Cloudflare 成功抵抗有史以来最大规模的攻击——高达1720 万 rps 的 DDoS 攻击_cloudflare能扛住多大攻击

今年初夏，Cloudflare 的自主边缘 DDoS 保护系统自动检测并缓解了一次每秒 1720 万个请求 (rps) 的 DDoS 攻击，这个攻击规模相当于我们过去已知任何一次攻击的近三倍。作为对比，Cloudflare 平均每秒处理超过 2500 万个 HTTP 请求，这是 2021 年第二季度的平均合法流量速率。这次攻击的峰值速率达到 1720 万 rps，也即是相当于我们第二季度合法 HTTP 流量平均 rps 速率的 68%。

Cloudflare 平均每秒请求数与 DDoS 攻击对比

Cloudflare 自主边缘进行自动 DDoS 缓解

Cloudflare 的自主边缘 DDoS 保护系统自动检测并缓解了以上攻击，以及下文提到的其他攻击。这个系统由我们本机资料中心缓解系统（dosd）驱动。dosd 是我们自己研发的软件定义后台程序。在我们分布在全球各地的数据中心每一台服务器中，都运行着唯一的 dosd 实例。每个 dosd 实例都会对流量样本进行路径外分析。通过在路径外分析流量，我们可在不造成延迟和影响性能的情况下异步检测 DDoS 攻击。DDoS 检测结果也会在同一数据中心内部的不同 dosd 之间共享，这是主动威胁情报共享的一种形式。

一旦检测到攻击，我们的系统就会产生一条缓解规则，其中附带与攻击模式匹配的实时特征。该规则将被传播至技术堆栈中的最佳位置。例如，容量耗尽 HTTP DDoS 攻击可在第四层 Linux iptables 防火墙内予以阻止，而非第七层在用户空间运行的 L7 反向代理内。在堆栈的较低层进行缓解更具成本效益，例如，在 L4 丢弃数据包，而非在 L7 以 403 错误页面响