“无敌舰队”DDoS勒索防御关键是应急经验积累

2017-06-20 19:53:00 作者:ym 分类 : 比特网

  近期国内多家证券金融公司、互联网金融公司接到境外黑客组织“无敌舰队(Armada Collective)”的DDoS威胁恐吓邮件,该组织声称将对企业发起大规模拒绝服务攻击,如果需要避免被攻击,需要向黑客组织支付比特币。

说明: C:\Users\nsfocus\Documents\Tencent Files\260127496\Image\C2C\{A65A9537-70A3-D735-140E-99983156D7FF}.png

  事件背景

  从2017年6月15日起,“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发起DDoS比特币勒索,现已有超过6家金融证券类企业遭受DDoS攻击勒索,且其中4家已经遭受了大规模的DDoS攻击,攻击流量从2G到20G不等,对企业网络产生了非常严重的影响。而“无敌舰队”组织声称如果企业不按邮件要求按时支付比特币,将进行持续的大规模流量攻击(该组织声称攻击流量可超过1T),并逐步提高勒索比特币数额。

  这其实并不是该组织第一次行动了,早在2015年12月,“无敌舰队(Armada Collective)”就开始对中国境内的互联网企业实施同样手法的DDoS攻击的勒索。

  本次事件收到的勒索邮件内容如下:

说明: C:\Users\nsfocus\AppData\Local\Temp\WeChat Files\774425224789279388.jpg

  2DDOS防护应急手段

  针对本次DDoS攻击事件,绿盟科技在第一时间启动了DDoS应急响应流程,下文就目前市场上主流的DDoS防护应急手段,按其差异性和适用场景做了简要对比。

  常规的DDoS防护应急方式因其选择的引流技术不同而在实现上有不同的差异性,主要分成以下三种:

  1. 本地DDoS防护设备;

  2. 运营商清洗服务;

  3.清洗服务。

  三种类型的DDoS防护应急手段引流方式的原理:

类型项目

本地DDoS防护设备

运营商清洗服务

云清洗服务

引流技术原理

企业侧部署设备,串联到网络中或者通过路由进行牵引流量。

部署在城域网,多通过路由方式进行引流,多基于Flow方式检测攻击。

利用Cname,将源站解析到新的域名,从而实现其引流。

 

  了解引流技术原理后,简要阐述各种方式在DDoS应急上的优劣:

  · 本地DDoS防护设备:

  本地化防护设备,增强了用户监控DDoS监控能力的同时做到了业务安全可控,且设备具备高度可定制化的策略和服务,更加适合通过分析攻击报文,定制策略应对多样化的、针对性的DDoS攻击类型;但当流量型攻击的攻击流量超出互联网链路带宽时,需要借助运营商清洗服务或者云清洗服务来完成攻击流量的清洗。

  · 运营商清洗服务:

  运营商采购安全厂家的DDoS防护设备并部署在城域网,通过路由方式引流,和Cname引流方式相比其生效时间更快,运营商通过提清洗服务方式帮助企业用户解决带宽消耗性的拒绝服务攻击;但是运营商清洗服务多是基于Flow方式检测DDoS攻击,且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想,此外部分攻击类型受限于防护算法往往会有透传的攻击报文,此时对于企业用户还需要借助本地DDoS防护设备,实现二级清洗。

  · 云清洗服务:

  云清洗服务使用场景较窄,当使用云清洗服务做DDoS应急时,为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题,通常情况下还需要企业用户配合做业务地址更换、Cname引流等操作配置,尤其是业务地址更换导致的实际变更过程可能会出现不能落地的情况。另一方面对于HTTPS Flood防御,当前云清洗服务需要用户上传HTTPS业务私钥证书,可操作性不强。此外业务流量导入到云平台,对业务数据安全性也提出了挑战。

  对比了三种方式的不同和适用场景,我们会发现单一解决方案不能完成所有DDoS攻击清洗,绿盟科技推荐企业用户在实际情况下可以组合本地DDoS防护设备+运营商清洗服务或者本地DDoS防护设备+云清洗服务,实现分层清洗的效果。针对金融行业,更推荐的组合方案是本地DDoS防护设备+运营商清洗服务。对于选择云清洗服务的用户,如果只是在DDoS攻击发生时才选择将流量导入到云清洗平台,需要做好备用业务地址的更换预配置(新业务地址不可泄露,否则一旦被攻击者获悉将会失去其意义)。

  3DDOS防护实践总结

  借鉴绿盟科技DDoS攻防工程师总结的经验,企业客户在DDoS防护体系建设上通常需要开展的工作有:

  1. 应用系统开发过程中持续消除性能瓶颈,提升性能

  通过各类优化技术,提升应用系统的并发、新建以及数据库查询等能力,减少应用型DDOS攻击类型的潜在危害;

  2. 定期扫描和加固自身业务设备

  定期扫描现有的网络主节点及主机,清查可能存在的安全漏洞和不规范的安全配置,对新出现的漏洞及时进行清理,对于需要加强安全配置的参数进行加固;

  3. 确保资源冗余,提升耐打能力

  建立多节点负载均衡,配备多线路高带宽,配备强大的运算能力,借此“吸收”DDoS攻击;

  4. 服务最小化,关停不必要的服务和端口

  关停不必要的服务和端口,实现服务最小化,例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率;

  5. 选择专业的产品和服务

  三分产品技术,七分设计服务,除了防护产品本身的功能、性能、稳定性,易用性等方面,还需要考虑防护产品厂家的技术实力,服务和支持能力,应急经验等;

  6. 多层监控、纵深防御

  从骨干网络、IDC入口网络的BPS、PPS、协议分布,负载均衡层的新建连接数、并发连接数、BPS、PPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态,到业务层的业务处理量、业务连通性等多个点部署监控系统。即使一个监控点失效,其他监控点也能够及时给出报警信息。多个点信息结合,准确判断被攻击目标和攻击手法;

  7. 完备的防御组织

  囊括到足够全面的人员,至少包含监控部门、运维部门、网络部门、安全部门、客服部门、业务部门等,所有人员都需要2-3个备份

  8. 明确并执行应急流程

  提前演练,应急流程启动后,除了人工处理,还应该包含一定的自动处理、半自动处理能力。例如自动化的攻击分析,确定攻击类型,自动化、半自动化的防御策略,在安全人员到位之前,最先发现攻击的部门可以做一些缓解措施。

  总结:针对DDoS防御,主要的工作是幕后积累,在没有充分的资源准备,没有足够的应急演练,没有丰富的处理经验,DDoS攻击将会造成灾难性的后果。

芥末视频

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。