大規模攻擊旨在通過向互聯網服務發送超過其處理能力的流量來使其癱瘓，其規模越來越大，迄今為止最大的一次攻擊流量達到每秒 7.3 太比特，這是互聯網安全和性能提供商 Cloudflare 于周五報告的。

此次攻擊的目標是 Cloudflare 的客戶，一家使用Magic Transit保護其 IP 網絡的托管服務提供商。

此次 7.3Tbps 的攻擊總計 37.4TB 的垃圾流量，僅用 45 秒就擊中目標。這幾乎是一個難以想象的數據量，相當于在不到一分鐘的時間內傳輸了超過 9300 部完整高清電影或 7500 小時的高清流媒體內容。

Cloudflare表示，攻擊者“地毯式轟炸”了目標 IP 地址平均近 22000 個目標端口，而該 IP 地址僅被確認為 Cloudflare 客戶。總計有 34500 個端口成為攻擊目標，這表明此次攻擊的徹底性和精心策劃的性質。

此次攻擊的絕大部分內容是以用戶數據報協議 (UDP) 數據包的形式進行的。合法的 UDP 傳輸通常用于對時間特別敏感的通信，例如視頻播放、游戲應用程序和 DNS 查詢。UDP 通過在數據傳輸前不正式建立連接來加快通信速度。與更常見的傳輸控制協議 (TCP) 不同，UDP 不會等待兩臺計算機通過握手建立連接，也不會檢查對方是否正確接收了數據。相反，它會立即將數據從一臺計算機發送到另一臺計算機。

UDP 洪水攻擊會向目標 IP 上的隨機或特定端口發送大量數據包。此類洪水攻擊可能會導致目標的互聯網鏈路飽和，或使內部資源因數據包數量超過其處理能力而不堪重負。

由于 UDP 無需握手，攻擊者可以利用它向目標服務器發送大量流量，而無需事先獲得服務器的傳輸許可。UDP 泛洪攻擊通常會向目標系統的多個端口發送大量數據報。目標系統則必須發送相同數量的數據包，以表明端口無法訪問。最終，目標系統不堪重負，導致合法流量被拒絕。

一小部分攻擊（占比僅為 0.004%）是通過反射攻擊發起的。反射攻擊會將惡意流量導向一個或多個第三方中介，例如用于同步服務器時鐘的網絡時間協議 (NTP) 服務。攻擊者會偽造惡意數據包的發送方 IP，使其看起來像是由最終目標發送的。當第三方發送響應時，響應會被發送到目標，而不是原始流量來源的目的地。

反射攻擊為攻擊者提供了多重好處。首先，此類攻擊使得 DDoS 攻擊從各種各樣的目的地發起。這使得目標更難抵御攻擊。此外，通過選擇已知會生成比原始請求大數千倍的響應的中間服務器，攻擊者可以將可用的攻擊火力放大千倍甚至更多。Cloudflare 和其他公司經常建議服務器管理員鎖定服務器，以防止它們響應欺騙數據包，但不可避免的是，許多人并沒有聽從這些建議。

Cloudflare 表示，創紀錄的 DDoS 攻擊利用了各種反射或放大向量，包括前面提到的網絡時間協議、每日報價協議（它在 UDP 端口 17 上監聽并以簡短的報價或消息進行響應）、Echo 協議（它使用接收到的相同數據進行響應）以及用于識別通過遠程過程調用連接的應用程序可用資源的 Portmapper 服務。

Cloudflare 表示，此次攻擊還通過一個或多個基于 Mirai 的僵尸網絡發起。此類僵尸網絡通常由家庭和小型辦公室路由器、網絡攝像頭以及其他已遭入侵的物聯網設備組成。

過去三十年來，DDoS 規模持續穩步攀升。今年3 月，諾基亞報告稱，一個名為 Eleven11bot 的僵尸網絡發起了一次峰值流量達 6.5Tbps 的 DDoS 攻擊。5 月，KrebsonSecurity表示其遭受了一次峰值流量達 6.3Tbps 的 DDoS 攻擊。