网易首页 > 网易号 > 正文 申请入驻

新型DDoS攻击LFA:从5月11号网易被攻击谈起

0
分享至

5月11日晚上9时许,网易的大量用户发现访问网易新闻出现问题,相应的,有很多游戏用户报告说游戏掉线严重。一时间,有关“网易大楼着火”的谣传甚嚣。晚上9点42分的时候,“网易新闻客户端”新浪微博发推:

图1 网易新闻客户端微博内容

这次攻击,相较于以往的DDoS攻击,官方描述比较特别:“骨干网络遭受攻击”。笔者敏锐地意识到这是最近学术界才提出的LFA攻击,攻击范例比较少。本文接下来将详细介绍LFA攻击的概念、现状和防治方法。不过,悲观地讲,现在还没有关于LFA特别好的解决方案。在此声明一下,笔者对网易的网络拓扑和本次攻击的具体细节一无所知,所有解释只源于自己的推测。

新型的DDoS攻击:Link Flooding Attack(链路洪泛攻击)

LFA,可以认为是一种新型的DDoS攻击,全称Link Flooding Attack(链路洪泛攻击)。顾名思义,就是以链路为攻击目标,不同于传统DDoS以服务器为目标,LFA是通过攻击服务器群的主要出口入口链路,造成链路拥塞,导致服务器无法满足正常用户的请求。以瘫痪链路为目标,而不是以瘫痪服务器为目标,这是LFA和传统DDoS最重要的区别,这也是LFA比DDoS难以检测和防治的重要原因。传统的DDoS可以通过加服务器、负载均衡,或者流量监测来防治,但是这些方法在LFA里就起不到良好的效果。为了解释这些问题,我们先详细地介绍下LFA的原理。

学术界最早提出链路攻击DDoS的是CMU的Ahren Studer和Adrian Perrig。两位作者在09年的论文《The Coremelt Attack》提出了这种攻击的雏形。

图2 LFA攻击雏形

如图2,图中有两种节点,灰色的是被攻击者控制的节点如S1,S2,S3,白色的节点是正常的服务器节点如A,B,C。在攻击中,攻击者让S1,S2,S3大流量通信,来导致target link过载,从而导致正常的节点间无法通信。为了增加攻击的效果,可能会顺带着用流量洪泛白色节点。但是,在白色的节点里,有很多攻击流量是看不到的。尝试在正常服务器进行流量检测是很难检测这样的攻击的。读者现在可能认为网易的服务器不会和攻击者控制的灰色节点混在一块,这样的攻击可能不太现实,至少对于这次网易被黑不太现实。没关系,我们继续看一个加强版的LFA攻击——CrossFire Attack。注意,不是穿越火线。

加强版的LFA攻击:CrossFire Attack

CrossFire攻击是也是CMU的研究人员提出的,成果发表在2013 IEEE S&P上。

图3 Crossfire攻击

Crossfire攻击的思路和上面的Coremelt大同小异。如图3,攻击者想让中间target area红色方形的的服务器(Public Server in Target area)down掉,服务器周围的蓝色方形是Decoy Server,不是攻击目标但是和攻击目标网络位置比较近的服务器,Decoy Server和Public Server共享一些重要的骨干出入链路,所以对Decoy Server的洪范也会影响Public Sever。攻击的方法就是通过低密度、看似正常的流量有计划地访问Decoy Server和Public Server,导致Target Link负载过重,最终导致Public Sever无法服务。在Decoy Sever和Public Server看来,流量都是正常的,但是结果仍然导致DDoS的发生。而且,攻击一条Targe Link的成本比攻击所有服务器低很多。

读者会问,网易的机房里只有自己的服务器啊,那Decoy Sever哪来的?根据LFA的一次攻击实例,笔者推测,攻击者可能攻击了网易机房的上层交换节点或其他类似机构(甚至可能是IXP,ISP之间的交换节点)。比如网易的机房和阿里的机房同时连在一个交换机构上,那么攻击者很可能通过正常访问阿里的服务器导致交换节点down掉,网易的服务器也无法访问。在攻击中,阿里的服务器是Decoy Server,网易不小心躺枪了。

现实生活中的Target Link

那么,现实生活中存在这样的Target Link么?实际上,在传统的TCP/IP网络中,流量的分布很不均衡,如上面假设的网易新闻的流量可能主要通过几个主干道。也许有其余多个备份链路的存在,但是这些链路承担的流量比例很小。最重要的问题是传统的TCP/IP网络是分布式的,路由算法如BGP、OSPF分散在各个路由器上,不便于集中控制,通常切换主干道非常麻烦,而且耗时非常长。像网易的这次修复,笔者感觉可能是更改了相干拓扑的路由,如启用了备份链路,这个时间通过要持续几个小时。果然,直到12日凌晨2点31,网易才宣布已经修复。但据媒体报道,完全恢复是在12日早上6点。

但是这样的修复方法下次一定有效么?不见得,如果攻击者熟知网易网络相关拓扑,假如网易切换到另外一条主干道(New Target Link),攻击者立即攻击这条新的Target Link,如此反复。网易切换主干道的时间是小时级的,但是攻击者可以达到分钟级切换。网易应该庆幸的是攻击者没有搞清楚全部的拓扑,否则,这次的事件持续时间将更长。

在云计算时代,各种公司的服务器托管在同一云服务商上,对于这种攻击,只能云服务商来解决,单个个体是没办法解决的。但是如果云服务商仍然采用传统TCP/IP的路由策略,不能快速切换,仍然会出现类似的问题。云服务商可以考虑采用SDN和NFV的相关方案,增强对路由的管理。如果是对于IXP的攻击,只能各个ISP之间相互合作了。

总结起来,LFA的攻击具有如下特点:

1.低密度流量攻击,难以检测 2.攻击成本低 3.持续久,攻击者可以不停切换攻击link

短期内解决这个问题的关键是负载均衡、加大带宽、增加链路,深层次地看,我们应该重新考虑改进我们网络的基础架构了。

我们期待网易后续能分享更多的攻击细节,虽然不太可能。期待学术界和工业界对这个问题的后续研究和探讨,希望我们早日能找到好的解决方案。

作者微博: @pengfeituan

参考资料

[1]Studer A, Perrig A. The coremelt attack[M]//Computer Security–ESORICS 2009. Springer Berlin Heidelberg, 2009: 37-52.

[2]Kang M S, Lee S B, Gligor V D. The crossfire attack[C]//Security and Privacy (SP), 2013 IEEE Symposium on. IEEE, 2013: 127-141.

[3]南方日报,2015年5月12日,引自http://gz.bendibao.com/news/2015512/content187364.shtml

[4]P. Bright, http://arstechnica.com/security/2013/04/can-a-ddos-break-the-internet-sure-just-not-all-of-it/

* 作者/purehat,属FreeBuf原创奖励计划文章,未经许可禁止转载

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
德媒:泽连斯基呼吁在乌克兰生产“爱国者”导弹

德媒:泽连斯基呼吁在乌克兰生产“爱国者”导弹

参考消息
2026-07-03 19:11:21
你的公积金是什么段位?

你的公积金是什么段位?

细说职场
2026-07-01 18:46:21
张雪峰:如今最难找工作的,不是农民工,也不是大专生,更不是985、211毕业生,而是这群人

张雪峰:如今最难找工作的,不是农民工,也不是大专生,更不是985、211毕业生,而是这群人

二胡的岁月如歌
2026-07-01 15:28:51
太惊悚!韩国30多岁男性连续两天尾随中国游客并做出淫乱行为!

太惊悚!韩国30多岁男性连续两天尾随中国游客并做出淫乱行为!

奋斗在韩国
2026-07-02 13:42:51
非必要不做CT?医生强调:只要做过CT,患者一定多加关注这4点!

非必要不做CT?医生强调:只要做过CT,患者一定多加关注这4点!

叙说医疗健康
2026-06-16 08:00:21
现在反腐力度、反腐手段都在升级,只要存在违纪,就一定会被查处

现在反腐力度、反腐手段都在升级,只要存在违纪,就一定会被查处

职场资深秘书
2026-07-03 18:15:35
日本专家:你以为是原子弹使我们投降的吗?不!是苏联的一个公告

日本专家:你以为是原子弹使我们投降的吗?不!是苏联的一个公告

探史
2026-06-19 11:11:17
蔡一凤曝黄有龙:借1.87亿2天赌输完,再借9360万又输得干干净净

蔡一凤曝黄有龙:借1.87亿2天赌输完,再借9360万又输得干干净净

小兰聊历史
2026-07-03 03:11:47
白玉兰庆功宴上杨紫的全家福,让大家瞬间读懂了她20年打拼的底气

白玉兰庆功宴上杨紫的全家福,让大家瞬间读懂了她20年打拼的底气

露珠聊影视
2026-07-02 23:53:41
“这以后谁还结婚?!”

“这以后谁还结婚?!”

阿振观点
2026-07-03 13:40:16
60年代,冯巩在幼儿园的照片,人家这长相,小时候都不怕丢

60年代,冯巩在幼儿园的照片,人家这长相,小时候都不怕丢

喜文多见01
2026-05-10 07:00:29
4天后小暑,出梅和三伏天时间均已确定,今夏是热是凉?答案来了

4天后小暑,出梅和三伏天时间均已确定,今夏是热是凉?答案来了

新时代的两性情感
2026-07-03 17:34:13
被西班牙打崩!奥地利内讧 34岁皇马巨星怒吼队友 世界杯悲情谢幕

被西班牙打崩!奥地利内讧 34岁皇马巨星怒吼队友 世界杯悲情谢幕

我爱英超
2026-07-03 06:01:19
特朗普性侵成立!美国最高法院不救他,连3位提名大法官都不帮他

特朗普性侵成立!美国最高法院不救他,连3位提名大法官都不帮他

刚哥说法365
2026-07-02 18:05:33
省市合并,又一枪打响了

省市合并,又一枪打响了

国民经略
2026-07-02 11:55:33
今晚 19:30 直播 中日男篮生死战 周琦张镇麟落选 杨瀚森赵继伟扛大旗

今晚 19:30 直播 中日男篮生死战 周琦张镇麟落选 杨瀚森赵继伟扛大旗

烟浔渺渺
2026-07-03 18:48:38
有哪些是你去东北才知道的事情?看网友们的真实分享,惊呆了

有哪些是你去东北才知道的事情?看网友们的真实分享,惊呆了

智慧生活笔记
2026-06-29 15:14:18
千万赞助款刚到位,董路第一件事:拿一百万分给月薪三千的老兄弟

千万赞助款刚到位,董路第一件事:拿一百万分给月薪三千的老兄弟

青梅侃史啊
2026-07-03 07:11:49
快顶不住了!乌方低头和谈,普京抛出四道铁闸:不认输,就等死!

快顶不住了!乌方低头和谈,普京抛出四道铁闸:不认输,就等死!

墨印斋
2026-07-03 11:40:46
大陆发出统一最强音后,赖清德回应,黄智贤不装了,对大陆摊牌了

大陆发出统一最强音后,赖清德回应,黄智贤不装了,对大陆摊牌了

共工之锚
2026-07-03 00:14:32
2026-07-03 20:03:00
FreeBuf
FreeBuf
互联网安全新媒体
5548文章数 1757关注度
往期回顾 全部

头条要闻

清华教授举报蒋方舟"论文造假" 人大仍未公布调查结论

头条要闻

清华教授举报蒋方舟"论文造假" 人大仍未公布调查结论

体育要闻

C罗穿已故队友若塔球衣谢场 眼中含泪

娱乐要闻

海来阿木孕期出轨指控掀起全网热议

财经要闻

AI“鬼故事”不断,市场开始重估?

科技要闻

万亿富豪马斯克 舍不得特斯拉员工敞开用AI

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

时尚
房产
教育
手机
健康

A-Lin已经这样了,徐佳莹你怎么睡得着!

房产要闻

总裁空缺17个月、现金缺口超1000亿:金融局“局外人”入局万科

教育要闻

张雪峰离世后,高考志愿行业彻底乱象丛生#高考 #张雪峰 #零距离看懂财经 #热点零距离

手机要闻

索尼一家独大成为历史:iPhone 18系列首次引入三星传感器

听说少吃点能抗衰老?专家讲解!

无障碍浏览 进入关怀版