2013年3月,欧洲的反垃圾邮件公司Spamhaus网站遭遇史上最大流量DDoS攻击,攻击流量峰值高达300Gbps。Spamhaus是一家致力于反垃圾邮件的非盈利性组织,总部设在伦敦和日内瓦。Spamhaus维护了一个巨大的垃圾邮件黑名单,这个黑名单被很多大学/研究机构、互联网提供商、军事机构和商业公司广泛使用。此次攻击事件疑为荷兰托管公司CyberBunker因不满被Spamhaus多次列为垃圾邮件黑名单而发动。
事件分析
2013年3月18日,Spamhaus网站开始遭遇DDoS攻击,攻击流量快速升至75Gbps,导致其网站无法访问。至3月27日,攻击流量峰值已经高达300Gbps,成为史上最大DDoS攻击。超大的攻击流量汇聚到欧洲几个一级运营商网络内部,造成欧洲地区的网络拥塞。此次攻击防御过程中,先是各ISP试图采取黑名单过滤阻断攻击,无效。Spamhaus很快向专业提供网站防护和DDoS流量清洗的CDN服务提供商CloudFlare公司寻求支持。最终CloudFlare通过anycast技术使攻击得到有效缓解,CloudFlare依托anycast路由协议的最短路径选路技术,将到Spamhaus的访问流量依据地理位置分发到其位于全球的20多个彼此独立的清洗中心,每个清洗中心独立实施攻击流量过滤,然后再将清洗后的流量转发给Spamhaus所在的数据中心。
本次攻击事件中,攻击者借助现网数量庞大的开放DNS服务器,采用DNS反射攻击将攻击流量轻松放大100倍。攻击过程使用了约3万台开放DNS服务器,攻击者向这些开放DNS服务器发送对ripe.net域名的解析请求,并将源IP地址伪造成Spamhaus的IP地址,DNS请求数据的长度约为36字节,而响应数据的长度约为3000字节,经过DNS开放服务器反射将攻击流量轻松放大100倍。攻击者只需要控制一个能够产生3Gbps流量的僵尸网络就能够轻松实施300Gbps的大规模攻击。而攻击过程中,每个DNS服务器发出的流量只需要10Mbps,这样小的攻击流量很难被DNS业务监控系统监测到。事实上,开放DNS服务器在互联网上数目庞大,远不止3万台。互联网如果继续保持开放DNS服务器的无管理状态,利用开放DNS系统发起的DNS反射攻击事件会越来越多,攻击规模也会越来越大。
事件影响
本次攻击事件让人们意识到:开放DNS服务器是互联网的定时炸弹,如果不加以治理,未来的某一天将会爆发更大规模的DDoS攻击。本次针对Spamhaus的DDoS攻击已经影响到了整个欧洲互联网的正常访问。从这个角度来讲,网络安全不是某个企业的责任,而是全社会的共同责任。
不过,从此次攻击事件的处理结果来看,对企业客户提供DDoS流量清洗服务的CloudFlare使用基于anycast技术的云清洗方案成功抵御了此次攻击,让人们看到了缓解超大规模DDoS攻击的解决办法,从而认识到了MSSP的价值。互联网的确需要像CloudFlare这样能够在全球部署清洗中心的MSSP来守护,毕竟单纯依靠接入网络出口部署的安全防御系统无法独立应对超大流量的DDoS攻击。可以预见,未来在各大洲部署清洗中心,以提供强大的Anti-DDoS SaaS服务,会逐步成为基础ISP的一种选择。