写点什么

如何成功防护 1.2T 国内已知最大流量 DDoS 攻击?

  • 2019-10-28
  • 本文字数:2066 字

    阅读完需:约 7 分钟

如何成功防护1.2T国内已知最大流量DDoS攻击?

DDoS 攻击势头愈演愈烈,除了攻击手法的多样化发展之外,最直接的还是攻击流量的成倍增长。3 月份国内的最大规模 DDoS 攻击纪录还停留在数百 G 规模,4 月,这个数据已经突破 T 级,未来不可期,我们唯有保持警惕之心,技术上稳打稳扎,以应对 DDoS 攻击卷起的血雨腥风。4 月 8 日,腾讯云成功防御了 1.2Tbps 的超大流量攻击,也是目前国内已知的最大攻击流量,这篇文章就此次攻防事件简单地为大家做一个梳理和分析。

国内已知最大攻击流量来袭

4 月 8 日,清明节后第一个工作日,腾讯云一个重要的棋牌游戏客户突然遭受大流量 DDoS 攻击,棋牌类游戏遭受攻击习以为常,但是本轮攻击流量峰值竟达到了 1.23Tbps,刷新国内 DDoS 攻击最大流量记录。



不过凭借腾讯云超大防护带宽以及腾讯安全平台部十余年 DDoS 防护技术积累的支撑下,腾讯云携手该棋牌游戏客户成功防护了这次超大流量攻击,护航客户棋牌业务稳定运行。


那么这么大的攻击怎么来的呢?又是怎么被成功防护的呢?

分析

本次攻击手法主要为拥塞带宽型攻击手法(SSDP 反射,攻击原理下文介绍),在总体流量中占比 97%,攻击流量达 1.2Tbps,和协议缺陷型(SYNFLOOD 和 ACKFLOOD),在总体流量中占比 3%。


▌## SSDP 反射


只要对 DDoS 有一定认知的同学,肯定不会对 SSDP 反射攻击陌生,作为现网最常见的 DDoS 攻击手法之一,SSDP 反射由于可用的反射终端数量庞大,放大系数可观,而备受攻击者青睐。


在攻击思路上跟其他反射攻击一样,攻击者发起 SSDP 反射的大致过程为:


  • 通过 IP 地址欺骗方式,攻击者伪造目标服务器 IP,向开放 SSDP 服务的终端发起请求;

  • 由于协议设计缺陷,SSDP 服务无法判断请求是否伪造,并向目标服务器进行响应。就这样数量极其庞大的 SSDP 响应报文同时发往被攻击服务器;

  • 更可怕的是在特定请求下,一个 SSDP 请求报文可以触发多个响应报文,而每个响应报文比请求报文体积更大,最终造成攻击流量约为 30 倍的放大。


来源 IP 分析

本次攻击共采集到攻击源 16.6 万个。其中国内占比 68%,海外占比 32%,TOP 3 国家分别是:中国(68%)、俄罗斯(13%)、美国(8%)。



在国内方面,攻击主要来源省份:山东省(40%)、辽宁省(20%)、河北省(16%)等环渤海区域,其次是浙江省(10%)、台湾省(9%)。



国内攻击源的主要运营商来源为中国电信(占比 66%)和中国联通(占比 24%)。



在攻击源属性方面,主要来自于个人 PC,占比 57%,IDC 服务器占比 28%,值得注意的是,物联网设备在此次攻击源中占比达到 15%。攻击者在攻击武器方面,物联网设备作为攻击源的数量呈明显增长趋势。眼下物联网设备安全问题不容忽视。



由此可见,公网上开放 SSDP 服务的终端数量非常庞大,而且分布广泛,为攻击者实施攻击带来便利。

防护方案

为了有效防护 DDoS 攻击,建议游戏厂商和开发者做好以下几个事项。

(1)预估攻击风险,必要时接入高防

不同类型的业务遭受外部 DDoS 攻击的风险完全不一样。所以运营者应根据自身行业的攻击威胁态势,以及自己业务历史遭受的 DDoS 攻击情况,来判断是否会被黑产"盯上"及是否需要接入高防。


而不可不提的是,游戏行业的高利润、行业恶性竞争等因素决定了该行业成为 DDoS 的高发区。根据腾讯云数据统计表明,超过 66%的 DDoS 和 CC 攻击均针对游戏业务。所以对于游戏业务运营者来说,更需预估攻击威胁,必要时接入高防,方能保障业务稳定运行。

(2)接入高防后,切勿暴露源站

接入高防后,腾讯云会分配专门的高防代理 IP,而为了避免黑客直接攻击源站,此时必须要注意:隐藏源站 IP!


  • 接入高防前的源站 IP 不能再使用(已经暴露);

  • 梳理游戏逻辑,确认游戏逻辑不会暴露源站 IP;

  • 对服务器做安全扫描,避免被植入后门。

(3)基于业务特性,定制防护策略

接入高防后可以通过高防 IP 的超大带宽抵抗大流量 DDoS 攻击,但是黑客往往会在大流量攻击同时混杂着消耗服务器资源的小流量攻击,如本轮攻击除了 SSDP 反射和 SYNFLOOD 还夹杂着 CC 攻击。故为了达到更优的防护效果,可以咨询腾讯云游戏安全团队:基于业务特性,深度定制防护策略。策略定制常见的维度包括:


  • 梳理业务协议和端口情况,封禁非必要协议和端口,减少被攻击面

  • 对 HTTP 业务,可在控制台上根据实际情况配置 CC 防护,提前防备 CC 攻击。

  • 如果是私有协议,可以让腾讯云游戏安全团队介入。团队可对业务流量进行统计分析,并深度定制防护策略,以有效解决各种疑难杂症。例如该客户历史还遭受过四层 CC 攻击,腾讯云游戏安全团队深度定制策略,有效防护,业务稳定运行!


备注:四层 CC 攻击是指黑客控制肉鸡对目的服务器建立 TCP 连接后模拟业务流量发起攻击,耗尽服务器资源的攻击手法。

总结

只要有利益的地方就竞争,只要有互联网的地方就会有 DDoS 攻击。我们建议游戏厂商和开发者提前评估业务风险、选择可信赖的云服务商,必要情况下购买高防服务,与专家团队深度定制防护方案,有力保障好游戏安全生命线。


腾讯云限时推出新一代高防产品优惠,现购买一个月及以上任何档位高防产品,可免费获赠一个月的使用时长。


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接:


https://mp.weixin.qq.com/s/zKHeFih_sbbXZpJd7tK3Mg


2019-10-28 16:403250

评论

发布
暂无评论
发现更多内容

SpringCloud Alibaba微服务实战七 - 分布式事务

AI乔治

Java 架构 微服务 Spring Cloud

SpringCloud Alibaba微服务实战九 - Seata 容器化

AI乔治

Java 架构 微服务 Spring Cloud

如何在ForeSpider数据采集器中设置代理IP

前嗅大数据

大数据 爬虫 数据采集 代理IP 代理IP设置

对话机器人70年:科幻与现实的交融

华为云开发者联盟

AI 机器人 对话

图解 | 不得错过的Binder浅析(二)

哈利迪

android

折半查找和插值查找

ilovealt

算法和数据结构

他在滕王阁上醒来,见到智慧视觉第一城

脑极体

字节跳动的这份《算法中文手册》火了,完整版PDF开放下载!不少小伙伴靠这份指南成功掌握了算法的核心技能,成功拿到了 BATJ等大厂offer。

Java架构之路

Java 程序员 架构 面试 编程语言

朋友不讲武德急催我给他Java干货教程,我劝他耗子尾汁并丢给他一份GitHub上标星115k+的Java教程,他看了之后连忙向我道歉!

Java架构之路

Java 程序员 架构 面试 编程语言

年轻人不讲武德!Security五套「源码级」笔记哪里来的?

小Q

学习 编程 面试 spring security SpringCloud

Docker基础与实战,看这一篇就够了

AI乔治

Java Docker spring 架构

架构师训练营第九周作业

四夕晖

经典之作——《数学之美》第二版-吴军

计算机与AI

数学

百度的五年乌镇行旅:AI如何穿越过漫漫时光,成为世界的发展新动能?

脑极体

奉劝各位准备面试的Java程序员耗子尾汁赶紧扔掉网上那些千篇一律的面试题,这份《写给大忙人看的Java核心技术》能够让你快速复习

Java架构之路

Java 程序员 架构 面试 编程语言

SpringCloud Alibaba微服务实战五 - 限流熔断

AI乔治

Java 架构 微服务 Spring Cloud

SpringCloud Alibaba微服务实战八 - Seata 整合Nacos

AI乔治

Java 架构 微服务 Spring Cloud

智慧公安二维码报警定位系统,高速路二维码定位报警开发

13530558032

SpringCloud Alibaba微服务实战四 - 版本管理

AI乔治

Java 架构 微服务 Spring Cloud

面试 | 程序猿面试,Elasticsearch被坑被虐的体无完肤...

Java架构师迁哥

区块链农产品溯源解决方案,农产品追溯系统价格

13530558032

区块链+数字版权:区块链助力版权保护

13530558032

《华为数据之道》读书笔记:第 2 章 建立企业级数据综合治理体系

方志

数据中台 数据仓库 数字化转型 数据治理

SpringCloud Alibaba微服务实战三 - 服务调用

AI乔治

Java 架构 微服务 Spring Cloud

SpringCloud Alibaba微服务实战六 - 配置隔离

AI乔治

Java 架构 微服务 Spring Cloud

一次带你全面解析Nginx,从安装JDK开始讲起,收藏当手册

996小迁

Java 学习 编程 架构 面试

字节跳动总监总结的开发笔记火了!在知乎上已超5000赞!

Java架构师迁哥

耗子尾汁,你居然还不懂什么是架构师?那你编码为了什么?还不看阿里人怎么判定吗?

小Q

Java 学习 编程 架构 面试

架构师训练营第 1 期 - 第 9 周 - 命题作业

wgl

SpringCloud Alibaba微服务实战十 - 服务网关SpringCloud Gateway

AI乔治

Java 架构 微服务 Spring Cloud

从前世今生聊一聊,大厂为啥亲睐时序数据库

华为云开发者联盟

数据库 场景 时序

如何成功防护1.2T国内已知最大流量DDoS攻击?_安全_腾讯安全平台部_InfoQ精选文章