引言
自2018年Github遭遇1.35Tbps的大流量攻击以来,Tb级别攻击首次出现在大众面前。伴随着物联网、智能终端的蓬勃发展,当前Tb级别攻击已越来越普遍。近日,UCloud安全团队协助客户成功防御了多次1.2Tbps的超大流量攻击。下面将就此次攻击事件简单地向大家进行梳理和分析。
事件回顾
12月2日10:56:32 ⾄ 11:49:06,UCloud一个重要的行业客户突然遭受到159G的DDoS攻击,因该用户长期使用UCloud高防产品并对长期遭受攻击已习以为常,就以为和往常一样,只要攻击没有效果,对方就会放弃。
但是,11:54:41 ⾄ 12:11:30第二波361G的攻击到来,迅速引起了UCloud在后台监控的安全人员注意,并提醒客户此次攻击不同以往。
12:56:51 第三波1.16Tbps超大规模的攻击到来,后续攻击黑客已将Tb级别攻击常态化。
不过凭借UCloud超大的防护带宽和安全中心10余年DDoS攻击防护技术的积累,最终UCloud携手该用户成功抵御了这次持续时间很长的超大流量攻击,保障了业务的稳定运行。
那么这么大的攻击是怎么来的,又是如何成功被抵御的呢?
攻击分析
本次攻击黑客手法复杂多变且持续时间长。其中混合型攻击次数占比高达66%,包含了各种Flood攻击、反射攻击以及四层TCP的连接耗尽和七层的连接耗尽攻击。
●攻击类型:
●攻击类型分布:
●持续时间和流量峰值分布:
●异常类型分布TOP10:
攻击来源分布
本次攻击中国境内流量占比高达68.1%,海外流量合计占比31.9%。流量占比TOP10国家和地区如下:
在国内方面,攻击流量主要来源省份:山东省(14.6%)、江苏省(13.9%)、云南省(13.7%)、浙江省(13.6%)。国内攻击流量占比TOP10如下:
在攻击源属性方面,个人PC占比47%,IDC服务器占比32%,值得注意的是,在此次攻击事件中物联网设备占比达到21%,且物联网设备作为攻击源的数量呈明显的增长趋势。物联网设备安全不容忽视。
由此可见,Tb级别的大流量攻击已越来越容易实现,在大流量攻击的同时,黑客还会掺杂着各种连接耗尽攻击,以此增加防御的难度。
防护建议
为有效的防护DDoS攻击,UCloud建议厂商、开发者、运营者提前做好如下事项:
一、评估攻击风险
不同类型的业务在遭受DDoS攻击风险时有很大的区别。所有业务运营者应根据自身行业的特性,以及业务历史上遭受过的DDoS攻击的情况制定应对方案。方案中明确在遭受DDoS攻击时是否需要使用高防进行防护。
二、隐藏源站
目前市面上大多数的高防产品都是采用代理方式,所以在接入高防后,需要避免黑客绕过高防直接攻击源站,必须注意要隐藏源站IP!!!
●接入高防的IP尽量未使用过(使用过的可能已经暴露)
●梳理业务逻辑,确认业务逻辑不会暴露自己IP
●安全扫描,避免服务器被植入后门
三、定制防护策略
以此次攻击为例,黑客在使用大流量攻击时,混杂了用于消耗服务器资源的TCP连接耗尽和HTTP连接耗尽攻击。为了实现更优的防护效果,建议基于业务特性深度定制防护策略。
通常以如下维度定制防护策略:
●减小攻击面:梳理业务协议和端口,封禁非必要的协议和端口。
●CC防护:根据业务特性提前配置好CC防护策略。
●私有协议:提前联系高防服务商对业务流量进行攻击分析,定制防护策略。防止TCP层的连接耗尽攻击。
总结
DDoS作为一个简单粗暴的攻击手法,可以达到直接摧毁目标的目的。相对于其他攻击手段DDoS攻击技术要求和发动攻击成本低,且攻击效果可视。在各种黑色利益的驱使下,越来越多的人参与到DDoS攻击行业并对攻击手段进行升级,致使DDoS在互联网行业愈演愈烈。
因此我们建议厂商、开发者、运营者提前评估业务风险,选择安全可靠、可信赖的云服务商,必要的时候购买高防服务,与专家团队紧密配合,深度定制防护方案,以保障业务的稳定运行。
来源:搜狐
