介绍
自2018年Github遭遇1.35Tbps大流量攻击后,Tb级攻击第一次出现在公众面前。随着物联网和智能终端的蓬勃发展,Tb级攻击越来越普遍。最近,UCloud的安全团队帮助客户成功防御了多起1.2Tbps流量攻击。下面就简单梳理分析一下这次攻击。
事件回顾
12月2日10: 56: 32,11: 49: 06,UCloud的一个重要行业客户突然遭到159G DDoS攻击。因为用户长期使用UCloud高安全性产品,习惯了长时间被攻击,他以为像往常一样,只要攻击没有效果,对方就放弃了。
然而,11: 54: 41 12: 11: 30,第二波361G攻击到来,很快引起了UCloud在后台监控的安全人员的注意,并提醒客户这次攻击与以往不同。
12:56:51第三波1.16Tbps超大规模攻击到来,后续黑客已经将Tb级攻击常态化。
但凭借UCloud巨大的保护带宽和安全中心10多年DDoS攻击防护技术的积累,最终UCloud和用户成功抵御了这种持续时间较长的大流量攻击,保证了业务的稳定运行。
这么大的攻击是怎么来的,又是如何成功抵御的?
攻击分析
黑客的这种攻击手法复杂多变,持续时间长。其中混合攻击的数量高达66%,包括各种洪水攻击、反射攻击、四层TCP穷尽攻击和七层连接穷尽攻击。
攻击类型:
攻击类型分布:
持续时间和峰值流量分布:
类型分布TOP10:
攻击源分布
在此次攻击中,中国国内流量占比68.1%,海外总流量占比31.9%。访问量排名前10位的国家如下:
国内方面,攻击流量主要来源为山东省(14.6%)、江苏省(13.9%)、云南省(13.7%)和浙江省(13.6%)。国内攻击流量占前10名的情况如下:
攻击源属性方面,个人PC占47%,IDC服务器占32%。值得注意的是,本次攻击中物联网设备占21%,作为攻击源的物联网设备数量呈现明显的增长趋势。物联网设备的安全性不容忽视。
可见Tb级的重流量攻击已经越来越容易实现了。在大流量攻击的同时,黑客还会夹杂各种连接耗尽攻击,从而增加防御难度。
保护建议
为有效防范DDoS攻击,UCloud建议制造商、开发商和运营商应提前做好以下工作:
一个
评估攻击的风险
不同类型的服务遭受DDoS攻击的风险差异很大。各业务运营商应根据自身行业特点和业务历史上遭受的DDoS攻击制定应对方案。在方案中,明确了是否需要使用高安全性来防范DDoS攻击。
2
隐藏源站
目前市面上的高安全性产品大多采用代理模式,所以接入高安全性后,要防止黑客绕过高安全性直接攻击源站,源站的IP必须隐藏!!!
具有高访问保护的IP没有被尽可能多地使用(使用的IP可能已经被暴露)
梳理业务逻辑,确认业务逻辑不会暴露自己的IP。
安全扫描,防止服务器被植入后门。
三
定制的保护策略
以这次攻击为例。黑客在使用大流量攻击时,混合了TCP连接耗尽攻击和HTTP连接耗尽攻击,用来消耗服务器资源。为了达到更好的保护效果,建议根据业务特点深度定制保护策略。
通常,保护策略在以下方面进行定制:
减少攻击面:梳理业务协议和端口,禁止不必要的协议和端口。
CC保护:根据业务特点提前配置CC保护策略。
私有协议:提前联系高安全性服务提供商,分析业务流量的攻击,定制防护策略。防止TCP层的连接耗尽攻击。
摘要和l
评论前必须登录!
注册