實戰分享:如何成功防護1.2T國內已知最大流量DDoS攻擊
作者:騰訊雲宙斯盾安全團隊&騰訊安全平臺部
引言:
DDoS攻擊勢頭愈演愈烈,除了攻擊手法的多樣化發展之外,最直接的還是攻擊流量的成倍增長。3月份國內的最大規模DDoS攻擊紀錄還停留在數百G規模,4月,這個數據已經突破T級,未來不可期,我們唯有保持警惕之心,技術上穩打穩紮,以應對DDoS攻擊卷起的血雨腥風。4月8日,騰訊雲宙斯盾成功防禦了1.2Tbps的超大流量攻擊,也是目前國內已知的最大攻擊流量,這篇文章就此次攻防事件簡單地為大家做一個梳理和分析。
國內已知最大攻擊流量來襲
4月8日,清明節後第一個工作日,騰訊雲一個重要的棋牌遊戲客戶突然遭受大流量DDoS攻擊,棋牌類遊戲遭受攻擊習以為常,但是本輪攻擊流量峰值竟達到了1.23Tbps,刷新國內DDoS攻擊最大流量記錄。
不過憑借騰訊雲宙斯盾超大防護帶寬以及騰訊安全平臺部十余年DDoS防護技術積累的支撐下,騰訊雲攜手該棋牌遊戲客戶成功防護了這次超大流量攻擊,護航客戶棋牌業務穩定運行。
那麽這麽大的攻擊怎麽來的呢?又是怎麽被成功防護的呢?
攻擊分析
本次攻擊手法主要為擁塞帶寬型攻擊手法(SSDP反射,攻擊原理下文介紹),在總體流量中占比97%,攻擊流量達1.2Tbps,和協議缺陷型(SYNFLOOD和ACKFLOOD),在總體流量中占比3%。
SSDP反射
只要對DDoS有一定認知的同學,肯定不會對SSDP反射攻擊陌生,作為現網最常見的DDoS攻擊手法之一,SSDP反射由於可用的反射終端數量龐大,放大系數可觀,而備受攻擊者青睞。
在攻擊思路上跟其他反射攻擊一樣,攻擊者發起SSDP反射的大致過程為:
- 通過IP地址欺騙方式,攻擊者偽造目標服務器IP,向開放SSDP服務的終端發起請求;
- 由於協議設計缺陷,SSDP服務無法判斷請求是否偽造,並向目標服務器進行響應。就這樣數量極其龐大的SSDP響應報文同時發往被攻擊服務器;
- 更可怕的是在特定請求下,一個SSDP請求報文可以觸發多個響應報文,而每個響應報文比請求報文體積更大,最終造成攻擊流量約為30倍的放大。
來源IP分析
本次攻擊共采集到攻擊源16.6萬個。其中國內占比68%,海外占比32%,TOP 3國家分別是:中國(68%)、俄羅斯(13%)、美國(8%)。
在國內方面,攻擊主要來源省份:山東省
國內攻擊源的主要運營商來源為中國電信(占比66%)和中國聯通(占比24%)。
在攻擊源屬性方面,主要來自於個人PC,占比57%,IDC服務器占比28%,值得註意的是,物聯網設備在此次攻擊源中占比達到15%。攻擊者在攻擊武器方面,物聯網設備作為攻擊源的數量呈明顯增長趨勢。眼下物聯網設備安全問題不容忽視。
由此可見,公網上開放SSDP服務的終端數量非常龐大,而且分布廣泛,為攻擊者實施攻擊帶來便利。
防護方案
為了有效防護DDoS攻擊,建議遊戲廠商和開發者做好以下幾個事項。
(1)預估攻擊風險,必要時接入高防
不同類型的業務遭受外部DDoS攻擊的風險完全不一樣。所以運營者應根據自身行業的攻擊威脅態勢,以及自己業務歷史遭受的DDoS攻擊情況,來判斷是否會被黑產"盯上"及是否需要接入高防。
而不可不提的是,遊戲行業的高利潤、行業惡性競爭等因素決定了該行業成為DDoS的高發區。根據騰訊雲數據統計表明,超過66%的DDoS和CC攻擊均針對遊戲業務。所以對於遊戲業務運營者來說,更需預估攻擊威脅,必要時接入高防,方能保障業務穩定運行。
(2)接入高防後,切勿暴露源站
接入高防後,騰訊雲會分配專門的高防代理IP,而為了避免黑客直接攻擊源站,此時必須要註意:隱藏源站IP!
- 接入高防前的源站IP不能再使用(已經暴露);
- 梳理遊戲邏輯,確認遊戲邏輯不會暴露源站IP;
- 對服務器做安全掃描,避免被植入後門。
(3)基於業務特性,定制防護策略
接入高防後可以通過高防IP的超大帶寬抵抗大流量DDoS攻擊,但是黑客往往會在大流量攻擊同時混雜著消耗服務器資源的小流量攻擊,如本輪攻擊除了SSDP反射和SYNFLOOD還夾雜著CC攻擊。故為了達到更優的防護效果,可以咨詢騰訊雲遊戲安全團隊:基於業務特性,深度定制防護策略。策略定制常見的維度包括:
- 梳理業務協議和端口情況,封禁非必要協議和端口,減少被攻擊面
- 對HTTP業務,可在控制臺上根據實際情況配置CC防護,提前防備CC攻擊。
- 如果是私有協議,可以讓騰訊雲宙斯盾安全團隊介入。團隊可對業務流量進行統計分析,並深度定制防護策略,以有效解決各種疑難雜癥。例如該客戶歷史還遭受過四層CC攻擊,騰訊雲宙斯盾安全團隊深度定制策略,有效防護,業務穩定運行!
備註:四層CC攻擊是指黑客控制肉雞對目的服務器建立TCP連接後模擬業務流量發起攻擊,耗盡服務器資源的攻擊手法。
總結
只要有利益的地方就競爭,只要有互聯網的地方就會有DDoS攻擊。我們建議遊戲廠商和開發者提前評估業務風險、選擇可信賴的雲服務商,必要情況下購買高防服務,與專家團隊深度定制防護方案,有力保障好遊戲安全生命線。
騰訊雲限時推出宙斯盾產品優惠,現購買一個月及以上任何檔位高防產品,可免費獲贈一個月的使用時長。點擊鏈接,立即申請產品優惠!
鏈接:https://wj.qq.com/s/2023496/3223
問答
如何防範DDos攻擊?
相關閱讀
【觀點】“雲”時代:網絡安全的中國式突圍
讓子彈多飛一會 | 論如何優化DDoS
深入淺出DDoS攻擊防禦
此文已由作者授權騰訊雲+社區發布,原文鏈接:https://cloud.tencent.com/developer/article/1100719?fromSource=waitui
實戰分享:如何成功防護1.2T國內已知最大流量DDoS攻擊