如何應(yīng)對(duì)常態(tài)的Tb級(jí)別DDoS攻擊

引言

自2018年Github遭遇1.35Tbps的大流量攻擊以來(lái)，Tb級(jí)別攻擊首次出現(xiàn)在大眾面前。伴隨著物聯(lián)網(wǎng)、智能終端的蓬勃發(fā)展，當(dāng)前Tb級(jí)別攻擊已越來(lái)越普遍。近日，UCloud安全團(tuán)隊(duì)協(xié)助客戶成功防御了多次1.2Tbps的超大流量攻擊。下面將就此次攻擊事件簡(jiǎn)單地向大家進(jìn)行梳理和分析。

事件回顧

12月2日10:56:32 ? 11:49:06，UCloud一個(gè)重要的行業(yè)客戶突然遭受到159G的DDoS攻擊，因該用戶長(zhǎng)期使用UCloud高防產(chǎn)品并對(duì)長(zhǎng)期遭受攻擊已習(xí)以為常，就以為和往常一樣，只要攻擊沒(méi)有效果，對(duì)方就會(huì)放棄。

但是，11:54:41 ? 12:11:30第二波361G的攻擊到來(lái)，迅速引起了UCloud在后臺(tái)監(jiān)控的安全人員注意，并提醒客戶此次攻擊不同以往。

12:56:51 第三波1.16Tbps超大規(guī)模的攻擊到來(lái)，后續(xù)攻擊黑客已將Tb級(jí)別攻擊常態(tài)化。

不過(guò)憑借UCloud超大的防護(hù)帶寬和安全中心10余年DDoS攻擊防護(hù)技術(shù)的積累，最終UCloud攜手該用戶成功抵御了這次持續(xù)時(shí)間很長(zhǎng)的超大流量攻擊，保障了業(yè)務(wù)的穩(wěn)定運(yùn)行。

那么這么大的攻擊是怎么來(lái)的，又是如何成功被抵御的呢?

攻擊分析

本次攻擊黑客手法復(fù)雜多變且持續(xù)時(shí)間長(zhǎng)。其中混合型攻擊次數(shù)占比高達(dá)66%，包含了各種Flood攻擊、反射攻擊以及四層TCP的連接耗盡和七層的連接耗盡攻擊。

●攻擊類型：

●攻擊類型分布：

●持續(xù)時(shí)間和流量峰值分布：

●異常類型分布TOP10：

攻擊來(lái)源分布

本次攻擊中國(guó)境內(nèi)流量占比高達(dá)68.1%，海外流量合計(jì)占比31.9%。流量占比TOP10國(guó)家和地區(qū)如下：

在國(guó)內(nèi)方面，攻擊流量主要來(lái)源省份：山東省(14.6%)、江蘇省(13.9%)、云南省(13.7%)、浙江省(13.6%)。國(guó)內(nèi)攻擊流量占比TOP10如下：

在攻擊源屬性方面，個(gè)人PC占比47%，IDC服務(wù)器占比32%，值得注意的是，在此次攻擊事件中物聯(lián)網(wǎng)設(shè)備占比達(dá)到21%，且物聯(lián)網(wǎng)設(shè)備作為攻擊源的數(shù)量呈明顯的增長(zhǎng)趨勢(shì)。物聯(lián)網(wǎng)設(shè)備安全不容忽視。

由此可見(jiàn)，Tb級(jí)別的大流量攻擊已越來(lái)越容易實(shí)現(xiàn)，在大流量攻擊的同時(shí)，黑客還會(huì)摻雜著各種連接耗盡攻擊，以此增加防御的難度。

防護(hù)建議

為有效的防護(hù)DDoS攻擊，UCloud建議廠商、開(kāi)發(fā)者、運(yùn)營(yíng)者提前做好如下事項(xiàng)：

一、評(píng)估攻擊風(fēng)險(xiǎn)

不同類型的業(yè)務(wù)在遭受DDoS攻擊風(fēng)險(xiǎn)時(shí)有很大的區(qū)別。所有業(yè)務(wù)運(yùn)營(yíng)者應(yīng)根據(jù)自身行業(yè)的特性，以及業(yè)務(wù)歷史上遭受過(guò)的DDoS攻擊的情況制定應(yīng)對(duì)方案。方案中明確在遭受DDoS攻擊時(shí)是否需要使用高防進(jìn)行防護(hù)。

二、隱藏源站

目前市面上大多數(shù)的高防產(chǎn)品都是采用代理方式，所以在接入高防后，需要避免黑客繞過(guò)高防直接攻擊源站，必須注意要隱藏源站IP!!!

●接入高防的IP盡量未使用過(guò)(使用過(guò)的可能已經(jīng)暴露)

●梳理業(yè)務(wù)邏輯，確認(rèn)業(yè)務(wù)邏輯不會(huì)暴露自己IP

●安全掃描，避免服務(wù)器被植入后門

三、定制防護(hù)策略

以此次攻擊為例，黑客在使用大流量攻擊時(shí)，混雜了用于消耗服務(wù)器資源的TCP連接耗盡和HTTP連接耗盡攻擊。為了實(shí)現(xiàn)更優(yōu)的防護(hù)效果，建議基于業(yè)務(wù)特性深度定制防護(hù)策略。

通常以如下維度定制防護(hù)策略：

●減小攻擊面：梳理業(yè)務(wù)協(xié)議和端口，封禁非必要的協(xié)議和端口。

●CC防護(hù)：根據(jù)業(yè)務(wù)特性提前配置好CC防護(hù)策略。

●私有協(xié)議：提前聯(lián)系高防服務(wù)商對(duì)業(yè)務(wù)流量進(jìn)行攻擊分析，定制防護(hù)策略。防止TCP層的連接耗盡攻擊。

總結(jié)

DDoS作為一個(gè)簡(jiǎn)單粗暴的攻擊手法，可以達(dá)到直接摧毀目標(biāo)的目的。相對(duì)于其他攻擊手段DDoS攻擊技術(shù)要求和發(fā)動(dòng)攻擊成本低，且攻擊效果可視。在各種黑色利益的驅(qū)使下，越來(lái)越多的人參與到DDoS攻擊行業(yè)并對(duì)攻擊手段進(jìn)行升級(jí)，致使DDoS在互聯(lián)網(wǎng)行業(yè)愈演愈烈。

因此我們建議廠商、開(kāi)發(fā)者、運(yùn)營(yíng)者提前評(píng)估業(yè)務(wù)風(fēng)險(xiǎn)，選擇安全可靠、可信賴的云服務(wù)商，必要的時(shí)候購(gòu)買高防服務(wù)，與專家團(tuán)隊(duì)緊密配合，深度定制防護(hù)方案，以保障業(yè)務(wù)的穩(wěn)定運(yùn)行。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）