實戰分享：如何成功防護1.2T國內已知最大流量DDoS攻擊

騰訊雲加社群發表於2018-04-19

作者：騰訊雲宙斯盾安全團隊&騰訊安全平臺部

引言：

DDoS攻擊勢頭愈演愈烈，除了攻擊手法的多樣化發展之外，最直接的還是攻擊流量的成倍增長。3月份國內的最大規模DDoS攻擊紀錄還停留在數百G規模，4月，這個資料已經突破T級，未來不可期，我們唯有保持警惕之心，技術上穩打穩紮，以應對DDoS攻擊捲起的血雨腥風。4月8日，騰訊雲宙斯盾成功防禦了1.2Tbps的超大流量攻擊，也是目前國內已知的最大攻擊流量，這篇文章就此次攻防事件簡單地為大家做一個梳理和分析。

國內已知最大攻擊流量來襲

4月8日，清明節後第一個工作日，騰訊雲一個重要的遊戲客戶突然遭受大流量DDoS攻擊，遊戲遭受攻擊習以為常，但是本輪攻擊流量峰值竟達到了1.23Tbps，重新整理國內DDoS攻擊最大流量記錄。

不過憑藉騰訊雲宙斯盾超大防護頻寬以及騰訊安全平臺部十餘年DDoS防護技術積累的支撐下，騰訊雲攜手該遊戲客戶成功防護了這次超大流量攻擊，護航客戶業務穩定執行。

那麼這麼大的攻擊怎麼來的呢？又是怎麼被成功防護的呢？

攻擊分析

本次攻擊手法主要為擁塞頻寬型攻擊手法（SSDP反射，攻擊原理下文介紹），在總體流量中佔比97%，攻擊流量達1.2Tbps，和協議缺陷型（SYNFLOOD和ACKFLOOD），在總體流量中佔比3%。

SSDP反射

只要對DDoS有一定認知的同學，肯定不會對SSDP反射攻擊陌生，作為現網最常見的DDoS攻擊手法之一，SSDP反射由於可用的反射終端數量龐大，放大係數可觀，而備受攻擊者青睞。

在攻擊思路上跟其他反射攻擊一樣，攻擊者發起SSDP反射的大致過程為：

通過IP地址欺騙方式，攻擊者偽造目標伺服器IP，向開放SSDP服務的終端發起請求；
由於協議設計缺陷，SSDP服務無法判斷請求是否偽造，並向目標伺服器進行響應。就這樣數量極其龐大的SSDP響應報文同時發往被攻擊伺服器；
更可怕的是在特定請求下，一個SSDP請求報文可以觸發多個響應報文，而每個響應報文比請求報文體積更大，最終造成攻擊流量約為30倍的放大。

來源IP分析

本次攻擊共採集到攻擊源16.6萬個。其中國內佔比68%，海外佔比32%，TOP 3國家分別是：中國(68%)、俄羅斯(13%)、美國(8%)。

在國內方面，攻擊主要來源省份：山東省(40%)、遼寧省(20%)、河北省(16%)等環渤海區域，其次是浙江省(10%)、臺灣省(9%)。

國內攻擊源的主要運營商來源為中國電信(佔比66%)和中國聯通(佔比24%)。

在攻擊源屬性方面，主要來自於個人PC，佔比57%，IDC伺服器佔比28%，值得注意的是，物聯網裝置在此次攻擊源中佔比達到15%。攻擊者在攻擊武器方面，物聯網裝置作為攻擊源的數量呈明顯增長趨勢。眼下物聯網裝置安全問題不容忽視。

由此可見，公網上開放SSDP服務的終端數量非常龐大，而且分佈廣泛，為攻擊者實施攻擊帶來便利。

防護方案

為了有效防護DDoS攻擊，建議遊戲廠商和開發者做好以下幾個事項。

(1)預估攻擊風險，必要時接入高防

不同型別的業務遭受外部DDoS攻擊的風險完全不一樣。所以運營者應根據自身行業的攻擊威脅態勢，以及自己業務歷史遭受的DDoS攻擊情況，來判斷是否會被黑產"盯上"及是否需要接入高防。

而不可不提的是，遊戲行業的高利潤、行業惡性競爭等因素決定了該行業成為DDoS的高發區。根據騰訊雲資料統計表明，超過66%的DDoS和CC攻擊均針對遊戲業務。所以對於遊戲業務運營者來說，更需預估攻擊威脅，必要時接入高防，方能保障業務穩定執行。

(2)接入高防後，切勿暴露源站

接入高防後，騰訊雲會分配專門的高防代理IP，而為了避免黑客直接攻擊源站，此時必須要注意：隱藏源站IP！

接入高防前的源站IP不能再使用(已經暴露)；
梳理遊戲邏輯，確認遊戲邏輯不會暴露源站IP；
對伺服器做安全掃描，避免被植入後門。

(3)基於業務特性，定製防護策略

接入高防後可以通過高防IP的超大頻寬抵抗大流量DDoS攻擊，但是黑客往往會在大流量攻擊同時混雜著消耗伺服器資源的小流量攻擊，如本輪攻擊除了SSDP反射和SYNFLOOD還夾雜著CC攻擊。故為了達到更優的防護效果，可以諮詢騰訊雲遊戲安全團隊：基於業務特性，深度定製防護策略。策略定製常見的維度包括：

梳理業務協議和埠情況，封禁非必要協議和埠，減少被攻擊面
對HTTP業務，可在控制檯上根據實際情況配置CC防護，提前防備CC攻擊。
如果是私有協議，可以讓騰訊雲宙斯盾安全團隊介入。團隊可對業務流量進行統計分析，並深度定製防護策略，以有效解決各種疑難雜症。例如該客戶歷史還遭受過四層CC攻擊，騰訊雲宙斯盾安全團隊深度定製策略，有效防護，業務穩定執行！

備註：四層CC攻擊是指黑客控制肉雞對目的伺服器建立TCP連線後模擬業務流量發起攻擊，耗盡伺服器資源的攻擊手法。

總結

只要有利益的地方就競爭，只要有網際網路的地方就會有DDoS攻擊。我們建議遊戲廠商和開發者提前評估業務風險、選擇可信賴的雲服務商，必要情況下購買高防服務，與專家團隊深度定製防護方案，有力保障好遊戲安全生命線。

問答
如何防範DDos攻擊？
相關閱讀
【觀點】“雲”時代：網路安全的中國式突圍
讓子彈多飛一會 | 論如何優化DDoS
深入淺出DDoS攻擊防禦

此文已由作者授權騰訊雲+社群釋出，原文連結：https://cloud.tencent.com/developer/article/1100719?fromSource=waitui

淺析DDOS攻擊防護思路
2019-10-22
DDoS攻擊激增，分享高效可靠的DDoS防禦方案
2024-02-06
DDOS攻擊的具體解決辦法如何防護
2019-11-29
如何防範DDoS攻擊，使自己的網站減緩DDoS攻擊呢?
2018-12-27
網站
聚焦DDoS安全，分享防禦DDoS攻擊的幾大有效方法
2024-01-10
被攻擊怎麼解決？DDoS高防IP防護策略
2022-07-21
魏興國：深入淺出DDoS攻擊防禦
2013-04-18
淺談DDOS攻擊攻擊與防禦
2012-07-26
App 被刷影片流量如何防禦,DDoS攻擊一招解決
2022-05-06
APP
關於線上一次DDOS攻擊和阿里雲DDOS防護相關內容
2020-06-30
阿里
從根本上把握防護DDoS的核心要素，不怕DDoS攻擊防不住
2020-12-18
ArborNetworks基於應用層防護DDoS攻擊
2017-10-12
遊戲伺服器防ddos攻擊，三招搞定ddos攻擊
2022-05-10
遊戲伺服器
DDoS Deflate防Linux下DDOS攻擊
2012-06-25
Linux
你必須要會的防護DDoS技術，輕鬆化解流量攻擊難題
2020-12-24
DDOS伺服器防禦的方法有哪些，如何防禦DDOS攻擊
2023-05-04
伺服器
預防ddos攻擊檢測
2020-07-08
DDOS 攻擊的防範教程
2018-06-26
透過流量限制防DDOS udp,ICMP攻擊防火牆配置
2007-01-09
UDP防火牆
wordpress國內網速慢加速及防DDOS攻擊快速CF切換教程
2021-02-18
內網
在Linux中，什麼是DDoS攻擊？如何在Linux中防禦DDoS攻擊？
2024-04-09
Linux
什麼是DDoS攻擊?哪些行業最需要預防DDoS攻擊?
2022-08-02
行業
網際網路公司如何防禦DDoS攻擊？
2019-12-05
【網路安全】如何有效地防禦DDOS攻擊和CC攻擊?
2022-01-20
淺談DDos攻擊與防禦
2018-06-23
一文讀懂DDoS，分享防禦DDoS攻擊的幾大有效方法
2024-03-04
防護篇(5.4) 03. 防範 DDoS 攻擊 ❀ 飛塔 (Fortinet) 防火牆
2017-07-18
防火牆
如何防禦DDoS攻擊？學習網路安全多久？
2023-09-26
DDOS攻擊原理，種類及其防禦
2019-01-24
防ddos攻擊伺服器的方法
2015-09-06
伺服器
【網路安全入門知識】如何有效防禦DDoS攻擊和CC攻擊?
2022-01-06
《DNS攻擊防範科普系列2》 -DNS伺服器怎麼防DDoS攻擊
2019-10-16
DNS伺服器
如何防禦DDOS攻擊?網路安全技術學多久？
2021-09-09
Cloudflare 提醒您的DDoS 攻擊已經進化，您的 DDoS 防護也應如此
2021-08-27
Cloud
網路分流器-網路分流器-DDoS攻擊與防護
2018-08-27
網路攻擊盯上民生領域，應對DDoS和APT攻擊，如何有效防禦？
2022-05-24
APT
淺談 JavaScript DDoS 攻擊原理與防禦
2015-05-17
JavaScript
淺談JavaScript DDoS攻擊原理與防禦
2015-05-18
JavaScript