如何成功防护 1.2T 国内已知最大流量 DDoS 攻击？

DDoS 攻击势头愈演愈烈，除了攻击手法的多样化发展之外，最直接的还是攻击流量的成倍增长。3 月份国内的最大规模 DDoS 攻击纪录还停留在数百 G 规模，4 月，这个数据已经突破 T 级，未来不可期，我们唯有保持警惕之心，技术上稳打稳扎，以应对 DDoS 攻击卷起的血雨腥风。4 月 8 日，腾讯云成功防御了 1.2Tbps 的超大流量攻击，也是目前国内已知的最大攻击流量，这篇文章就此次攻防事件简单地为大家做一个梳理和分析。

国内已知最大攻击流量来袭

4 月 8 日，清明节后第一个工作日，腾讯云一个重要的棋牌游戏客户突然遭受大流量 DDoS 攻击，棋牌类游戏遭受攻击习以为常，但是本轮攻击流量峰值竟达到了 1.23Tbps，刷新国内 DDoS 攻击最大流量记录。

不过凭借腾讯云超大防护带宽以及腾讯安全平台部十余年 DDoS 防护技术积累的支撑下，腾讯云携手该棋牌游戏客户成功防护了这次超大流量攻击，护航客户棋牌业务稳定运行。

那么这么大的攻击怎么来的呢？又是怎么被成功防护的呢？

分析

本次攻击手法主要为拥塞带宽型攻击手法（SSDP 反射，攻击原理下文介绍），在总体流量中占比 97%，攻击流量达 1.2Tbps，和协议缺陷型（SYNFLOOD 和 ACKFLOOD），在总体流量中占比 3%。

▌## SSDP 反射

只要对 DDoS 有一定认知的同学，肯定不会对 SSDP 反射攻击陌生，作为现网最常见的 DDoS 攻击手法之一，SSDP 反射由于可用的反射终端数量庞大，放大系数可观，而备受攻击者青睐。

在攻击思路上跟其他反射攻击一样，攻击者发起 SSDP 反射的大致过程为：

• 通过 IP 地址欺骗方式，攻击者伪造目标服务器 IP，向开放 SSDP 服务的终端发起请求；

• 由于协议设计缺陷，SSDP 服务无法判断请求是否伪造，并向目标服务器进行响应。就这样数量极其庞大的 SSDP 响应报文同时发往被攻击服务器；

• 更可怕的是在特定请求下，一个 SSDP 请求报文可以触发多个响应报文，而每个响应报文比请求报文体积更大，最终造成攻击流量约为 30 倍的放大。

来源 IP 分析

本次攻击共采集到攻击源 16.6 万个。其中国内占比 68%，海外占比 32%，TOP 3 国家分别是：中国(68%)、俄罗斯(13%)、美国(8%)。

在国内方面，攻击主要来源省份：山东省(40%)、辽宁省(20%)、河北省(16%)等环渤海区域，其次是浙江省(10%)、台湾省(9%)。

国内攻击源的主要运营商来源为中国电信(占比 66%)和中国联通(占比 24%)。

在攻击源属性方面，主要来自于个人 PC，占比 57%，IDC 服务器占比 28%，值得注意的是，物联网设备在此次攻击源中占比达到 15%。攻击者在攻击武器方面，物联网设备作为攻击源的数量呈明显增长趋势。眼下物联网设备安全问题不容忽视。

由此可见，公网上开放 SSDP 服务的终端数量非常庞大，而且分布广泛，为攻击者实施攻击带来便利。

防护方案

为了有效防护 DDoS 攻击，建议游戏厂商和开发者做好以下几个事项。

(1)预估攻击风险，必要时接入高防

不同类型的业务遭受外部 DDoS 攻击的风险完全不一样。所以运营者应根据自身行业的攻击威胁态势，以及自己业务历史遭受的 DDoS 攻击情况，来判断是否会被黑产"盯上"及是否需要接入高防。

而不可不提的是，游戏行业的高利润、行业恶性竞争等因素决定了该行业成为 DDoS 的高发区。根据腾讯云数据统计表明，超过 66%的 DDoS 和 CC 攻击均针对游戏业务。所以对于游戏业务运营者来说，更需预估攻击威胁，必要时接入高防，方能保障业务稳定运行。

(2)接入高防后，切勿暴露源站

接入高防后，腾讯云会分配专门的高防代理 IP，而为了避免黑客直接攻击源站，此时必须要注意：隐藏源站 IP！

• 接入高防前的源站 IP 不能再使用(已经暴露)；

• 梳理游戏逻辑，确认游戏逻辑不会暴露源站 IP；

• 对服务器做安全扫描，避免被植入后门。

(3)基于业务特性，定制防护策略

接入高防后可以通过高防 IP 的超大带宽抵抗大流量 DDoS 攻击，但是黑客往往会在大流量攻击同时混杂着消耗服务器资源的小流量攻击，如本轮攻击除了 SSDP 反射和 SYNFLOOD 还夹杂着 CC 攻击。故为了达到更优的防护效果，可以咨询腾讯云游戏安全团队：基于业务特性，深度定制防护策略。策略定制常见的维度包括：

• 梳理业务协议和端口情况，封禁非必要协议和端口，减少被攻击面

• 对 HTTP 业务，可在控制台上根据实际情况配置 CC 防护，提前防备 CC 攻击。

• 如果是私有协议，可以让腾讯云游戏安全团队介入。团队可对业务流量进行统计分析，并深度定制防护策略，以有效解决各种疑难杂症。例如该客户历史还遭受过四层 CC 攻击，腾讯云游戏安全团队深度定制策略，有效防护，业务稳定运行！

备注：四层 CC 攻击是指黑客控制肉鸡对目的服务器建立 TCP 连接后模拟业务流量发起攻击，耗尽服务器资源的攻击手法。

总结

只要有利益的地方就竞争，只要有互联网的地方就会有 DDoS 攻击。我们建议游戏厂商和开发者提前评估业务风险、选择可信赖的云服务商，必要情况下购买高防服务，与专家团队深度定制防护方案，有力保障好游戏安全生命线。

腾讯云限时推出新一代高防产品优惠，现购买一个月及以上任何档位高防产品，可免费获赠一个月的使用时长。

本文转载自公众号云加社区（ID：QcloudCommunity）。

原文链接：

https://mp.weixin.qq.com/s/zKHeFih_sbbXZpJd7tK3Mg