大规模攻击旨在通过向互联网服务发送超过其处理能力的流量来使其瘫痪，其规模越来越大，迄今为止最大的一次攻击流量达到每秒 7.3 太比特，这是互联网安全和性能提供商 Cloudflare 于周五报告的。

此次攻击的目标是 Cloudflare 的客户，一家使用Magic Transit保护其 IP 网络的托管服务提供商。

此次 7.3Tbps 的攻击总计 37.4TB 的垃圾流量，仅用 45 秒就击中目标。这几乎是一个难以想象的数据量，相当于在不到一分钟的时间内传输了超过 9300 部完整高清电影或 7500 小时的高清流媒体内容。

Cloudflare表示，攻击者“地毯式轰炸”了目标 IP 地址平均近 22000 个目标端口，而该 IP 地址仅被确认为 Cloudflare 客户。总计有 34500 个端口成为攻击目标，这表明此次攻击的彻底性和精心策划的性质。

此次攻击的绝大部分内容是以用户数据报协议 (UDP) 数据包的形式进行的。合法的 UDP 传输通常用于对时间特别敏感的通信，例如视频播放、游戏应用程序和 DNS 查询。UDP 通过在数据传输前不正式建立连接来加快通信速度。与更常见的传输控制协议 (TCP) 不同，UDP 不会等待两台计算机通过握手建立连接，也不会检查对方是否正确接收了数据。相反，它会立即将数据从一台计算机发送到另一台计算机。

UDP 洪水攻击会向目标 IP 上的随机或特定端口发送大量数据包。此类洪水攻击可能会导致目标的互联网链路饱和，或使内部资源因数据包数量超过其处理能力而不堪重负。

由于 UDP 无需握手，攻击者可以利用它向目标服务器发送大量流量，而无需事先获得服务器的传输许可。UDP 泛洪攻击通常会向目标系统的多个端口发送大量数据报。目标系统则必须发送相同数量的数据包，以表明端口无法访问。最终，目标系统不堪重负，导致合法流量被拒绝。

一小部分攻击（占比仅为 0.004%）是通过反射攻击发起的。反射攻击会将恶意流量导向一个或多个第三方中介，例如用于同步服务器时钟的网络时间协议 (NTP) 服务。攻击者会伪造恶意数据包的发送方 IP，使其看起来像是由最终目标发送的。当第三方发送响应时，响应会被发送到目标，而不是原始流量来源的目的地。

反射攻击为攻击者提供了多重好处。首先，此类攻击使得 DDoS 攻击从各种各样的目的地发起。这使得目标更难抵御攻击。此外，通过选择已知会生成比原始请求大数千倍的响应的中间服务器，攻击者可以将可用的攻击火力放大千倍甚至更多。Cloudflare 和其他公司经常建议服务器管理员锁定服务器，以防止它们响应欺骗数据包，但不可避免的是，许多人并没有听从这些建议。

Cloudflare 表示，创纪录的 DDoS 攻击利用了各种反射或放大向量，包括前面提到的网络时间协议、每日报价协议（它在 UDP 端口 17 上监听并以简短的报价或消息进行响应）、Echo 协议（它使用接收到的相同数据进行响应）以及用于识别通过远程过程调用连接的应用程序可用资源的 Portmapper 服务。

Cloudflare 表示，此次攻击还通过一个或多个基于 Mirai 的僵尸网络发起。此类僵尸网络通常由家庭和小型办公室路由器、网络摄像头以及其他已遭入侵的物联网设备组成。

过去三十年来，DDoS 规模持续稳步攀升。今年3 月，诺基亚报告称，一个名为 Eleven11bot 的僵尸网络发起了一次峰值流量达 6.5Tbps 的 DDoS 攻击。5 月，KrebsonSecurity表示其遭受了一次峰值流量达 6.3Tbps 的 DDoS 攻击。