自2018年Github遭遇1.35Tbps的大流量攻擊以來����,Tb級別攻擊首次出現(xiàn)在大眾面前。伴隨著物聯(lián)網(wǎng)����、智能終端的蓬勃發(fā)展���,當(dāng)前Tb級別攻擊已越來越普遍����。近日����,UCloud安全團(tuán)隊(duì)協(xié)助客戶成功防御了多次1.2Tbps的超大流量攻擊。下面將就此次攻擊事件簡單地向大家進(jìn)行梳理和分析����。
引言
自2018年Github遭遇1.35Tbps的大流量攻擊以來,Tb級別攻擊首次出現(xiàn)在大眾面前���。伴隨著物聯(lián)網(wǎng)���、智能終端的蓬勃發(fā)展,當(dāng)前Tb級別攻擊已越來越普遍����。近日��,UCloud安全團(tuán)隊(duì)協(xié)助客戶成功防御了多次1.2Tbps的超大流量攻擊�����。下面將就此次攻擊事件簡單地向大家進(jìn)行梳理和分析��。
事件回顧
12月2日10:56:32?11:49:06�����,UCloud一個(gè)重要的行業(yè)客戶突然遭受到159G的DDoS攻擊�����,因該用戶長期使用UCloud高防產(chǎn)品并對長期遭受攻擊已習(xí)以為常�����,就以為和往常一樣�����,只要攻擊沒有效果���,對方就會放棄���。
但是,11:54:41?12:11:30第二波361G的攻擊到來���,迅速引起了UCloud在后臺監(jiān)控的安全人員注意,并提醒客戶此次攻擊不同以往��。
12:56:51第三波1.16Tbps超大規(guī)模的攻擊到來�����,后續(xù)攻擊黑客已將Tb級別攻擊常態(tài)化�����。
不過憑借UCloud超大的防護(hù)帶寬和安全中心10余年DDoS攻擊防護(hù)技術(shù)的積累��,最終UCloud攜手該用戶成功抵御了這次持續(xù)時(shí)間很長的超大流量攻擊����,保障了業(yè)務(wù)的穩(wěn)定運(yùn)行。
那么這么大的攻擊是怎么來的�����,又是如何成功被抵御的呢?
攻擊分析
本次攻擊黑客手法復(fù)雜多變且持續(xù)時(shí)間長����。其中混合型攻擊次數(shù)占比高達(dá)66%,包含了各種Flood攻擊���、反射攻擊以及四層TCP的連接耗盡和七層的連接耗盡攻擊����。
攻擊類型:
攻擊類型分布:
持續(xù)時(shí)間和流量峰值分布:
異常類型分布TOP10:
攻擊來源分布
本次攻擊中國境內(nèi)流量占比高達(dá)68.1%��,海外流量合計(jì)占比31.9%��。流量占比TOP10國家如下:
在國內(nèi)方面��,攻擊流量主要來源省份:山東?�。?4.6%)����、江蘇省(13.9%)、云南?�。?3.7%)�����、浙江?�。?3.6%)�����。國內(nèi)攻擊流量占比TOP10如下:
在攻擊源屬性方面�����,個(gè)人PC占比47%��,IDC服務(wù)器占比32%����,值得注意的是����,在此次攻擊事件中物聯(lián)網(wǎng)設(shè)備占比達(dá)到21%,且物聯(lián)網(wǎng)設(shè)備作為攻擊源的數(shù)量呈明顯的增長趨勢。物聯(lián)網(wǎng)設(shè)備安全不容忽視���。
由此可見����,Tb級別的大流量攻擊已越來越容易實(shí)現(xiàn)��,在大流量攻擊的同時(shí)��,黑客還會摻雜著各種連接耗盡攻擊�����,以此增加防御的難度���。
防護(hù)建議
為有效的防護(hù)DDoS攻擊����,UCloud建議廠商�����、開發(fā)者���、運(yùn)營者提前做好如下事項(xiàng):
1 評估攻擊風(fēng)險(xiǎn)
不同類型的業(yè)務(wù)在遭受DDoS攻擊風(fēng)險(xiǎn)時(shí)有很大的區(qū)別���。所有業(yè)務(wù)運(yùn)營者應(yīng)根據(jù)自身行業(yè)的特性����,以及業(yè)務(wù)歷史上遭受過的DDoS攻擊的情況制定應(yīng)對方案�����。方案中明確在遭受DDoS攻擊時(shí)是否需要使用高防進(jìn)行防護(hù)��。
2 隱藏源站
目前市面上大多數(shù)的高防產(chǎn)品都是采用代理方式����,所以在接入高防后,需要避免黑客繞過高防直接攻擊源站���,必須注意要隱藏源站IP!?���。?/p>
接入高防的IP盡量未使用過(使用過的可能已經(jīng)暴露)
梳理業(yè)務(wù)邏輯����,確認(rèn)業(yè)務(wù)邏輯不會暴露自己IP
安全掃描�����,避免服務(wù)器被植入后門
3 定制防護(hù)策略
以此次攻擊為例��,黑客在使用大流量攻擊時(shí)��,混雜了用于消耗服務(wù)器資源的TCP連接耗盡和HTTP連接耗盡攻擊��。為了實(shí)現(xiàn)更優(yōu)的防護(hù)效果��,建議基于業(yè)務(wù)特性深度定制防護(hù)策略����。
通常以如下維度定制防護(hù)策略:
減小攻擊面:梳理業(yè)務(wù)協(xié)議和端口���,封禁非必要的協(xié)議和端口����。
CC防護(hù):根據(jù)業(yè)務(wù)特性提前配置好CC防護(hù)策略���。
私有協(xié)議:提前聯(lián)系高防服務(wù)商對業(yè)務(wù)流量進(jìn)行攻擊分析��,定制防護(hù)策略���。防止TCP層的連接耗盡攻擊�����。
總結(jié)
DDoS作為一個(gè)簡單粗暴的攻擊手法��,可以達(dá)到直接摧毀目標(biāo)的目的��。相對于其他攻擊手段DDoS攻擊技術(shù)要求和發(fā)動攻擊成本低��,且攻擊效果可視���。在各種黑色利益的驅(qū)使下,越來越多的人參與到DDoS攻擊行業(yè)并對攻擊手段進(jìn)行升級��,致使DDoS在互聯(lián)網(wǎng)行業(yè)愈演愈烈���。
因此我們建議廠商、開發(fā)者�����、運(yùn)營者:提前評估業(yè)務(wù)風(fēng)險(xiǎn),選擇安全可靠����、可信賴的云服務(wù)商,必要的時(shí)候購買高防服務(wù)�����,與專家團(tuán)隊(duì)緊密配合��,深度定制防護(hù)方案��,以保障業(yè)務(wù)的穩(wěn)定運(yùn)行�����。
閩公網(wǎng)安備 35010202001226號
