写点什么

如何成功防护 1.2T 国内已知最大流量 DDoS 攻击?

  • 2019 年 10 月 28 日
  • 本文字数:2066 字

    阅读完需:约 7 分钟

如何成功防护1.2T国内已知最大流量DDoS攻击?

DDoS 攻击势头愈演愈烈,除了攻击手法的多样化发展之外,最直接的还是攻击流量的成倍增长。3 月份国内的最大规模 DDoS 攻击纪录还停留在数百 G 规模,4 月,这个数据已经突破 T 级,未来不可期,我们唯有保持警惕之心,技术上稳打稳扎,以应对 DDoS 攻击卷起的血雨腥风。4 月 8 日,腾讯云成功防御了 1.2Tbps 的超大流量攻击,也是目前国内已知的最大攻击流量,这篇文章就此次攻防事件简单地为大家做一个梳理和分析。


国内已知最大攻击流量来袭

4 月 8 日,清明节后第一个工作日,腾讯云一个重要的棋牌游戏客户突然遭受大流量 DDoS 攻击,棋牌类游戏遭受攻击习以为常,但是本轮攻击流量峰值竟达到了 1.23Tbps,刷新国内 DDoS 攻击最大流量记录。



不过凭借腾讯云超大防护带宽以及腾讯安全平台部十余年 DDoS 防护技术积累的支撑下,腾讯云携手该棋牌游戏客户成功防护了这次超大流量攻击,护航客户棋牌业务稳定运行。


那么这么大的攻击怎么来的呢?又是怎么被成功防护的呢?


分析

本次攻击手法主要为拥塞带宽型攻击手法(SSDP 反射,攻击原理下文介绍),在总体流量中占比 97%,攻击流量达 1.2Tbps,和协议缺陷型(SYNFLOOD 和 ACKFLOOD),在总体流量中占比 3%。


▌## SSDP 反射


只要对 DDoS 有一定认知的同学,肯定不会对 SSDP 反射攻击陌生,作为现网最常见的 DDoS 攻击手法之一,SSDP 反射由于可用的反射终端数量庞大,放大系数可观,而备受攻击者青睐。


在攻击思路上跟其他反射攻击一样,攻击者发起 SSDP 反射的大致过程为:


  • 通过 IP 地址欺骗方式,攻击者伪造目标服务器 IP,向开放 SSDP 服务的终端发起请求;

  • 由于协议设计缺陷,SSDP 服务无法判断请求是否伪造,并向目标服务器进行响应。就这样数量极其庞大的 SSDP 响应报文同时发往被攻击服务器;

  • 更可怕的是在特定请求下,一个 SSDP 请求报文可以触发多个响应报文,而每个响应报文比请求报文体积更大,最终造成攻击流量约为 30 倍的放大。



来源 IP 分析

本次攻击共采集到攻击源 16.6 万个。其中国内占比 68%,海外占比 32%,TOP 3 国家分别是:中国(68%)、俄罗斯(13%)、美国(8%)。



在国内方面,攻击主要来源省份:山东省(40%)、辽宁省(20%)、河北省(16%)等环渤海区域,其次是浙江省(10%)、台湾省(9%)。



国内攻击源的主要运营商来源为中国电信(占比 66%)和中国联通(占比 24%)。



在攻击源属性方面,主要来自于个人 PC,占比 57%,IDC 服务器占比 28%,值得注意的是,物联网设备在此次攻击源中占比达到 15%。攻击者在攻击武器方面,物联网设备作为攻击源的数量呈明显增长趋势。眼下物联网设备安全问题不容忽视。



由此可见,公网上开放 SSDP 服务的终端数量非常庞大,而且分布广泛,为攻击者实施攻击带来便利。


防护方案

为了有效防护 DDoS 攻击,建议游戏厂商和开发者做好以下几个事项。


(1)预估攻击风险,必要时接入高防

不同类型的业务遭受外部 DDoS 攻击的风险完全不一样。所以运营者应根据自身行业的攻击威胁态势,以及自己业务历史遭受的 DDoS 攻击情况,来判断是否会被黑产"盯上"及是否需要接入高防。


而不可不提的是,游戏行业的高利润、行业恶性竞争等因素决定了该行业成为 DDoS 的高发区。根据腾讯云数据统计表明,超过 66%的 DDoS 和 CC 攻击均针对游戏业务。所以对于游戏业务运营者来说,更需预估攻击威胁,必要时接入高防,方能保障业务稳定运行。


(2)接入高防后,切勿暴露源站

接入高防后,腾讯云会分配专门的高防代理 IP,而为了避免黑客直接攻击源站,此时必须要注意:隐藏源站 IP!


  • 接入高防前的源站 IP 不能再使用(已经暴露);

  • 梳理游戏逻辑,确认游戏逻辑不会暴露源站 IP;

  • 对服务器做安全扫描,避免被植入后门。


(3)基于业务特性,定制防护策略

接入高防后可以通过高防 IP 的超大带宽抵抗大流量 DDoS 攻击,但是黑客往往会在大流量攻击同时混杂着消耗服务器资源的小流量攻击,如本轮攻击除了 SSDP 反射和 SYNFLOOD 还夹杂着 CC 攻击。故为了达到更优的防护效果,可以咨询腾讯云游戏安全团队:基于业务特性,深度定制防护策略。策略定制常见的维度包括:


  • 梳理业务协议和端口情况,封禁非必要协议和端口,减少被攻击面

  • 对 HTTP 业务,可在控制台上根据实际情况配置 CC 防护,提前防备 CC 攻击。

  • 如果是私有协议,可以让腾讯云游戏安全团队介入。团队可对业务流量进行统计分析,并深度定制防护策略,以有效解决各种疑难杂症。例如该客户历史还遭受过四层 CC 攻击,腾讯云游戏安全团队深度定制策略,有效防护,业务稳定运行!


备注:四层 CC 攻击是指黑客控制肉鸡对目的服务器建立 TCP 连接后模拟业务流量发起攻击,耗尽服务器资源的攻击手法。


总结

只要有利益的地方就竞争,只要有互联网的地方就会有 DDoS 攻击。我们建议游戏厂商和开发者提前评估业务风险、选择可信赖的云服务商,必要情况下购买高防服务,与专家团队深度定制防护方案,有力保障好游戏安全生命线。


腾讯云限时推出新一代高防产品优惠,现购买一个月及以上任何档位高防产品,可免费获赠一个月的使用时长。


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接:


https://mp.weixin.qq.com/s/zKHeFih_sbbXZpJd7tK3Mg


2019 年 10 月 28 日 16:401804

评论

发布
暂无评论
发现更多内容

极客时间 - 架构师训练营 - week1 - 课堂笔记

毛聪

极客大学架构师训练营

就餐卡系统设计

永远不要低估一颗冠军的心

极客大学架构师训练营

开启“观察者模式”,跳出灵魂看自己

小天同学

日常思考 个人感悟

推荐几款基于 Markdown 语法在线制作简历的平台

JackTian

GitHub 网站 markdown 简历 工具软件

Hyperledger Fabric基础知识

程序那些事

区块链 以太坊 超级账本 hyperledger fabric

标题

lai

深圳各大知名办公园区引进 GoWork 智能楼宇管理系统,开启商业地产行业的春天

Geek_116789

架构师训练营第一周学习总结

永远不要低估一颗冠军的心

【架构师训练营】第1周作业2—学习总结

花生无翼

架构师训练营第一周总结

极客大学架构师训练营

作业二:根据当周学习情况,完成一篇学习总结

LN

第一周练习1 食堂就餐卡系统设计

王鑫龙

极客大学架构师训练营

Week1 总结

TiK

极客大学架构师训练营

ARTS-第一周

爱睡的猫

食堂就餐卡系统设计

TiK

作业一:食堂就餐卡系统设计

LN

食堂就餐卡系统设计

戴维斯

S型曲线 - 第二曲线

石云升

创新 增长 S型理论 第二曲线 破坏式创新

架构师训练营 - 第一周 - 学习总结

韩挺

Fabric的6大特性

程序那些事

区块链 blockchain 区块链技术 hyperledger fabric

架构师0期作业-20200606

caibird1984

极客大学架构师训练营

PostgreSQL权限控制

唯爱

如何使用UML做需求分析与系统架构

已昏懒人

UML 架构文档

数据结构与算法之数组链表

shirley

数组 链表

架构师训练营第一周总结

Linuxer

极客大学架构师训练营

怎样才能像月「睡后收入」 20 万的独立开发者一样挣钱?

非著名程序员

程序员 独立开发者 程序人生 提升认知

读笔 | 听说你也想辞职去摆摊?何不先收下这份秘籍

张鸱鸺

读书笔记 摆地摊 社会话题

食堂就餐卡系统架构设计文档

竹森先生

极客大学 架构设计 极客大学架构师训练营

【架构师训练营】第 1 周作业1—食堂就餐卡系统设计

花生无翼

极客大学架构师训练营

架构师训练营 - 第一周 - 食堂就餐卡系统设计

韩挺

分布式账本简介

程序那些事

区块链 分布式系统 区块链技术 hyperledger fabric

如何成功防护1.2T国内已知最大流量DDoS攻击?_安全_腾讯安全平台部_InfoQ精选文章