发布在即!企业 AIGC 应用程度测评,3 步定制专属评估报告。抢首批测评权益>>> 了解详情
写点什么

如何成功防护 1.2T 国内已知最大流量 DDoS 攻击?

  • 2019-10-28
  • 本文字数:2066 字

    阅读完需:约 7 分钟

如何成功防护1.2T国内已知最大流量DDoS攻击?

DDoS 攻击势头愈演愈烈,除了攻击手法的多样化发展之外,最直接的还是攻击流量的成倍增长。3 月份国内的最大规模 DDoS 攻击纪录还停留在数百 G 规模,4 月,这个数据已经突破 T 级,未来不可期,我们唯有保持警惕之心,技术上稳打稳扎,以应对 DDoS 攻击卷起的血雨腥风。4 月 8 日,腾讯云成功防御了 1.2Tbps 的超大流量攻击,也是目前国内已知的最大攻击流量,这篇文章就此次攻防事件简单地为大家做一个梳理和分析。

国内已知最大攻击流量来袭

4 月 8 日,清明节后第一个工作日,腾讯云一个重要的棋牌游戏客户突然遭受大流量 DDoS 攻击,棋牌类游戏遭受攻击习以为常,但是本轮攻击流量峰值竟达到了 1.23Tbps,刷新国内 DDoS 攻击最大流量记录。



不过凭借腾讯云超大防护带宽以及腾讯安全平台部十余年 DDoS 防护技术积累的支撑下,腾讯云携手该棋牌游戏客户成功防护了这次超大流量攻击,护航客户棋牌业务稳定运行。


那么这么大的攻击怎么来的呢?又是怎么被成功防护的呢?

分析

本次攻击手法主要为拥塞带宽型攻击手法(SSDP 反射,攻击原理下文介绍),在总体流量中占比 97%,攻击流量达 1.2Tbps,和协议缺陷型(SYNFLOOD 和 ACKFLOOD),在总体流量中占比 3%。


▌## SSDP 反射


只要对 DDoS 有一定认知的同学,肯定不会对 SSDP 反射攻击陌生,作为现网最常见的 DDoS 攻击手法之一,SSDP 反射由于可用的反射终端数量庞大,放大系数可观,而备受攻击者青睐。


在攻击思路上跟其他反射攻击一样,攻击者发起 SSDP 反射的大致过程为:


  • 通过 IP 地址欺骗方式,攻击者伪造目标服务器 IP,向开放 SSDP 服务的终端发起请求;

  • 由于协议设计缺陷,SSDP 服务无法判断请求是否伪造,并向目标服务器进行响应。就这样数量极其庞大的 SSDP 响应报文同时发往被攻击服务器;

  • 更可怕的是在特定请求下,一个 SSDP 请求报文可以触发多个响应报文,而每个响应报文比请求报文体积更大,最终造成攻击流量约为 30 倍的放大。


来源 IP 分析

本次攻击共采集到攻击源 16.6 万个。其中国内占比 68%,海外占比 32%,TOP 3 国家分别是:中国(68%)、俄罗斯(13%)、美国(8%)。



在国内方面,攻击主要来源省份:山东省(40%)、辽宁省(20%)、河北省(16%)等环渤海区域,其次是浙江省(10%)、台湾省(9%)。



国内攻击源的主要运营商来源为中国电信(占比 66%)和中国联通(占比 24%)。



在攻击源属性方面,主要来自于个人 PC,占比 57%,IDC 服务器占比 28%,值得注意的是,物联网设备在此次攻击源中占比达到 15%。攻击者在攻击武器方面,物联网设备作为攻击源的数量呈明显增长趋势。眼下物联网设备安全问题不容忽视。



由此可见,公网上开放 SSDP 服务的终端数量非常庞大,而且分布广泛,为攻击者实施攻击带来便利。

防护方案

为了有效防护 DDoS 攻击,建议游戏厂商和开发者做好以下几个事项。

(1)预估攻击风险,必要时接入高防

不同类型的业务遭受外部 DDoS 攻击的风险完全不一样。所以运营者应根据自身行业的攻击威胁态势,以及自己业务历史遭受的 DDoS 攻击情况,来判断是否会被黑产"盯上"及是否需要接入高防。


而不可不提的是,游戏行业的高利润、行业恶性竞争等因素决定了该行业成为 DDoS 的高发区。根据腾讯云数据统计表明,超过 66%的 DDoS 和 CC 攻击均针对游戏业务。所以对于游戏业务运营者来说,更需预估攻击威胁,必要时接入高防,方能保障业务稳定运行。

(2)接入高防后,切勿暴露源站

接入高防后,腾讯云会分配专门的高防代理 IP,而为了避免黑客直接攻击源站,此时必须要注意:隐藏源站 IP!


  • 接入高防前的源站 IP 不能再使用(已经暴露);

  • 梳理游戏逻辑,确认游戏逻辑不会暴露源站 IP;

  • 对服务器做安全扫描,避免被植入后门。

(3)基于业务特性,定制防护策略

接入高防后可以通过高防 IP 的超大带宽抵抗大流量 DDoS 攻击,但是黑客往往会在大流量攻击同时混杂着消耗服务器资源的小流量攻击,如本轮攻击除了 SSDP 反射和 SYNFLOOD 还夹杂着 CC 攻击。故为了达到更优的防护效果,可以咨询腾讯云游戏安全团队:基于业务特性,深度定制防护策略。策略定制常见的维度包括:


  • 梳理业务协议和端口情况,封禁非必要协议和端口,减少被攻击面

  • 对 HTTP 业务,可在控制台上根据实际情况配置 CC 防护,提前防备 CC 攻击。

  • 如果是私有协议,可以让腾讯云游戏安全团队介入。团队可对业务流量进行统计分析,并深度定制防护策略,以有效解决各种疑难杂症。例如该客户历史还遭受过四层 CC 攻击,腾讯云游戏安全团队深度定制策略,有效防护,业务稳定运行!


备注:四层 CC 攻击是指黑客控制肉鸡对目的服务器建立 TCP 连接后模拟业务流量发起攻击,耗尽服务器资源的攻击手法。

总结

只要有利益的地方就竞争,只要有互联网的地方就会有 DDoS 攻击。我们建议游戏厂商和开发者提前评估业务风险、选择可信赖的云服务商,必要情况下购买高防服务,与专家团队深度定制防护方案,有力保障好游戏安全生命线。


腾讯云限时推出新一代高防产品优惠,现购买一个月及以上任何档位高防产品,可免费获赠一个月的使用时长。


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接:


https://mp.weixin.qq.com/s/zKHeFih_sbbXZpJd7tK3Mg


2019-10-28 16:402402

评论

发布
暂无评论
发现更多内容

什么是软件定制开发?|app网站小程序定制

Geek_16d138

网站建设 app定制开发 软件定制开发

InDesign 2024 for mac(页面设计和版面应用程序)

展初云

adobe Mac软件 InDesign 2024 下载 InDesign

关于圆通物流在AppLink上的操作

RestCloud

APPlink

四载磨砺,一群青年“识瘤者”以AI助力医疗创新

华为云开发者联盟

人工智能 华为云 华为云开发者联盟 先锋开发者云上说

学习指南:如何快速上手媒体生态一致体验开发

HarmonyOS开发者

HarmonyOS

如何用AB测试完善产品激励体系

字节跳动数据平台

大数据 A/B 测试 对比实验

业内首发!用友BIP全球司库助力大型企业实现虚假贸易“零容忍”!

用友BIP

全球司库 虚假贸易

轻松一刻|Walrus CLI与CI/CD工具集成,轻松部署2048游戏

SEAL安全

游戏 CI/CD Walrus 企业号11月PK榜

浅析建筑行业财务管理数智化转型

用友BIP

企业数智化

【Spring Cloud 】基于微服务架构的智慧工地云平台源码带APP

源码星辰

智慧工地 智慧工地云平台

CPU 程序性能优化

MegEngineBot

性能优化 cpu 硬件 编译器

数据库大事记

小齐写代码

基于数据中台的过程看板助力光伏单晶行业管理提升

用友BIP

数据中台

观测云产品更新 | 监控、图表、服务管理、单点登录、Pipeline 等优化

观测云

数据库 pipeline 单点登录

利用ETLCloud自动化流程实现业务系统数据快速同步至数仓

RestCloud

ETL

编程和数学计算软件MATLAB R2023b for Mac v23.2.0

展初云

matlab Mac软件 MATLAB R2023b

The Foundry Nuke 15 for Mac(电影特效合成软件)

展初云

Mac nuke 特效合成软件

OmniGraffle Pro 7 for mac(绘图软件)

展初云

Mac OmniGraffle Pro 专业绘图软件

如何基于亚马逊云科技打造高性能的 SQL 向量数据库 MyScale

亚马逊云科技 (Amazon Web Services)

机器学习 深度学习 存储 Amazon EC2 向量数据库

在小红书认识不到一周,我和TA成为了同事

用友BIP

智能招聘

如何充分压榨一台EC2

申屠鹏会

主流的第三方直播SDK对比(腾讯云、即构、阿里云、声网、网易云信、网宿)

音视频开发_AIZ

实时音视频 直播技术 SDK测试 音视频开发 直播间

陈长城:NineData面向Doris实时数仓集成的技术实践

NineData

数据库 实时数仓 Doris 玖章算术 NineData

喜讯!云起无垠入选《2023年中国AIGC创新企业榜》

云起无垠

异构集成:财务共享如何成为数据聚合、分发的控制枢纽

用友BIP

财务共享

预发部署时机器总是重启两次的“简单”排查

阿里技术

部署 故障排查 排查 预发 重启

如何成功防护1.2T国内已知最大流量DDoS攻击?_安全_腾讯安全平台部_InfoQ精选文章