QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

如何成功防护 1.2T 国内已知最大流量 DDoS 攻击?

  • 2019-10-28
  • 本文字数:2066 字

    阅读完需:约 7 分钟

如何成功防护1.2T国内已知最大流量DDoS攻击?

DDoS 攻击势头愈演愈烈,除了攻击手法的多样化发展之外,最直接的还是攻击流量的成倍增长。3 月份国内的最大规模 DDoS 攻击纪录还停留在数百 G 规模,4 月,这个数据已经突破 T 级,未来不可期,我们唯有保持警惕之心,技术上稳打稳扎,以应对 DDoS 攻击卷起的血雨腥风。4 月 8 日,腾讯云成功防御了 1.2Tbps 的超大流量攻击,也是目前国内已知的最大攻击流量,这篇文章就此次攻防事件简单地为大家做一个梳理和分析。

国内已知最大攻击流量来袭

4 月 8 日,清明节后第一个工作日,腾讯云一个重要的棋牌游戏客户突然遭受大流量 DDoS 攻击,棋牌类游戏遭受攻击习以为常,但是本轮攻击流量峰值竟达到了 1.23Tbps,刷新国内 DDoS 攻击最大流量记录。



不过凭借腾讯云超大防护带宽以及腾讯安全平台部十余年 DDoS 防护技术积累的支撑下,腾讯云携手该棋牌游戏客户成功防护了这次超大流量攻击,护航客户棋牌业务稳定运行。


那么这么大的攻击怎么来的呢?又是怎么被成功防护的呢?

分析

本次攻击手法主要为拥塞带宽型攻击手法(SSDP 反射,攻击原理下文介绍),在总体流量中占比 97%,攻击流量达 1.2Tbps,和协议缺陷型(SYNFLOOD 和 ACKFLOOD),在总体流量中占比 3%。


▌## SSDP 反射


只要对 DDoS 有一定认知的同学,肯定不会对 SSDP 反射攻击陌生,作为现网最常见的 DDoS 攻击手法之一,SSDP 反射由于可用的反射终端数量庞大,放大系数可观,而备受攻击者青睐。


在攻击思路上跟其他反射攻击一样,攻击者发起 SSDP 反射的大致过程为:


  • 通过 IP 地址欺骗方式,攻击者伪造目标服务器 IP,向开放 SSDP 服务的终端发起请求;

  • 由于协议设计缺陷,SSDP 服务无法判断请求是否伪造,并向目标服务器进行响应。就这样数量极其庞大的 SSDP 响应报文同时发往被攻击服务器;

  • 更可怕的是在特定请求下,一个 SSDP 请求报文可以触发多个响应报文,而每个响应报文比请求报文体积更大,最终造成攻击流量约为 30 倍的放大。


来源 IP 分析

本次攻击共采集到攻击源 16.6 万个。其中国内占比 68%,海外占比 32%,TOP 3 国家分别是:中国(68%)、俄罗斯(13%)、美国(8%)。



在国内方面,攻击主要来源省份:山东省(40%)、辽宁省(20%)、河北省(16%)等环渤海区域,其次是浙江省(10%)、台湾省(9%)。



国内攻击源的主要运营商来源为中国电信(占比 66%)和中国联通(占比 24%)。



在攻击源属性方面,主要来自于个人 PC,占比 57%,IDC 服务器占比 28%,值得注意的是,物联网设备在此次攻击源中占比达到 15%。攻击者在攻击武器方面,物联网设备作为攻击源的数量呈明显增长趋势。眼下物联网设备安全问题不容忽视。



由此可见,公网上开放 SSDP 服务的终端数量非常庞大,而且分布广泛,为攻击者实施攻击带来便利。

防护方案

为了有效防护 DDoS 攻击,建议游戏厂商和开发者做好以下几个事项。

(1)预估攻击风险,必要时接入高防

不同类型的业务遭受外部 DDoS 攻击的风险完全不一样。所以运营者应根据自身行业的攻击威胁态势,以及自己业务历史遭受的 DDoS 攻击情况,来判断是否会被黑产"盯上"及是否需要接入高防。


而不可不提的是,游戏行业的高利润、行业恶性竞争等因素决定了该行业成为 DDoS 的高发区。根据腾讯云数据统计表明,超过 66%的 DDoS 和 CC 攻击均针对游戏业务。所以对于游戏业务运营者来说,更需预估攻击威胁,必要时接入高防,方能保障业务稳定运行。

(2)接入高防后,切勿暴露源站

接入高防后,腾讯云会分配专门的高防代理 IP,而为了避免黑客直接攻击源站,此时必须要注意:隐藏源站 IP!


  • 接入高防前的源站 IP 不能再使用(已经暴露);

  • 梳理游戏逻辑,确认游戏逻辑不会暴露源站 IP;

  • 对服务器做安全扫描,避免被植入后门。

(3)基于业务特性,定制防护策略

接入高防后可以通过高防 IP 的超大带宽抵抗大流量 DDoS 攻击,但是黑客往往会在大流量攻击同时混杂着消耗服务器资源的小流量攻击,如本轮攻击除了 SSDP 反射和 SYNFLOOD 还夹杂着 CC 攻击。故为了达到更优的防护效果,可以咨询腾讯云游戏安全团队:基于业务特性,深度定制防护策略。策略定制常见的维度包括:


  • 梳理业务协议和端口情况,封禁非必要协议和端口,减少被攻击面

  • 对 HTTP 业务,可在控制台上根据实际情况配置 CC 防护,提前防备 CC 攻击。

  • 如果是私有协议,可以让腾讯云游戏安全团队介入。团队可对业务流量进行统计分析,并深度定制防护策略,以有效解决各种疑难杂症。例如该客户历史还遭受过四层 CC 攻击,腾讯云游戏安全团队深度定制策略,有效防护,业务稳定运行!


备注:四层 CC 攻击是指黑客控制肉鸡对目的服务器建立 TCP 连接后模拟业务流量发起攻击,耗尽服务器资源的攻击手法。

总结

只要有利益的地方就竞争,只要有互联网的地方就会有 DDoS 攻击。我们建议游戏厂商和开发者提前评估业务风险、选择可信赖的云服务商,必要情况下购买高防服务,与专家团队深度定制防护方案,有力保障好游戏安全生命线。


腾讯云限时推出新一代高防产品优惠,现购买一个月及以上任何档位高防产品,可免费获赠一个月的使用时长。


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接:


https://mp.weixin.qq.com/s/zKHeFih_sbbXZpJd7tK3Mg


2019-10-28 16:403111

评论

发布
暂无评论
发现更多内容

《CPython Internals》阅读笔记:p232-p249

codists

CPython Internals

McAfee Endpoint Security for Mac(迈克菲防病毒软件)v10.7.8激活版

Rose

我国数字经济创稳中求进

芯盾时代

数字经济

Native Instruments Traktor Pro破解版(数字DJ音乐制作平台)-Mac/win

Rose

Seata 源码

京东科技开发者

Cisco ACI Simulator 6.1(2g) - ACI 模拟器

sysin

ACI

分布式系统架构8:分布式缓存

卷福同学

Java redis 分布式 后端 分布式缓存

内部信息流出!37天GeeLark云手机直接薅!!

kookeey代理严选

亚马逊运营 跨境电商运营 海外IP代理 Tiktok shop 指纹浏览器

赢取 600 万 ACA!Acala Meme & DApp 大赛火热开启

One Block Community

技术 比赛 web3

荣耀换帅,一艘AI巨轮的舵手更替会带来什么?

脑极体

AI

苹果电脑装机必备精美日历软件:CalendarX for mac

Rose

AI英语阅读理解APP的主要功能

北京木奇移动技术有限公司

软件外包公司 AI口语练习 AI英语练习

PHP进阶-在Ubuntu上搭建LAMP环境教程

Damon小智

php ubuntu 开发语言 LAMP

苹果Mac受欢迎的翻译工具 iTranslate中文版

Rose

Mac解压缩zip工具 Unzip Expert-Zip file tool for Mac v1.4.0激活版

Rose

微信小程序-Docker+Nginx环境配置业务域名验证文件

Damon小智

小程序 微信 容器 运维、 docker、

链接全球创新力量|2024 波卡黑客松曼谷站获奖团队专访

One Block Community

黑客松 web3 波卡

CHM Viewer Star for mac(CHM阅读器)v6.3.4直装激活版

Rose

Little Snitch 4 for Mac(小飞贼系统防火墙软件) v4.4.3稳定激活版

Rose

linux分区数据读取工具 Paragon extFS for Mac v11.3.30永久激活版

Rose

Ample Sound Ample Guitar Stratocaster for Mac(电吉他音源)v3.1.0 激活版

Rose

Parallels Toolbox for mac(工具箱合集)v7.0.0商业版

Rose

使用贪心算法解决最小生成树问题

威哥爱编程

Python 算法

大数据平台Bug Bash大扫除最佳实践

京东科技开发者

分布式日志追踪ID实战

京东科技开发者

有救了!泼天的流量用最大的数据湖

阿里云大数据AI技术

大数据 阿里云 数据湖 DLF

mac系统克隆工具 Clone X for Mac v4.3.2激活版

Rose

Mac ftp文件传输工具 SecureFX注册激活版

Rose

如何成功防护1.2T国内已知最大流量DDoS攻击?_安全_腾讯安全平台部_InfoQ精选文章