近日,某黑客組織以攻擊其網站為“質”,勒索某遊戲公司的事情在微博上引發眾人討論。我們第一時間採訪到了這位遭受“驚魂24小時”的遊戲公司創始人,並與他進行了對話。
為避免其被黑客組織打擊報復,我們不會透露他的具體公司名和人名。
Q:事情的起因經過是怎麼樣的?黑客是怎麼找到你的?
A:上週日,也就是5月12日,我們的網站突然被人攻擊,導致使用者的遊戲賬號無法登陸、充值,遊戲業務被迫中斷。隨後就有自稱是ACCN黑客組織的人找到我們的客服,並給我的QQ發來勒索訊息,說要我們交“保護費”。
Q:聽說你原本都已經打算要交保護費了?
A:是的,其實一開始是打算“交錢了事”的,希望對方能夠儘快停止攻擊,讓業務能夠快速恢復正常,畢竟有那麼多遊戲玩家還在等,所以還在QQ上和對方還討價還價了一番。但對方一再表示他們提出的金額已是最低,因為考慮到了我們公司的體量,還提出要求我們分2期付款,原本我們已經打算交頭款了。
Q:聽說以前還有一些其他公司也被他們勒索過?
A:對,對方說他們已經成立了兩年,說自己“以誠信為原則”。在過去兩年裡有不少公司都“配合”過他們,只要交了錢他們就不會打擾了。
Q:有哪些公司被他們勒索過能透露嗎?
A:當時我想參考下他們所說的“誠信”到底是不是靠譜,所以也問了對方有哪些公司“配合”過。對方也確實給我舉例了幾家公司,但是在這裡我實在不方便透露,怕他們會被黑客組織打擊報復。
Q:那後來你為什麼沒交這個“保護費”呢?
A:說實話是怕,怕黑客不守信用。雖然他標榜自己“以誠信為原則”,暗示只要交了錢以後就不會騷擾我們其他專案了。但是黑客難道還有原則。現實生活中,交了贖金還撕票的事情也不是沒有。我最終還是覺得不應該向他們低頭。難保他們覺得你好欺負,有了第一次,就有第二次。
Q:後來你們是怎麼解決這個問題的呢?他們收不到保護費,肯定會惱羞成怒的吧?
A:當天晚上大概快9點的時候吧,我通過阿里雲安全全球24小時免費應急服務群找到了相關負責人,並說明情況後,他們立刻就為我們開通了DDoS防禦服務,並迅速完成高防遷移。13號中午的時候,因為沒有收到頭款,ACCN果然再次向我們發起了大概30分鐘的DDoS攻擊,在阿里雲的幫助下我們抵擋住了。
Q:對這次事情,你有什麼想說的?
A:其實以前我一直覺得黑客離我們很遠,是科幻電影裡面的,但沒想到黑客離我們很近。而且可能已經有很多人受過黑客的騷擾了。在這裡,我想呼籲大家,如果遭遇黑客勒索,不要屈服,“保護費”交了一次總有第二次。也想對那些黑客們說,科學技術應該造福於人類,是為善而不是作惡。另外,我也真的要再次感謝下阿里雲。真的,不是打廣告,是真的要感謝他們的工程師,在大週末的、還是大晚上的,還能夠那麼快速地響應,為我們快速解決問題。
DDoS攻擊這一網路公敵,已經成為所有網際網路業務的重大威脅。尤其是隨著DDoS攻擊工具化的發展,黑客發起DDoS攻擊變得越來越簡單,甚至產生了諸如ACCN這樣“專業”的黑客組織,以DDoS攻擊為威脅,向企業敲詐勒索。
事實上,這已經不是ACCN第一次“犯案”。這個組織存在已有兩年,攻擊套路基本是先進行小規模DDoS攻擊試探,並尋求支付“保護費”,如果被拒再發起猛烈攻擊,脅迫對方就範。
那麼如果你遇到DDoS攻擊的時候,可以怎麼做呢?
DDoS攻擊的主要的方式是syn flood、ack flood、udpflood等流量型的攻擊,本身從攻擊方式來是非常簡單的,無論是哪種方式,流量大是前提。如果防禦方有充足的頻寬資源,目前的技術手段防禦都不會是難事。
首先,如何判斷自己是否正在被攻擊?
以遊戲公司為例,假定排除線路和硬體故障的情況下,突然發現連線伺服器困難、正在遊戲的使用者掉線等現象,則說明很有可能是遭受了DDoS攻擊。
如果突然出現下面這幾種現象,就可以基本判斷是“被攻擊”狀態:
(1)主機的IN/OUT流量較平時有顯著的增長
(2)主機的CPU或者記憶體利用率出現無預期的暴漲
(3)通過檢視當前主機的連線狀態,發現有很多半開連線,或者是很多外部IP地址,都與本機的服務埠建立幾十個以上的ESTABLISHED狀態的連線,則說明遭到了TCP多連線攻擊
(4)遊戲客戶端連線遊戲伺服器失敗或者登入過程非常緩慢
(5)正在進行遊戲的使用者突然無法操作或者非常緩慢或者總是斷線
接下來說DDoS防護方法。
目前,可用的DDoS緩解方法,有三大類。首先是架構優化,其次是伺服器加固,最後是商用的DDoS防護服務,需要根據自己的預算、攻擊嚴重程度,來決定使用哪一種。
在預算有限的情況下,可以從免費的DDoS緩解方案,和自身架構的優化上下功夫,減緩DDoS攻擊的影響。
- 如果系統部署在雲上,可以使用雲解析,優化DNS的智慧解析,同時建議託管多家DNS服務商,這樣可以避免DNS攻擊的風險;
- 使用SLB,通過負載均衡減緩CC攻擊的影響,後端負載多臺ECS伺服器,這樣可以對DDoS攻擊中的CC攻擊進行防護;
- 使用專有網路VPC,防止內網攻擊;
- 做好伺服器的效能測試,評估正常業務環境下能承受的頻寬和請求數,確保可以隨時的彈性擴容;
- 伺服器防禦DDoS攻擊最根本的措施就是隱藏伺服器真實IP地址。
在資金充足的情況下,可以選擇DDoS高防伺服器,且在伺服器前端加CDN中轉,所有的域名和子域都使用CDN來解析。
也可以對自身伺服器做安全加固。
- 控制TCP連線,通過iptable之類的軟體防火牆可以限制某些IP的新建連線;
- 控制某些IP的速率;
- 控制空連線和假人;
- 確保伺服器系統安全;
- 確保伺服器的系統檔案是最新的版本,及時更新系統補丁;
- 管理員需對所有主機進行檢查,知道訪問者的來源;
- 過濾不必要的服務和埠;
- 限制同時開啟的SYN半連線數目,縮短SYN半連線的timeout時間,限制SYN/ICMP流量;
- 認真檢查網路裝置和主機/伺服器系統的日誌;
- 限制在防火牆外與網路檔案共享;
- 充分利用網路裝置保護網路資源;
- 禁用 ICMP,僅在需要測試時開放ICMP;
- 使用高可擴充套件性的DNS裝置來保護針對DNS的DDoS攻擊,可以考慮購買DNS商業解決方案,它可以提供針對DNS或TCP/IP3到7層的DDoS攻擊保護。
再就是商用的DDoS解決方案。
針對超大流量的攻擊,可以考慮採用專業的DDoS解決方案。例如像這位遊戲公司的創始人一樣,找阿里雲。
在攻防對抗中,尤其是DDoS攻擊,前24小時是黃金時間,抵擋住第一波攻擊很重要。
最後,謹以“小年輕多學正道,少走彎路”此言送給所有的黑客們。