引言
自2018年Github遭遇1.35Tbps的大流量攻击以来,Tb级别攻击首次出现在大众面前。伴随着物联网、智能终端的蓬勃发展,当前Tb级别攻击已越来越普遍。近日,某安全团队协助客户成功防御了多次1.2Tbps的超大流量攻击。下面将就此次攻击事件简单地向大家进行梳理和分析。
事件回顾
12月2日10:56:32 ⾄11:49:06,某安全团队一个重要的行业客户突然遭受到159G的DDoS攻击,因该用户长期使用某安全团队高防产品并对长期遭受攻击已习以为常,就以为和往常一样,只要攻击没有效果,对方就会放弃。
但是,11:54:41⾄12:11:30第二波361G的攻击到来,迅速引起了某安全团队在后台监控的安全人员注意,并提醒客户此次攻击不同以往。
12:56:51 第三波1.16Tbps超大规模的攻击到来,后续攻击黑客已将Tb级别攻击常态化。
不过凭借某安全团队超大的防护带宽和安全中心10余年DDoS攻击防护技术的积累,最终某安全团队携手该用户成功抵御了这次持续时间很长的超大流量攻击,保障了业务的稳定运行。
那么这么大的攻击是怎么来的,又是如何成功被抵御的呢?
攻击分析
本次攻击黑客手法复杂多变且持续时间长。其中混合型攻击次数占比高达66%,包含了各种Flood攻击、反射攻击以及四层TCP的连接耗尽和七层的连接耗尽攻击。
●攻击类型:
●攻击类型分布:
●持续时间和流量峰值分布:
●异常类型分布TOP10:
攻击来源分布
本次攻击中国境内流量占比高达68.1%,海外流量合计占比31.9%。流量占比TOP10国家和地区如下:
在国内方面,攻击流量主要来源省份:山东省(14.6%)、江苏省(13.9%)、云南省(13.7%)、浙江省(13.6%)。国内攻击流量占比TOP10如下:
在攻击源属性方面,个人PC占比47%,IDC服务器占比32%,值得注意的是,在此次攻击事件中物联网设备占比达到21%,且物联网设备作为攻击源的数量呈明显的增长趋势。物联网设备安全不容忽视。
由此可见,Tb级别的大流量攻击已越来越容易实现,在大流量攻击的同时,黑客还会掺杂着各种连接耗尽攻击,以此增加防御的难度。
防护建议
为有效的防护DDoS攻击,某安全团队建议厂商、开发者、运营者提前做好如下事项:
一、评估攻击风险
不同类型的业务在遭受DDoS攻击风险时有很大的区别。所有业务运营者应根据自身行业的特性,以及业务历史上遭受过的DDoS攻击的情况制定应对方案。方案中明确在遭受DDoS攻击时是否需要使用高防进行防护。
二、隐藏源站
目前市面上大多数的高防产品都是采用代理方式,所以在接入高防后,需要避免黑客绕过高防直接攻击源站,必须注意要隐藏源站IP!!!
●接入高防的IP尽量未使用过(使用过的可能已经暴露)
●梳理业务逻辑,确认业务逻辑不会暴露自己IP
●安全扫描,避免服务器被植入后门
三、定制防护策略
以此次攻击为例,黑客在使用大流量攻击时,混杂了用于消耗服务器资源的TCP连接耗尽和HTTP连接耗尽攻击。为了实现更优的防护效果,建议基于业务特性深度定制防护策略。
通常以如下维度定制防护策略:
●减小攻击面:梳理业务协议和端口,封禁非必要的协议和端口。
●CC防护:根据业务特性提前配置好CC防护策略。
●私有协议:提前联系高防服务商对业务流量进行攻击分析,定制防护策略。防止TCP层的连接耗尽攻击。
总结
DDoS作为一个简单粗暴的攻击手法,可以达到直接摧毁目标的目的。相对于其他攻击手段DDoS攻击技术要求和发动攻击成本低,且攻击效果可视。在各种黑色利益的驱使下,越来越多的人参与到DDoS攻击行业并对攻击手段进行升级,致使DDoS在互联网行业愈演愈烈。
因此我们建议厂商、开发者、运营者提前评估业务风险,选择安全可靠、可信赖的云服务商,必要的时候购买高防服务,与专家团队紧密配合,深度定制防护方案,以保障业务的稳定运行。
自2018年Github遭遇1.35Tbps的大流量攻击以来,Tb级别攻击首次出现在大众面前。伴随着物联网、智能终端的蓬勃发展,当前Tb级别攻击已越来越普遍。近日,某安全团队协助客户成功防御了多次1.2Tbps的超大流量攻击。下面将就此次攻击事件简单地向大家进行梳理和分析。
事件回顾
12月2日10:56:32 ⾄11:49:06,某安全团队一个重要的行业客户突然遭受到159G的DDoS攻击,因该用户长期使用某安全团队高防产品并对长期遭受攻击已习以为常,就以为和往常一样,只要攻击没有效果,对方就会放弃。
但是,11:54:41⾄12:11:30第二波361G的攻击到来,迅速引起了某安全团队在后台监控的安全人员注意,并提醒客户此次攻击不同以往。
12:56:51 第三波1.16Tbps超大规模的攻击到来,后续攻击黑客已将Tb级别攻击常态化。
不过凭借某安全团队超大的防护带宽和安全中心10余年DDoS攻击防护技术的积累,最终某安全团队携手该用户成功抵御了这次持续时间很长的超大流量攻击,保障了业务的稳定运行。
那么这么大的攻击是怎么来的,又是如何成功被抵御的呢?
攻击分析
本次攻击黑客手法复杂多变且持续时间长。其中混合型攻击次数占比高达66%,包含了各种Flood攻击、反射攻击以及四层TCP的连接耗尽和七层的连接耗尽攻击。
●攻击类型:
●攻击类型分布:
●持续时间和流量峰值分布:
●异常类型分布TOP10:
攻击来源分布
本次攻击中国境内流量占比高达68.1%,海外流量合计占比31.9%。流量占比TOP10国家和地区如下:
在国内方面,攻击流量主要来源省份:山东省(14.6%)、江苏省(13.9%)、云南省(13.7%)、浙江省(13.6%)。国内攻击流量占比TOP10如下:
在攻击源属性方面,个人PC占比47%,IDC服务器占比32%,值得注意的是,在此次攻击事件中物联网设备占比达到21%,且物联网设备作为攻击源的数量呈明显的增长趋势。物联网设备安全不容忽视。
由此可见,Tb级别的大流量攻击已越来越容易实现,在大流量攻击的同时,黑客还会掺杂着各种连接耗尽攻击,以此增加防御的难度。
防护建议
为有效的防护DDoS攻击,某安全团队建议厂商、开发者、运营者提前做好如下事项:
一、评估攻击风险
不同类型的业务在遭受DDoS攻击风险时有很大的区别。所有业务运营者应根据自身行业的特性,以及业务历史上遭受过的DDoS攻击的情况制定应对方案。方案中明确在遭受DDoS攻击时是否需要使用高防进行防护。
二、隐藏源站
目前市面上大多数的高防产品都是采用代理方式,所以在接入高防后,需要避免黑客绕过高防直接攻击源站,必须注意要隐藏源站IP!!!
●接入高防的IP尽量未使用过(使用过的可能已经暴露)
●梳理业务逻辑,确认业务逻辑不会暴露自己IP
●安全扫描,避免服务器被植入后门
三、定制防护策略
以此次攻击为例,黑客在使用大流量攻击时,混杂了用于消耗服务器资源的TCP连接耗尽和HTTP连接耗尽攻击。为了实现更优的防护效果,建议基于业务特性深度定制防护策略。
通常以如下维度定制防护策略:
●减小攻击面:梳理业务协议和端口,封禁非必要的协议和端口。
●CC防护:根据业务特性提前配置好CC防护策略。
●私有协议:提前联系高防服务商对业务流量进行攻击分析,定制防护策略。防止TCP层的连接耗尽攻击。
总结
DDoS作为一个简单粗暴的攻击手法,可以达到直接摧毁目标的目的。相对于其他攻击手段DDoS攻击技术要求和发动攻击成本低,且攻击效果可视。在各种黑色利益的驱使下,越来越多的人参与到DDoS攻击行业并对攻击手段进行升级,致使DDoS在互联网行业愈演愈烈。
因此我们建议厂商、开发者、运营者提前评估业务风险,选择安全可靠、可信赖的云服务商,必要的时候购买高防服务,与专家团队紧密配合,深度定制防护方案,以保障业务的稳定运行。