Cloudflare 阻止破纪录的 11.5 Tbps DDoS 攻击

Cloudflare 周二表示，它自动缓解了创纪录的容量分布式拒绝服务 （DDoS） 攻击，该攻击的峰值为 11.5 TBPS/秒 （Tbps）。

“在过去的几周里，我们自主阻止了数百次超容量 DDoS 攻击，其中最大的达到了 5.1 Bpps 和 11.5 Tbps 的峰值，”这家网络基础设施和安全公司在 X 上的一篇帖子中表示。“11.5 Tbps 攻击是一次主要来自谷歌云的 UDP 洪水。”

整个攻击仅持续了大约 35 秒，该公司表示其“防御一直在加班加点”。

容量 DDoS 攻击旨在用海啸般的流量淹没目标，导致服务器速度变慢甚至出现故障。这些攻击通常会导致网络拥塞、数据包丢失和服务中断。

此类攻击通常是通过在用恶意软件感染设备（无论是计算机、物联网设备还是其他机器）后，从已经处于威胁行为者控制之下的僵尸网络发送请求来进行的。

Akamai 在一份解释性说明中表示：“容量攻击的最初影响是造成拥塞，从而降低与互联网、服务器和协议的网络连接的性能，从而可能导致中断。

“然而，攻击者也可能使用容量攻击作为更复杂漏洞的掩护，我们称之为’烟幕’攻击。随着安全团队努力减轻容量攻击，攻击者可能会发起额外的攻击（多向量），使他们能够秘密穿透网络防御以窃取数据、转移资金、访问高价值账户或造成进一步的利用。

在 Cloudflare 表示，它在 2025 年 5 月中旬阻止了针对一家未具名托管提供商的 DDoS 攻击，该攻击达到 7.3 Tbps 的峰值，这是在两个多月前发生的。

2025 年 7 月，该公司还表示，超容量 DDoS 攻击（每秒 10 亿个数据包 （Bpps） 或 1 Tbps 的 L3/4 DDoS 攻击）在 2025 年第二季度猛增，与 2025 年第一季度的 700 次超容量 DDoS 攻击相比，达到 6,500 次的新高。

这一发展是在 Bitsight 详细介绍 RapperBot 杀伤链之际发生的，该杀伤链针对网络录像机 （NVR） 和其他物联网设备，目的是将它们纳入能够进行 DDoS 攻击的僵尸网络。作为执法行动的一部分，僵尸网络基础设施于上个月被关闭。

在网络安全公司记录的攻击中，据说威胁行为者利用了 NVR 中的安全漏洞，通过挂载远程 NFS 文件系统（“104.194.9[.]127“）并执行它。

这是通过 Web 服务器中的路径遍历缺陷来泄露有效的管理员凭据，然后使用它来推送虚假固件更新，该更新运行一组 bash 命令来挂载共享并运行基于系统架构的 RapperBot 二进制文件。

“难怪攻击者选择使用 NFS 挂载并从该共享执行，这种 NVR 固件极其有限，因此挂载 NFS 实际上是一个非常聪明的选择，”安全研究员 Pedro Umbelino 说。“当然，这意味着攻击者必须彻底研究这个品牌和模型，并设计一个可以在这些有限条件下运行的漏洞。”

该恶意软件随后获取与一组硬编码域（“iranistrash[.]libre“和”pool.rentcheapcars[.]sbs“，以获取实际命令和控制 （C2） 服务器 IP 地址的实际列表。

反过来，C2 IP 地址被映射到 C2 域，该域的完全限定域名 （FQDN） 是使用简化域生成算法 （DGA） 生成的，该算法由四个域、四个子域和两个顶级域 （TLD） 的组合组成。FQDN 使用硬编码的 DNS 服务器进行解析。

RapperBot 最终使用有效的 DNS TXT 记录描述与 C2 域建立加密连接，从那里接收发起 DDoS 攻击所需的命令。该恶意软件还可以被征用来扫描互联网以查找开放端口以进一步传播感染。

Bitsight 表示：“他们的方法很简单：扫描互联网上的旧边缘设备（如 DVR 和路由器）、暴力破解或利用并让它们执行僵尸网络恶意软件。“实际上不需要坚持，只需一次又一次地扫描和感染。因为易受攻击的设备继续暴露在那里，而且它们比以往任何时候都更容易找到。

更新

在 X 上的后续帖子中，Cloudflare 表示，11.5 Tbps 的攻击实际上来自多个物联网和云提供商的组合，而谷歌云只是众多来源之一。

谷歌发言人告诉《黑客新闻》：“防御此类攻击是我们持续的优先事项，我们部署了许多强大的防御措施来确保用户安全，包括强大的 DDoS 检测和缓解功能。”我们的滥用防御检测到了攻击，我们在客户通知和响应中遵循了适当的协议。初步报告表明大部分流量来自谷歌云，但并不准确。