作者:騰訊雲宙斯盾安全團隊&騰訊安全平臺部
引言:
DDoS攻擊勢頭愈演愈烈,除了攻擊手法的多樣化發展之外,最直接的還是攻擊流量的成倍增長。3月份國內的最大規模DDoS攻擊紀錄還停留在數百G規模,4月,這個資料已經突破T級,未來不可期,我們唯有保持警惕之心,技術上穩打穩紮,以應對DDoS攻擊捲起的血雨腥風。4月8日,騰訊雲宙斯盾成功防禦了1.2Tbps的超大流量攻擊,也是目前國內已知的最大攻擊流量,這篇文章就此次攻防事件簡單地為大家做一個梳理和分析。
國內已知最大攻擊流量來襲
4月8日,清明節後第一個工作日,騰訊雲一個重要的遊戲客戶突然遭受大流量DDoS攻擊,遊戲遭受攻擊習以為常,但是本輪攻擊流量峰值竟達到了1.23Tbps,重新整理國內DDoS攻擊最大流量記錄。
不過憑藉騰訊雲宙斯盾超大防護頻寬以及騰訊安全平臺部十餘年DDoS防護技術積累的支撐下,騰訊雲攜手該遊戲客戶成功防護了這次超大流量攻擊,護航客戶業務穩定執行。
那麼這麼大的攻擊怎麼來的呢?又是怎麼被成功防護的呢?
攻擊分析
本次攻擊手法主要為擁塞頻寬型攻擊手法(SSDP反射,攻擊原理下文介紹),在總體流量中佔比97%,攻擊流量達1.2Tbps,和協議缺陷型(SYNFLOOD和ACKFLOOD),在總體流量中佔比3%。
SSDP反射
只要對DDoS有一定認知的同學,肯定不會對SSDP反射攻擊陌生,作為現網最常見的DDoS攻擊手法之一,SSDP反射由於可用的反射終端數量龐大,放大係數可觀,而備受攻擊者青睞。
在攻擊思路上跟其他反射攻擊一樣,攻擊者發起SSDP反射的大致過程為:
- 通過IP地址欺騙方式,攻擊者偽造目標伺服器IP,向開放SSDP服務的終端發起請求;
- 由於協議設計缺陷,SSDP服務無法判斷請求是否偽造,並向目標伺服器進行響應。就這樣數量極其龐大的SSDP響應報文同時發往被攻擊伺服器;
- 更可怕的是在特定請求下,一個SSDP請求報文可以觸發多個響應報文,而每個響應報文比請求報文體積更大,最終造成攻擊流量約為30倍的放大。
來源IP分析
本次攻擊共採集到攻擊源16.6萬個。其中國內佔比68%,海外佔比32%,TOP 3國家分別是:中國(68%)、俄羅斯(13%)、美國(8%)。
在國內方面,攻擊主要來源省份:山東省(40%)、遼寧省(20%)、河北省(16%)等環渤海區域,其次是浙江省(10%)、臺灣省(9%)。
國內攻擊源的主要運營商來源為中國電信(佔比66%)和中國聯通(佔比24%)。
在攻擊源屬性方面,主要來自於個人PC,佔比57%,IDC伺服器佔比28%,值得注意的是,物聯網裝置在此次攻擊源中佔比達到15%。攻擊者在攻擊武器方面,物聯網裝置作為攻擊源的數量呈明顯增長趨勢。眼下物聯網裝置安全問題不容忽視。
由此可見,公網上開放SSDP服務的終端數量非常龐大,而且分佈廣泛,為攻擊者實施攻擊帶來便利。
防護方案
為了有效防護DDoS攻擊,建議遊戲廠商和開發者做好以下幾個事項。
(1)預估攻擊風險,必要時接入高防
不同型別的業務遭受外部DDoS攻擊的風險完全不一樣。所以運營者應根據自身行業的攻擊威脅態勢,以及自己業務歷史遭受的DDoS攻擊情況,來判斷是否會被黑產"盯上"及是否需要接入高防。
而不可不提的是,遊戲行業的高利潤、行業惡性競爭等因素決定了該行業成為DDoS的高發區。根據騰訊雲資料統計表明,超過66%的DDoS和CC攻擊均針對遊戲業務。所以對於遊戲業務運營者來說,更需預估攻擊威脅,必要時接入高防,方能保障業務穩定執行。
(2)接入高防後,切勿暴露源站
接入高防後,騰訊雲會分配專門的高防代理IP,而為了避免黑客直接攻擊源站,此時必須要注意:隱藏源站IP!
- 接入高防前的源站IP不能再使用(已經暴露);
- 梳理遊戲邏輯,確認遊戲邏輯不會暴露源站IP;
- 對伺服器做安全掃描,避免被植入後門。
(3)基於業務特性,定製防護策略
接入高防後可以通過高防IP的超大頻寬抵抗大流量DDoS攻擊,但是黑客往往會在大流量攻擊同時混雜著消耗伺服器資源的小流量攻擊,如本輪攻擊除了SSDP反射和SYNFLOOD還夾雜著CC攻擊。故為了達到更優的防護效果,可以諮詢騰訊雲遊戲安全團隊:基於業務特性,深度定製防護策略。策略定製常見的維度包括:
- 梳理業務協議和埠情況,封禁非必要協議和埠,減少被攻擊面
- 對HTTP業務,可在控制檯上根據實際情況配置CC防護,提前防備CC攻擊。
- 如果是私有協議,可以讓騰訊雲宙斯盾安全團隊介入。團隊可對業務流量進行統計分析,並深度定製防護策略,以有效解決各種疑難雜症。例如該客戶歷史還遭受過四層CC攻擊,騰訊雲宙斯盾安全團隊深度定製策略,有效防護,業務穩定執行!
總結
只要有利益的地方就競爭,只要有網際網路的地方就會有DDoS攻擊。我們建議遊戲廠商和開發者提前評估業務風險、選擇可信賴的雲服務商,必要情況下購買高防服務,與專家團隊深度定製防護方案,有力保障好遊戲安全生命線。
問答
相關閱讀
此文已由作者授權騰訊雲+社群釋出,原文連結:https://cloud.tencent.com/developer/article/1100719?fromSource=waitui