從2017年6月15日起,“無敵艦隊(duì)”組織向國(guó)內(nèi)多家證券金融公司、互聯(lián)網(wǎng)金融公司發(fā)起DDoS比特幣勒索,現(xiàn)已有超過6家金融證券類企業(yè)遭受DDoS攻擊勒索,且其中4家已經(jīng)遭受了大規(guī)模的DDoS攻擊,攻擊流量從2G到20G不等,對(duì)企業(yè)網(wǎng)絡(luò)產(chǎn)生了非常嚴(yán)重的影響。而“無敵艦隊(duì)”組織聲稱如果企業(yè)不按郵件要求定時(shí)支付比特幣,將進(jìn)行持續(xù)的大規(guī)模流量攻擊(該組織聲稱攻擊流量可超過1T),并逐步提高勒索比特幣數(shù)額。
這其實(shí)并不是該組織第一次行動(dòng)了,早在2015年12月,“無敵艦隊(duì)(Armada Collective)”就開始對(duì)中國(guó)境內(nèi)的互聯(lián)網(wǎng)企業(yè)實(shí)施同樣手法的DDoS攻擊的勒索。
本次事件收到的勒索郵件內(nèi)容如下:
二、DDOS防護(hù)應(yīng)急手段
針對(duì)本次DDoS攻擊事件,下文就目前市場(chǎng)上主流的DDoS防護(hù)應(yīng)急手段,按其差異性和適用場(chǎng)景做了簡(jiǎn)要對(duì)比。
常規(guī)的DDoS防護(hù)應(yīng)急方式因其選擇的引流技術(shù)差別而在實(shí)現(xiàn)上有差別的差異性,主要分成以下三種:
1、當(dāng)?shù)谼DoS防護(hù)設(shè)備;
2、運(yùn)營(yíng)商清洗辦事;
3、云清洗辦事。
三種類型的DDoS防護(hù)應(yīng)急手段引流方式的原理:
了解引流技術(shù)原理后,簡(jiǎn)要闡述各種方式在DDoS應(yīng)急上的優(yōu)劣:
當(dāng)?shù)谼DoS防護(hù)設(shè)備:
當(dāng)?shù)鼗雷o(hù)設(shè)備,增強(qiáng)了用戶監(jiān)控DDoS監(jiān)控能力的同時(shí)做到了業(yè)務(wù)安適可控,且設(shè)備具備高度可定制化的策略和辦事,更加適合通過分析攻擊報(bào)文,定制策略應(yīng)對(duì)多樣化的、針對(duì)性的DDoS攻擊類型;但當(dāng)流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬時(shí),需要借助運(yùn)營(yíng)商清洗辦事或者云清洗辦事來完成攻擊流量的清洗。
運(yùn)營(yíng)商清洗辦事:
運(yùn)營(yíng)商采購(gòu)安適廠家的DDoS防護(hù)設(shè)備并安排在城域網(wǎng),通過路由方式引流,和Cname引流方式比擬其生效時(shí)間更快,運(yùn)營(yíng)商通過提清洗辦事方式幫手企業(yè)用戶解決帶寬消耗性的拒絕辦事攻擊;但是運(yùn)營(yíng)商清洗辦事多是基于Flow方式檢測(cè)DDoS攻擊,且策略的顆粒度較粗,因此針對(duì)低流量特征的DDoS攻擊類型檢測(cè)效果往往不夠抱負(fù),此外部分攻擊類型受限于防護(hù)算法往往會(huì)有透?jìng)鞯墓魣?bào)文,此時(shí)對(duì)于企業(yè)用戶還需要借助當(dāng)?shù)谼DoS防護(hù)設(shè)備,實(shí)現(xiàn)二級(jí)清洗。
云清洗辦事:
云清洗辦事使用場(chǎng)景較窄,當(dāng)使用云清洗辦事做DDoS應(yīng)急時(shí),為了解決攻擊者直接向站點(diǎn)真實(shí)IP地址發(fā)起攻擊而繞過了云清洗中心的問題,通常情況下還需要企業(yè)用戶配合做業(yè)務(wù)地址更換、Cname引流等操作配置,尤其是業(yè)務(wù)地址更換導(dǎo)致的實(shí)際變換過程可能會(huì)出現(xiàn)不能落地的情況。
另一方面對(duì)于HTTPS Flood防御,當(dāng)前云清洗辦事需要用戶上傳HTTPS業(yè)務(wù)私鑰證書,可操作性不強(qiáng)。此外業(yè)務(wù)流量導(dǎo)入到云平臺(tái),對(duì)業(yè)務(wù)數(shù)據(jù)安適性也提出了挑戰(zhàn)。
對(duì)比了三種方式的差別和適用場(chǎng)景,我們會(huì)發(fā)現(xiàn)單一解決方案不能完成所有DDoS攻擊清洗,保舉企業(yè)用戶在實(shí)際情況下可以組合當(dāng)?shù)谼DoS防護(hù)設(shè)備+運(yùn)營(yíng)商清洗辦事或者當(dāng)?shù)谼DoS防護(hù)設(shè)備+云清洗辦事,實(shí)現(xiàn)分層清洗的效果。針對(duì)金融行業(yè),更保舉的組合方案是當(dāng)?shù)谼DoS防護(hù)設(shè)備+運(yùn)營(yíng)商清洗辦事。對(duì)于選擇云清洗辦事的用戶,如果只是在DDoS攻擊發(fā)生時(shí)才選擇將流量導(dǎo)入到云清洗平臺(tái),需要做好備用業(yè)務(wù)地址的更換預(yù)配置(新業(yè)務(wù)地址不成泄露,不然一旦被攻擊者獲悉將會(huì)失去其意義)。
三、DDOS防護(hù)實(shí)踐總結(jié)
借鑒DDoS攻防工程師總結(jié)的經(jīng)驗(yàn),企業(yè)客戶在DDoS防護(hù)體系建設(shè)上通常需要開展的工作有:
應(yīng)用系統(tǒng)開發(fā)過程中持續(xù)消除性能瓶頸,提升性能
通過各類優(yōu)化技術(shù),提升應(yīng)用系統(tǒng)的并發(fā)、新建以及數(shù)據(jù)庫(kù)查詢等能力,減少應(yīng)用型DDOS攻擊類型的潛在危害;
按期掃描和加固自身業(yè)務(wù)設(shè)備
按期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)及主機(jī),清查可能存在的安適漏洞和不規(guī)范的安適配置,對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理,對(duì)于需要加強(qiáng)安適配置的參數(shù)進(jìn)行加固;
確保資源冗余,提升耐打能力
建立多節(jié)點(diǎn)負(fù)載均衡,配備多線路高帶寬,配備強(qiáng)大的運(yùn)算能力,借此“吸收”DDoS攻擊;
辦事最小化,關(guān)停不須要的辦事和端口
關(guān)停不須要的辦事和端口,實(shí)現(xiàn)辦事最小化,例如WWW辦事器只開放80而將其它所有端口關(guān)閉或在防火墻上做阻止策略。可大大減少被與辦事不相關(guān)的攻擊所影響的概率;
選擇專業(yè)的產(chǎn)品和辦事
三分產(chǎn)品技術(shù),七分設(shè)計(jì)辦事,除了防護(hù)產(chǎn)品自己的功能、性能、不變性,易用性等方面,還需要考慮防護(hù)產(chǎn)品廠家的技術(shù)實(shí)力,辦事和支持能力,應(yīng)急經(jīng)驗(yàn)等;
多層監(jiān)控、縱深防御