢外，设备的所有者不会注意到设备被入侵。Mirai 僵尸网络今天仍然是一个威胁，但并不是唯一一个被活跃用于 DDoS 攻击的僵尸网络：Meris 僵尸网络于 2021 年 6 月首次被发现。虽然研究人员在该僵尸网络中发现了至少 3 万个僵尸设备，实际数字据信要高得多。4 Mantis 僵尸网络使用被劫持的虚拟机和强大的服

6、务器，而不是物联网设备。这意味着每个僵尸设备的计算资源远远超过 Mirai 或 Meris 中的设备。这种僵尸网络能够产生大规模的 DDoS 攻击，在某些情况下多达每秒 2600 万个请求。5利用 DNS 工作原理的两种最常见方法是 DNS 放大(或“反射”)攻击和 UDP 洪水攻击。“假设一个设备是公开可访问的，被黑客攻击的几率就可能是 100%。IPv4 地址空间并没有那么大。你现在可以在几个小时内扫描整个空间，特别是如果你有一个大型僵尸网络。对漏洞的扫描是持续不断，如果说有任何变化，那就是在过去几年加速了。”-Matthew Prince，Cloudflare 首席执行官Cloudfla