7.3Tbps！Cloudflare创纪录DDoS攻防战：45秒拦截37.4TB“数据海啸”

图片

大家好,老米又来给大家推荐好东西啦! 98dev AI，互联网科技等资讯先驱 63篇原创内容 公众号 2025年5月中旬，Cloudflare经历了一场足以载入史册的网络风暴事件。当时我们成功挡下了一次DDoS攻击，峰值流量直接飙到了 7.3 Tbps ——没错，你没看错，是Tbps。 这次被攻击的目标是我们一位使用Magic Transit服务的客户，客户的主营业务是网络托管服务。说实话这并不意外，现在托管服务商和关键互联网基础设施已经成了DDoS攻击的“重灾区”。光是2025年的头两个月，针对我们自家基础设施和客户的攻击就超过了1350万次。 45秒，37.4TB的“数据炸弹” 量化一下这次攻击。整个攻击过程时间很短，也就45秒，但就在这不到一分钟的时间里，攻击者硬是塞过来了 37.4 TB 的数据。 这是什么概念？

• 相当于有人在45秒内，把 9350部高清电影 强行灌进你的网络。
• 或者让你连续看 7480小时 的高清视频，差不多是一整年不眠不休。
• 如果换成音乐，那就是 935万首歌，够一个人从年轻听到白头，连听57年。
• 如果换成照片，那就是 1250万张高清照片，如果一天拍一张，需要连续拍摄4000年。

这次攻击瞄准了客户的一个IP地址，对平均 21925个端口 进行无差别攻击，峰值时甚至达到了每秒 34517个端口。

图片

攻击的“组合拳” 这次攻击者玩的是一套复杂的“组合拳”，而不是单一的攻击手段。

• 主力军：UDP洪水攻击这部分占了总流量的99.996%，简单粗暴，就是用海量的UDP数据包把你的网络链路和设备资源耗尽。
• 助攻手：各种反射/放大攻击虽然剩下的0.004%（大约1.3GB）看起来不多，但花样百出。这里面混杂了QOTD、Echo、NTP等多种反射攻击，还有老朋友Mirai僵尸网络的UDP洪水，以及Portmap和RIPv1放大攻击。这些攻击就像是“借刀杀人”，利用互联网上一些配置不当的无辜服务器来放大流量，最终淹没目标。
  • QOTD、Echo、RIPv1：这些都是老掉牙的协议，现在基本没人用了。攻击者就是利用它们会“有问必答”的特性来反射流量。对于我们运维和安全人员来说，最好的办法就是在防火墙上直接把这些端口（UDP/17, TCP/UDP 7, UDP/520）给禁了，基本没副作用。
  • NTP反射：这个主要是利用了旧版NTP服务器上的monlist命令，这个命令会返回一大堆信息，放大效果极佳。所以，升级NTP服务，禁用monlist，或者只允许信任的IP来查询，是很有必要的。
  • Portmap：这个主要和RPC服务有关，如果你的服务器不需要对外提供RPC服务，那把UDP/111端口关掉准没错。
  • Mirai：这老哥们都熟，被感染的物联网设备组成的僵尸网络。防范这个，除了我们这些服务提供商要扛住流量，大家自己也要注意保护好摄像头、路由器这些智能设备，别用默认密码。

  攻击来自何方？ 这次攻击的源头遍布全球，我们追踪到了来自 161个国家、5433个不同网络（AS） 的超过 122145个 源IP地址。 将近一半的流量来自 巴西 和 越南，这两个国家几乎各占了四分之一。剩下的主要来自xx、印度尼西亚、美国等地。从网络运营商（AS）的层面看，巴西的Telefonica和越南的Viettel Group是这次攻击最大的“贡献者”。 我们是如何扛住的？ 这么猛的攻击Cloudflare是怎么拦下来的？

1. 全局任播（Anycast）网络：攻击流量不是打向一个点，而是被我们分布在全球 293个城市 的 477个数据中心 给“吸收”了。7.3 Tbps的洪流被瞬间分散到全球，每个数据中心处理一小部分，压力自然就化解了。
2. 全自动检测与缓解系统：我们的防御系统是完全自主运行的，不需要人工干预。当数据包进入我们的数据中心时，我们会直接在Linux内核层面，用 XDP (eXpress Data Path) 对它进行采样，然后用 eBPF 程序把样本交给我们的分析引擎 dosd（denial of service daemon）。
3. 实时指纹识别：dosd 会实时分析这些流量样本，寻找可疑的模式，比如数据包头的共性、异常特征等，一旦发现问题，就会立刻生成一个攻击“指纹”。然后，系统会根据这个指纹，快速编译出一条缓解规则，还是用eBPF，直接在网络的最底层把符合这个指纹的恶意数据包全部丢掉。整个过程快如闪电，而且精准度极高，能确保正常用户的流量不受任何影响。

更有意思的是，一旦某个服务器发现了攻击指纹，它会立刻通过内网广播给数据中心内的其他服务器，甚至在全球范围内共享这个威胁情报。这样一来，整个Cloudflare网络就能协同作战，防御效率和响应速度都会大大提升。 写在最后 成功拦截这次创纪录的DDoS攻击，对我们来说，是一次实战检验，也证明了我们这套自动化、分布式的防御体系是行之有效的。整个过程没有触发一个警报，也没有任何工程师需要半夜被叫起来处理问题，一切都在悄无声息中解决了。 构建一个更美好的互联网，是我们的使命。而提供免费、不限量的DDoS防护，就是我们践行这个使命的方式之一。网络世界的攻防战永远不会停止，但只要我们不断创新，并与社区紧密合作，就能让互联网变得更安全、更可靠。