早期DDoS勒索的对象经常是那些围绕着棋牌游戏网站。攻击者会在赛事开始前发动一次攻击,以此警告网站的运营者,逼迫他们付钱来免遭攻击。但近年来,DDoS攻击已经遍布到各行各业。从电子商务到游戏网站,从竞争对手到合作伙伴。任何有在线业务的企业或机构都可能成为攻击对象,尤其是那些缺乏安全防护的企业。
攻击者一般会采取一到两个步骤:1.实施一段时间的攻击,然后停止;2.索要赎金。有的攻击者,省去第一个步骤,直接要钱。受害者面临两个选择,要么付钱,要么被DDoS。
从2017年6月15日起,“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发起DDoS比特币勒索,现已有超过6家金融证券类企业遭受DDoS攻击勒索,且其中4家已经遭受了大规模的DDoS攻击,攻击流量从2G到20G不等,对企业网络产生了非常严重的影响。而“无敌舰队”组织声称如果企业不按邮件要求按时支付比特币,将进行持续的大规模流量攻击(该组织声称攻击流量可超过1T),并逐步提高勒索比特币数额。
这其实并不是该组织第一次行动了,早在2015年12月,“无敌舰队(Armada Collective)”就开始对中国境内的互联网企业实施同样手法的DDoS攻击的勒索。
本次事件收到的勒索邮件内容如下:
6月10号,德国付款处理公司Computop的一名IT团队成员在公司公开邮箱中收到了一封恐吓信,宣称若在6月15日前不向攻击者支付15比特币(约7900英镑)赎金的话,公司客户网站将会遭到大规模DDoS攻击。
邮件中称,他们已经发起了小型DDoS演示攻击以证明自己的意图。公司IT团队也在检查了监测系统后对此予以了证实。这个威胁确实是货真价实能带来严重后果的,不是空口白话。
邮件中以蹩脚的英语警告道:“如果你们决定不付钱,我们将在预定日期发起攻击,会持续到你们就犯为止。你们抗拒不了,寻找解决方案只会让你们浪费更多金钱。”
“我们会在谷歌和你们客户之间完全摧毁你们的声誉,保证你们的网站在支付赎金之前都上不了线。”
Computop的CEO拉尔夫·格拉迪斯听到这个威胁的时候,他倾向于破财免灾。但在与业界联系人交谈过后,他决定做点不同寻常的事。事实上,是极罕见而令人意想不到的事。
他决定不通过简单地带领公司独自对抗攻击的传统方式迎战,而是准备通告公司5000多名客户和合作伙伴——6月15号那天公司将可能迎来会对每个人都造成重大麻烦的大规模DDoS攻击。
Computop的工程师们已经证实,80-90Gbits/s的攻击强度便足以造成平台宕机,数据中心周边的任何人都无法幸免。
在DDoS攻击发起最后时限前数小时,格拉迪斯又发出了第二封邮件,写道:“我们不打算保持沉默,决定随时通报事情进展。”
“DDoS每天都在发生,他们不可能袭击每个人。这也是为什么我们应该利用商业合作伙伴社区的原因——联合起来,相互学习,确保厄运降临时有所准备。”
2.DDOS防护应急手段
针对本次DDoS攻击事件,下文就目前市场上主流的DDoS防护应急手段,按其差异性和适用场景做了简要对比。
常规的DDoS防护应急方式因其选择的引流技术不同而在实现上有不同的差异性,主要分成以下三种:
1. 本地DDoS防护设备;
2. 运营商清洗服务;
3. 云清洗服务。
三种类型的DDoS防护应急手段引流方式的原理:
了解引流技术原理后,简要阐述各种方式在DDoS应急上的优劣:了解引流技术原理后,简要阐述各种方式在DDoS应急上的优劣:
本地DDoS防护设备:
本地化防护设备,增强了用户监控DDoS监控能力的同时做到了业务安全可控,且设备具备高度可定制化的策略和服务,更加适合通过分析攻击报文,定制策略应对多样化的、针对性的DDoS攻击类型;但当流量型攻击的攻击流量超出互联网链路带宽时,需要借助运营商清洗服务或者云清洗服务来完成攻击流量的清洗。
运营商清洗服务:
运营商采购安全厂家的DDoS防护设备并部署在城域网,通过路由方式引流,和Cname引流方式相比其生效时间更快,运营商通过提清洗服务方式帮助企业用户解决带宽消耗性的拒绝服务攻击;但是运营商清洗服务多是基于Flow方式检测DDoS攻击,且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想,此外部分攻击类型受限于防护算法往往会有透传的攻击报文,此时对于企业用户还需要借助本地DDoS防护设备,实现二级清洗。
云清洗服务:
云清洗服务使用场景较窄,当使用云清洗服务做DDoS应急时,为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题,通常情况下还需要企业用户配合做业务地址更换、Cname引流等操作配置,尤其是业务地址更换导致的实际变更过程可能会出现不能落地的情况。另一方面对于HTTPS Flood防御,当前云清洗服务需要用户上传HTTPS业务私钥证书,可操作性不强。此外业务流量导入到云平台,对业务数据安全性也提出了挑战。
对比了三种方式的不同和适用场景,我们会发现单一解决方案不能完成所有DDoS攻击清洗,推荐企业用户在实际情况下可以组合本地DDoS防护设备+运营商清洗服务或者本地DDoS防护设备+云清洗服务,实现分层清洗的效果。针对金融行业,更推荐的组合方案是本地DDoS防护设备+运营商清洗服务。对于选择云清洗服务的用户,如果只是在DDoS攻击发生时才选择将流量导入到云清洗平台,需要做好备用业务地址的更换预配置(新业务地址不可泄露,否则一旦被攻击者获悉将会失去其意义)。
3.DDOS防护实践总结
借鉴DDoS攻防工程师总结的经验,企业客户在DDoS防护体系建设上通常需要开展的工作有:
应用系统开发过程中持续消除性能瓶颈,提升性能
通过各类优化技术,提升应用系统的并发、新建以及数据库查询等能力,减少应用型DDOS攻击类型的潜在危害;
定期扫描和加固自身业务设备
定期扫描现有的网络主节点及主机,清查可能存在的安全漏洞和不规范的安全配置,对新出现的漏洞及时进行清理,对于需要加强安全配置的参数进行加固;
确保资源冗余,提升耐打能力
建立多节点负载均衡,配备多线路高带宽,配备强大的运算能力,借此“吸收”DDoS攻击;
服务最小化,关停不必要的服务和端口
关停不必要的服务和端口,实现服务最小化,例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率;
选择专业的产品和服务
三分产品技术,七分设计服务,除了防护产品本身的功能、性能、稳定性,易用性等方面,还需要考虑防护产品厂家的技术实力,服务和支持能力,应急经验等;
多层监控、纵深防御
从骨干网络、IDC入口网络的BPS、PPS、协议分布,负载均衡层的新建连接数、并发连接数、BPS、PPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态,到业务层的业务处理量、业务连通性等多个点部署监控系统。即使一个监控点失效,其他监控点也能够及时给出报警信息。多个点信息结合,准确判断被攻击目标和攻击手法;
完备的防御组织
囊括到足够全面的人员,至少包含监控部门、运维部门、网络部门、安全部门、客服部门、业务部门等,所有人员都需要2-3个备份
明确并执行应急流程
提前演练,应急流程启动后,除了人工处理,还应该包含一定的自动处理、半自动处理能力。例如自动化的攻击分析,确定攻击类型,自动化、半自动化的防御策略,在安全人员到位之前,最先发现攻击的部门可以做一些缓解措施。
总结
针对DDoS防御,主要的工作是幕后积累,在没有充分的资源准备,没有足够的应急演练,没有丰富的处理经验,DDoS攻击将会造成灾难性的后果。
咨询
24小时技术QQ:1767559921
24小时技术电话:13221000030
