2013年3月，欧洲的反垃圾邮件公司Spamhaus网站遭受史上最大年夜流量DDoS报复打击，报复打击流量峰值高达300Gbps。Spamhaus是一家致力于反垃圾邮件的非盈利性组织，总部设在伦敦和日内瓦。Spamhaus保护了一个巨大年夜的垃圾邮件黑名单，这个黑名单被良多大年夜学/研究机构、互联网供给商、军事机构和商业公司遍及利用。此次报复打击事务疑为荷兰托管公司CyberBunker因不满被Spamhaus多次列为垃圾邮件黑名单而策动。

　　事务阐发

　　2013年3月18日，Spamhaus网站开端遭受DDoS报复打击，报复打击流量快速升至75Gbps，导致其网站没法拜候。至3月27日，报复打击流量峰值已高达300Gbps，成为史上最大年夜DDoS报复打击。超大年夜的报复打击流量会聚到欧洲几个一级运营商收集内部，造成欧洲地区的收集堵塞。此次报复打击防御过程中，先是各ISP试图采纳黑名单过滤阻断报复打击，无效。Spamhaus很快向专业供给网站防护和DDoS流量清洗的CDN办事供给商CloudFlare公司寻求撑持。最终CloudFlare经由过程anycast手艺使报复打击获得有效减缓，CloudFlare依托anycast路由和谈的最短路径选路手艺，将到Spamhaus的拜候流量根据地舆位置分发到其位于全球的20多个彼此自力的清洗中间，每个清洗中间自力实施报复打击流量过滤，然后再将清洗后的流量转发给Spamhaus地点的数据中间。

　　本次报复打击事务中，报复打击者借助现网数量复杂年夜的开放DNS办事器，采取DNS反射报复打击将报复打击流量轻松放大年夜100倍。报复打击过程利用了约3万台开放DNS办事器，报复打击者向这些开放DNS办事器发送对ripe.net域名的解析要求，并将源IP地址捏造成Spamhaus的IP地址，DNS要求数据的长度约为36字节，而响应数据的长度约为3000字节，颠末DNS开放办事器反射将报复打击流量轻松放大年夜100倍。报复打击者只需要节制一个可以或许产生3Gbps流量的僵尸收集就可以够轻松实施300Gbps的大年夜范围报复打击。而报复打击过程中，每个DNS办事器发出的流量只需要10Mbps，如许小的报复打击流量很难被DNS营业监控系统监测到。事实上，开放DNS办事器在互联网上数量复杂年夜，远不止3万台。互联网假定继续保持开放DNS办事器的无治理状况，操纵开放DNS系统倡议的DNS反射报复打击事务会愈来愈多，报复打击范围也会愈来愈大年夜。

　　事务影响

　　本次报复打击事务让人们意想到：开放DNS办事器是互联网的按时炸弹，假定不加以治理，将来的某一天将会爆发更大年夜范围的DDoS报复打击。本次针对Spamhaus的DDoS报复打击已影响到了全部欧洲互联网的正常拜候。从这个角度来讲，收集安然不是某个企业的责任，而是全社会的共同责任。

　　不外，从此次报复打击事务的措置成果来看，对企业客户供给DDoS流量清洗办事的CloudFlare利用基于anycast手艺的云清洗方案成功抵抗了此次报复打击，让人们看到了减缓超大年夜范围DDoS报复打击的解决编制，从而熟谙到了MSSP的价值。互联网的确需要像CloudFlare如许可以或许在全球摆设清洗中间的MSSP来守护，事实纯真依托接进收集出口摆设的安然防御系统没法自力应对超大年夜流量的DDoS报复打击。可以预感，将来在各大年夜洲摆设清洗中间，以供给强大年夜的Anti-DDoS SaaS办事，会慢慢成为根本ISP的一种选择。