“永恒之蓝”勒索蠕虫攻击事件剛刚平息近日多家证券公司及互联网金融公司又遭受“无敌舰队”组织发起的DDoS攻击勒索,这种大流量DDoS攻击对目前主流的抗DDos攻击方式提出叻挑战
“无敌舰队”攻击时,企业官网被大量的DDoS攻击流量堵塞导致网站无法访问攻击流量基本在800Mbps-50Gbps不等,攻击时间在15分钟到1个小时左右勒索者会给企业发送邮件并要求支付10个比特币(现市值大约18万人民币),如果企业未在规定时间内支付比特币将增加勒索比特币的额喥要求,并将DDoS攻击流量增加到最大1Tbps
目前已有用户选择报警,但由于无法准确对攻击进行溯源而且勒索者在国外警方短时间难以追踪勒索者,建议企业自行加强防御措施抵御DDoS攻击以确保网站业务的正常使用。
针对大流量的DDoS攻击现在主要有三种方式进行防御分别是盒式嘚抗DDoS设备防护、运营商清洗防护、云端抗DDoS清洗防护。
盒式抗DDoS设备无能为力
目前主要的盒式抗DDoS设备在针对DDoS攻击时存在着致命的普遍性的问题当攻击流量超出用户出口带宽时用户网络出口会被DDoS攻击流量堵死,即使盒式抗D设备有超出出口带宽的DDoS攻击处理能力也无法处理超出出ロ带宽的DDoS攻击。一般金融证券等企业用户的出口带宽可能在几百兆到几个G左右但是现在包括反射放大攻击在内的DDoS攻击流量动辄几十个G甚臸上百个G,本地盒式设备针对大流量攻击无能为力
运营商清理防护有一定局限
运营商在抗D上有着天然的带宽及链路控制优势,其防护的效率和能力也非常强专业运营商的抗D分为流量压制和近源清洗两种类型。
即将所有去往目的IP地址的访问流量全部丢弃这种处理方式简單粗暴,会导致正常用户网站的访问流量也无法访问目标网站不适合企业级用户使用,一般IDC用户在自有机房无法抵御超大流量攻击时会調用运营商的流量压制能力
即通过判断攻击源的位置并通过运营商的近源网络节点将攻击流量从源网络出口进行阻断。这种方式存在以丅问题:
1、在近源端清洗时误报率较高可能导致和攻击源使用相同运营商节点的访问用户因被误杀而无法正常访问网站。
2、单一运营商忼D无法清洗其他运营商内的DDoS攻击流量这留下了巨大的风险敞口,使得某运营商对其他运营商内部的DDoS攻击行为无能为力而对金融用户来講,必须要做到全网用户可访问所以运营商清洗的这个缺点对大多数金融用户来说无法接受。
3、运营商抗D不会给用户做产品交付当用戶遭受DDoS攻击时需要用户给运营商电话或邮件发送清洗指令,是否能够提供严格的SLA应急响应服务保障是金融用户选择抗D服务的一个重要考量
云端抗DDoS清洗防护恰逢其时
在盒子抗D和运营商抗D有明显缺陷的情况下,以360安域为代表的云端抗D清洗防护服务是用户首选的抗D方式
360安域Web应鼡安全云防护系统可以通过云端有效的防护攻击者针对网站的发起的SYN Flood攻击、ACK Flood攻击、UDP Flood攻击、ICMP Flood攻击,以及基于这4类攻击的变种攻击比如NTP 反射攻击、DNS 反射攻击、IP 分片攻击等各种流量型攻击方式。
用户接入云防护系统非常便捷只需要修改其DNS指向,将原来域名指向360服务器安全防护IP哋址的方式通过CNAME引流指向云防护系统即可云防护系统可以在不影响网站访问的情况下,10分钟左右完成快速接入
当检测到由大流量DDoS攻击時,360安域Web应用安全云防护系统可以将大流量调度到360全国的几十个高防节点机房进行清洗防护清洗后将正常流量返回给用户网络。360现在最夶可以抵御600Gbps-1Tbps的大流量DDoS攻击
当用户遭受超出其购买套餐流量时候,本着对用户负责的态度和原则360不会直接放行DDoS的攻击流量,在短期内会替用户先扛着除非对用户的攻击是持续性的大流量攻击,360会根据生成的流量报表和用户协商更换套餐
360可以和用户签署具有法律效力的保密协议确保用户通过云端的数据安全,针对用户的HTTPS网站防护360还可以通过以下技术性方案来确保用户数据安全。
传统的针对HTTPS网站的防护需要用户上传网站的公钥及私钥证书用于数据的加密解密,虽然厂商基于安全责任及法律要求不会做任何危害用户数据安全的事情但昰金融类的用户往往对上传私钥有所顾虑。360可以通过在用户本地网络部署Keyless360服务器安全防护将用户HTTPS网站私钥存储在用户本地网络当互联网鼡户和网站360服务器安全防护进行会话秘钥协商时由360安域Web应用安全云防护系统代理客户端去Keyless360服务器安全防护对SSL参数进行解密并完成后续会话秘钥的协商。可以确保用户私钥永远在本地且云防护系统无法获得私钥,以此确保用户数据内容的安全Keyless方案是专门针对金融、证券等荇业用户对HTTPS网站防护数据安全性要求较高的用户设计的经过验证的成熟的可行方案。
360有成熟的四层云端代理清洗技术即通过使用BGP IP对用户HTTP/HTTPS網站业务进行接入,直接从TCP层对DDoS攻击进行判断和清洗对用户的应用层数据不感知,不基于网站内容进行防护这样厂商永远不接触用户數据并可以对DDoS攻击进行有效清洗。
用户使用基于云端代理防护时用户从网站360服务器安全防护看到的所有攻击及访问源IP地址都是云端防护系统的回源IP,而看不到真实互联网访问者IP地址这对金融用户是很难接受的。360开创性的通过在云端防护系统及网站360服务器安全防护之间部署IP地址解析转换器的方式完成地址的解析转换通过对IP地址的解析转换,可以让360服务器安全防护端直接查看到真实的互联网访问及攻击者嘚真实源IP地址
如果用户的源站360服务器安全防护IP地址暴露,黑客可能直接攻打源站360服务器安全防护的IP地址而绕过云端防护系统此时用户需要预留IP地址,当360服务器安全防护IP地址被直接攻击时云端防护系统可以将数据回源到用户的预留IP地址上由于云端防护系统可以隐藏网站360垺务器安全防护的细节,可以确保黑客永远无法获取到新的IP地址当然为了避免操作的麻烦,用户也可以在接入时直接替换并由云端防护系统直接隐藏源站IP地址
如果用户网站已经有CND、负载均衡等通过CNAME解析的配置,360可以无缝的做前后CNAME值的递归解析接入和回源确保用户可以洎行快速控制云端防护系统的防护和回源状态配置,用户可以按需使用
目前对DDoS攻击进行追踪,对攻击IP地址及背后的CC控制器进行溯源分析還比较困难非技术手段对抗DDoS攻击难以实现,所以通过技术手段做好DDoS的攻击防护还是当下主要能做的事情在此360建议金融机构还是做好日瑺的DDoS攻击防御措施资源准备,建立常态化的DDoS应急演练累积应对DDoS攻击的经验,当DDoS攻击来时不至于手足无措当遭受DDoS攻击时应及时报警并寻找有效适用的抗D措施进行防御以减少损失。
|