史上最大规模DDoS攻击在短短45秒内传输了37.4TB的恶意流量

本次大规模攻击采用多向量方式。99.996%的攻击流量是UDP洪流，流量平均针对单个IP上的21,925个目标端口，峰值达每秒34,517个。

剩余的0.004%使用了精密的反射放大技术。包括：利用UDP端口17的Quote of the Day (QOTD)协议；利用UDP/TCP端口7的Echo协议攻击；利用monlist命令的网络时间协议（NTP）放大攻击。

其他攻击向量包括：Mirai僵尸网络的UDP洪流；利用UDP端口111的Portmap服务；利用UDP端口520的路由信息协议版本1（RIPv1）攻击。

攻击流量来源的地理分布极为广泛。源自161个国家5,433个自治系统（AS）中的122,145个唯一源IP地址。

巴西和越南是主要攻击来源地，各自贡献约25%的总流量。印度尼西亚、乌克兰、厄瓜多尔、泰国、美国和沙特阿拉伯合计贡献了另外三分之一的恶意流量。

Telefonica Brazil（AS27699）是参与攻击的最大网络。贡献了10.5%的攻击流量。紧随其后的是Viettel Group（AS7552），贡献了9.8%。

报告指出，Cloudflare防御系统利用先进数据包采样技术。该技术在Linux内核中使用eXpress数据路径（XDP）和扩展伯克利数据包过滤器（eBPF）程序，这能实时分析流量模式。

公司专有的启发式引擎“dosd”（拒绝服务守护程序）自动生成多重指纹排列，以此识别攻击模式，同时能最大限度减少对合法流量的影响。

攻击通过任播路由被检测并缓解，流量被分散到全球293个地点的477个数据中心，这是利用了Cloudflare的网络基础设施。每个数据中心都能维护本地威胁情报缓存，缓存通过流言协议更新，确保新出现的攻击特征能在亚秒级内传播至整个网络。

这一集成的自主框架实现了7.3 Tbps攻击的零接触缓解。而攻击在其45秒内被完全遏制，没有触发事件响应协议。

整个缓解过程完全自动化，无需人工干预，未发生告警或服务事故。这展示了现代云端DDoS防护系统应对日益复杂网络威胁的有效性。