2013年3月，歐洲的反垃圾郵件公司Spamhaus網站遭遇史上最大流量DDoS攻擊，攻擊流量峰值高達300Gbps。Spamhaus是一家致力于反垃圾郵件的非盈利性組織，總部設在倫敦和日內瓦。Spamhaus維護了一個巨大的垃圾郵件黑名單，這個黑名單被很多大學/研究機構、互聯網提供商、軍事機構和商業公司廣泛使用。此次攻擊事件疑為荷蘭托管公司CyberBunker因不滿被Spamhaus多次列為垃圾郵件黑名單而發動。

事件分析

2013年3月18日，Spamhaus網站開始遭遇DDoS攻擊，攻擊流量快速升至75Gbps，導致其網站無法訪問。至3月27日，攻擊流量峰值已經高達300Gbps，成為史上最大DDoS攻擊。超大的攻擊流量匯聚到歐洲幾個一級運營商網絡內部，造成歐洲地區的網絡擁塞。此次攻擊防御過程中，先是各ISP試圖采取黑名單過濾阻斷攻擊，無效。Spamhaus很快向專業提供網站防護和DDoS流量清洗的CDN服務提供商CloudFlare公司尋求支持。最終CloudFlare通過anycast技術使攻擊得到有效緩解，CloudFlare依托anycast路由協議的最短路徑選路技術，將到Spamhaus的訪問流量依據地理位置分發到其位于全球的20多個彼此獨立的清洗中心，每個清洗中心獨立實施攻擊流量過濾，然后再將清洗后的流量轉發給Spamhaus所在的數據中心。

本次攻擊事件中，攻擊者借助現網數量龐大的開放DNS服務器，采用DNS反射攻擊將攻擊流量輕松放大100倍。攻擊過程使用了約3萬臺開放DNS服務器，攻擊者向這些開放DNS服務器發送對ripe.net域名的解析請求，并將源IP地址偽造成Spamhaus的IP地址，DNS請求數據的長度約為36字節，而響應數據的長度約為3000字節，經過DNS開放服務器反射將攻擊流量輕松放大100倍。攻擊者只需要控制一個能夠產生3Gbps流量的僵尸網絡就能夠輕松實施300Gbps的大規模攻擊。而攻擊過程中，每個DNS服務器發出的流量只需要10Mbps，這樣小的攻擊流量很難被DNS業務監控系統監測到。事實上，開放DNS服務器在互聯網上數目龐大，遠不止3萬臺。互聯網如果繼續保持開放DNS服務器的無管理狀態，利用開放DNS系統發起的DNS反射攻擊事件會越來越多，攻擊規模也會越來越大。

事件影響

本次攻擊事件讓人們意識到：開放DNS服務器是互聯網的定時炸彈，如果不加以治理，未來的某一天將會爆發更大規模的DDoS攻擊。本次針對Spamhaus的DDoS攻擊已經影響到了整個歐洲互聯網的正常訪問。從這個角度來講，網絡安全不是某個企業的責任，而是全社會的共同責任。

不過，從此次攻擊事件的處理結果來看，對企業客戶提供DDoS流量清洗服務的CloudFlare使用基于anycast技術的云清洗方案成功抵御了此次攻擊，讓人們看到了緩解超大規模DDoS攻擊的解決辦法，從而認識到了MSSP的價值。互聯網的確需要像CloudFlare這樣能夠在全球部署清洗中心的MSSP來守護，畢竟單純依靠接入網絡出口部署的安全防御系統無法獨立應對超大流量的DDoS攻擊。可以預見，未來在各大洲部署清洗中心，以提供強大的Anti-DDoS SaaS服務，會逐步成為基礎ISP的一種選擇。