最近，Cloudflare自动检测并缓解了一次超量DDoS 攻击，该次DDoS攻击的峰值略低于2Tbps——这是迄今为止所见过的最大攻击。这是一种结合DNS放大 攻击和UDP 泛洪多向量攻击。整个攻击只持续了一分钟。攻击源大约为15000个机器人发起的，这些机器人为物联网设备和未打补丁的 GitLab 实例上运行的原始Mirai代码的变体。

CF DDos保护系统阻止了近2Tbps的多向量 DDoS攻击

Cloudflare第三季度 DDoS 趋势报告的另一个重要发现是，网络层 DDoS 攻击实际上比上一季度增加了44%。虽然第四季度尚未结束，再次出现了针对Cloudflare客户的多TB级攻击。

CF DDos保护系统阻止了近2Tbps的多向量 DDoS攻击

Cloudflare DDoS保护系统

首先，Cloudflar系统不断分析“路径外”流量样本，这使其能够异步检测DDoS攻击，而不会造成延迟或影响性能。一旦检测到攻击流量（在亚秒内），Cloudflare DDoS保护系统就会生成一个实时签名，该签名与攻击模式进行匹配，以在不影响合法流量的情况下减轻攻击。

生成后，指纹将作为临时缓解规则传播到Cloudflare边缘体系最佳位置，以实现经济高效的缓解。在这种特定情况下，与大多数 L3/4 DDoS 攻击一样，该规则被内嵌到Linux内核的eXpress 数据路径(XDP) 中，并线速丢弃掉攻击数据包。

CF DDos保护系统阻止了近2Tbps的多向量 DDoS攻击

Autonomous Edge

Cloudflare Autonomous Edge由DDos守护进程 (dosd) 提供支持，该守护进程是一个本地的软件定义系统。在Cloudflare边缘数据中心的每台服务器中都运行一个dosd实例。

无需集中管理，分布式的dosd 实例可以自主检测和缓解DDoS攻击，而无需集中共识。

Cloudflare 的Autonomous Edge的另一个组件包括TCP流跟踪守护程序 (flowtrackd)。该守护进程是Cloudflare 的TCP状态跟踪机，用于检测和缓解单向路由拓扑中最随机和最复杂的基于TCP的DDoS攻击，例如 Magic Transit。 flowtrackd能够识别TCP连接的状态，然后丢弃、挑战或限制不属于合法连接的数据包。

集中DDoS防护系统

作为自治边缘的补充，Cloudflare的整个全局网络由Gatebot、Cloudflare的集中式DDoS保护系统和全局版本的dosd监控。这两个组件共同通过检测和缓解分布式容量DDoS攻击来保护Cloudflare的整个全球网络。

集中式系统在Cloudflare的核心数据中心运行。他们从每个边缘数据中心接收样本，对其进行分析，并在检测到攻击时自动发送缓解指令。该系统还与每个客户的网络服务器同步，以识别他们的健康状况并触发任何所需的缓解措施。

DDoS攻击覆盖

Cloudflare DDoS保护系统的规则集提供针对多种跨L3/4和OSI模型的L7 DDoS攻击的保护。Cloudflare不断更新这些托管规则集，以提高攻击覆盖范围、提高缓解一致性、涵盖新出现的威胁并确保具有成本效益的缓解。

作为一般准则，Cloudflare客户在其服务运行的层级受到保护。例如，WAF客户一直受到保护，免受第7层 (HTTP/HTTPS) 的DDoS攻击，包括 L3/4 攻击。目前Cloudflare DDoS保护系统涵盖的攻击向量如下：

CF DDos保护系统阻止了近2Tbps的多向量 DDoS攻击

总结

Cloudflare将帮助建立一个更好的互联网——一个对每个人来说都更安全、更快、更可靠的互联网做使命。其目标是让DDoS攻击的影响成为过去。

当然防DDoS都还是需要成本的，而且成本不菲，相比较某些云防厂商的坑蒙防护，Cloudflare的免费无限制DDoS防护真是YYDS，另外CF的也提供CDN层免费HTTPS方案则可以让我们无需关注免费证书到期，复杂的配置等直接一键实现HTTPS化升级。