近期國內(nèi)多家證券金融公司、互聯(lián)網(wǎng)金融公司接到境外黑客組織“無敵艦隊(Armada Collective)”的DDoS威脅恐嚇郵件,該組織聲稱將對企業(yè)發(fā)起大規(guī)模拒絕服務(wù)攻擊,如果需要避免被攻擊,需要向黑客組織支付比特幣。
事件背景
從2017年6月15日起,“無敵艦隊”組織向國內(nèi)多家證券金融公司、互聯(lián)網(wǎng)金融公司發(fā)起DDoS比特幣勒索,現(xiàn)已有超過6家金融證券類企業(yè)遭受DDoS攻擊勒索,且其中4家已經(jīng)遭受了大規(guī)模的DDoS攻擊,攻擊流量從2G到20G不等,對企業(yè)網(wǎng)絡(luò)產(chǎn)生了非常嚴重的影響。而“無敵艦隊”組織聲稱如果企業(yè)不按郵件要求按時支付比特幣,將進行持續(xù)的大規(guī)模流量攻擊(該組織聲稱攻擊流量可超過1T),并逐步提高勒索比特幣數(shù)額。
這其實并不是該組織第一次行動了,早在2015年12月,“無敵艦隊(Armada Collective)”就開始對中國境內(nèi)的互聯(lián)網(wǎng)企業(yè)實施同樣手法的DDoS攻擊的勒索。
本次事件收到的勒索郵件內(nèi)容如下:
DDOS防護應(yīng)急手段
針對本次DDoS攻擊事件,綠盟科技在第一時間啟動了DDoS應(yīng)急響應(yīng)流程,下文就目前市場上主流的DDoS防護應(yīng)急手段,按其差異性和適用場景做了簡要對比。
常規(guī)的DDoS防護應(yīng)急方式因其選擇的引流技術(shù)不同而在實現(xiàn)上有不同的差異性,主要分成以下三種:
1. 本地DDoS防護設(shè)備;
2. 運營商清洗服務(wù);
3. 云清洗服務(wù)。
三種類型的DDoS防護應(yīng)急手段引流方式的原理:
了解引流技術(shù)原理后,簡要闡述各種方式在DDoS應(yīng)急上的優(yōu)劣:
· 本地DDoS防護設(shè)備:
本地化防護設(shè)備,增強了用戶監(jiān)控DDoS監(jiān)控能力的同時做到了業(yè)務(wù)安全可控,且設(shè)備具備高度可定制化的策略和服務(wù),更加適合通過分析攻擊報文,定制策略應(yīng)對多樣化的、針對性的DDoS攻擊類型;但當流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬時,需要借助運營商清洗服務(wù)或者云清洗服務(wù)來完成攻擊流量的清洗。
· 運營商清洗服務(wù):
運營商采購安全廠家的DDoS防護設(shè)備并部署在城域網(wǎng),通過路由方式引流,和Cname引流方式相比其生效時間更快,運營商通過提清洗服務(wù)方式幫助企業(yè)用戶解決帶寬消耗性的拒絕服務(wù)攻擊;但是運營商清洗服務(wù)多是基于Flow方式檢測DDoS攻擊,且策略的顆粒度較粗,因此針對低流量特征的DDoS攻擊類型檢測效果往往不夠理想,此外部分攻擊類型受限于防護算法往往會有透傳的攻擊報文,此時對于企業(yè)用戶還需要借助本地DDoS防護設(shè)備,實現(xiàn)二級清洗。
· 云清洗服務(wù):
云清洗服務(wù)使用場景較窄,當使用云清洗服務(wù)做DDoS應(yīng)急時,為了解決攻擊者直接向站點真實IP地址發(fā)起攻擊而繞過了云清洗中心的問題,通常情況下還需要企業(yè)用戶配合做業(yè)務(wù)地址更換、Cname引流等操作配置,尤其是業(yè)務(wù)地址更換導(dǎo)致的實際變更過程可能會出現(xiàn)不能落地的情況。另一方面對于HTTPS Flood防御,當前云清洗服務(wù)需要用戶上傳HTTPS業(yè)務(wù)私鑰證書,可操作性不強。此外業(yè)務(wù)流量導(dǎo)入到云平臺,對業(yè)務(wù)數(shù)據(jù)安全性也提出了挑戰(zhàn)。
對比了三種方式的不同和適用場景,我們會發(fā)現(xiàn)單一解決方案不能完成所有DDoS攻擊清洗,綠盟科技推薦企業(yè)用戶在實際情況下可以組合本地DDoS防護設(shè)備+運營商清洗服務(wù)或者本地DDoS防護設(shè)備+云清洗服務(wù),實現(xiàn)分層清洗的效果。針對金融行業(yè),更推薦的組合方案是本地DDoS防護設(shè)備+運營商清洗服務(wù)。對于選擇云清洗服務(wù)的用戶,如果只是在DDoS攻擊發(fā)生時才選擇將流量導(dǎo)入到云清洗平臺,需要做好備用業(yè)務(wù)地址的更換預(yù)配置(新業(yè)務(wù)地址不可泄露,否則一旦被攻擊者獲悉將會失去其意義)。
DDOS防護實踐總結(jié)
借鑒綠盟科技DDoS攻防工程師總結(jié)的經(jīng)驗,企業(yè)客戶在DDoS防護體系建設(shè)上通常需要開展的工作有:
1.應(yīng)用系統(tǒng)開發(fā)過程中持續(xù)消除性能瓶頸,提升性能
通過各類優(yōu)化技術(shù),提升應(yīng)用系統(tǒng)的并發(fā)、新建以及數(shù)據(jù)庫查詢等能力,減少應(yīng)用型DDOS攻擊類型的潛在危害;
2.定期掃描和加固自身業(yè)務(wù)設(shè)備
定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點及主機,清查可能存在的安全漏洞和不規(guī)范的安全配置,對新出現(xiàn)的漏洞及時進行清理,對于需要加強安全配置的參數(shù)進行加固;
3.確保資源冗余,提升耐打能力
建立多節(jié)點負載均衡,配備多線路高帶寬,配備強大的運算能力,借此“吸收”DDoS攻擊;
4.服務(wù)最小化,關(guān)停不必要的服務(wù)和端口
關(guān)停不必要的服務(wù)和端口,實現(xiàn)服務(wù)最小化,例如WWW服務(wù)器只開放80而將其它所有端口關(guān)閉或在防火墻上做阻止策略?纱蟠鬁p少被與服務(wù)不相關(guān)的攻擊所影響的概率;
5.選擇專業(yè)的產(chǎn)品和服務(wù)
三分產(chǎn)品技術(shù),七分設(shè)計服務(wù),除了防護產(chǎn)品本身的功能、性能、穩(wěn)定性,易用性等方面,還需要考慮防護產(chǎn)品廠家的技術(shù)實力,服務(wù)和支持能力,應(yīng)急經(jīng)驗等;
6.多層監(jiān)控、縱深防御
從骨干網(wǎng)絡(luò)、IDC入口網(wǎng)絡(luò)的BPS、PPS、協(xié)議分布,負載均衡層的新建連接數(shù)、并發(fā)連接數(shù)、BPS、PPS到主機層的CPU狀態(tài)、TCP新建連接數(shù)狀態(tài)、TCP并發(fā)連接數(shù)狀態(tài),到業(yè)務(wù)層的業(yè)務(wù)處理量、業(yè)務(wù)連通性等多個點部署監(jiān)控系統(tǒng)。即使一個監(jiān)控點失效,其他監(jiān)控點也能夠及時給出報警信息。多個點信息結(jié)合,準確判斷被攻擊目標和攻擊手法;
7.完備的防御組織
囊括到足夠全面的人員,至少包含監(jiān)控部門、運維部門、網(wǎng)絡(luò)部門、安全部門、客服部門、業(yè)務(wù)部門等,所有人員都需要2-3個備份
8.明確并執(zhí)行應(yīng)急流程
提前演練,應(yīng)急流程啟動后,除了人工處理,還應(yīng)該包含一定的自動處理、半自動處理能力。例如自動化的攻擊分析,確定攻擊類型,自動化、半自動化的防御策略,在安全人員到位之前,最先發(fā)現(xiàn)攻擊的部門可以做一些緩解措施。
總結(jié):針對DDoS防御,主要的工作是幕后積累,在沒有充分的資源準備,沒有足夠的應(yīng)急演練,沒有豐富的處理經(jīng)驗,DDoS攻擊將會造成災(zāi)難性的后果。