全球銀行網站成黑客主攻目標 阿里雲提供安全防禦應急方案

zhaowei121發表於2018-12-25

近日,阿里雲監控發現,匿名者(Anonymous)組織成員正在發起針對全球中央銀行網站的攻擊行動,截止目前,國內有超過2家以上的重要網站被攻擊,攻擊特徵主要為DDoS攻擊和CC攻擊。

image

此次事件中,阿里雲通過威脅情報發現,該攻擊的主要特徵是DDoS和CC攻擊,目前,攻擊已經造成多家網站不間斷的無法訪問,阿里雲安全專家分析本次攻擊有5大特徵

  1. 攻擊時間範圍在2018年11月12日凌晨6點13分到2018年12月14日,根據目前的活動情況來看,已經攻擊了1月之久;
  2. 分析其中一次攻擊,攻擊請求15423249,提取到攻擊源IP 1439個,攻擊IP分散,攻擊源主要分佈在境內,攻擊源分佈如下圖:
    image
  3. 大量資源型檔案(zip、apk、js、png)請求耗盡使用者頻寬資源,使用隨機引數繞過防護裝置頻率檢測、cdn裝置快取,附圖:
    image
  4. 攻擊者會偽造user-agent、referer欄位偽裝攻擊流量;
  5. 持續性攻擊,部分受害使用者持續半個月遭受攻擊,攻擊者會根據防護策略變換攻擊手法,具有較強對抗性。

應急方案: DDoS高防IP+WAF 安全防禦應急體系構建

阿里雲應對此次高危應急事件,採用的是基於DDoS高防IP和Web應用防火牆構建的防禦體系,方案採用域名解析的方式接入,可以適用於雲上系統方案,同時也適用於雲下環境(非阿里雲)的防護。        

DDoS高防IP是針對網際網路伺服器在遭受大流量的DDoS攻擊後導致服務不可用的情況下,進行有效抵禦DDoS攻擊的SaaS安全服務,確保源站的穩定可靠。

Web應用防火牆是基於雲安全大資料能力實現,通過防禦SQL隱碼攻擊、XSS跨站指令碼、常見Web伺服器外掛漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊,過濾海量惡意訪問,避免網站資產資料洩露,保障網站的安全與可用性。複製程式碼

image

雲盾DDoS攻擊防禦特點和優勢:

  • 全面覆蓋常見DDoS攻擊型別

雲盾DDoS清洗系統可幫助使用者抵禦各類基於網路層、傳輸層及應用層的各種 DDoS 攻擊(包括 CC、SYN Flood、UDP Flood、UDPDNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood 等所有 DDoS 攻擊方式),並能實時簡訊通知使用者網站防禦狀態。

  • 快速自動響應,5秒內進入防護狀態

雲盾DDoS清洗系統採用全球領先的檢測和防護技術,可以在5秒鐘內完成攻擊發現、流量牽引和流量清洗全部動作,大大減少了網路抖動現象。在防護觸發條件上不僅僅依賴流量閾值,同時還對網路行為的統計判斷,做到精準識別DDoS攻擊,保障了在遇到DDoS攻擊時客戶業務的可用性。

  • 高彈性、高冗餘的DDoS防禦能力

雲盾DDoS清洗系統每個最小單元支援10Gbps的攻擊流量過濾。得益於雲端計算架構的高彈性和大冗餘特點,DDoS攻擊防禦系統可在雲環境中無縫擴容,實現DDoS攻擊防禦能力的高彈性。

  • 雙向防護,避免雲資源被濫用

雲盾DDoS攻擊防禦系統不僅僅能防護來自於雲外的DDoS攻擊,同時還能及時發現雲內資源被濫用的非法行為。一旦發現雲內有伺服器被利用向外發起DDoS攻擊,雲網路流量監控系統會與主機安全防護系統聯動,限制被濫用的雲伺服器的網路訪問行為,併產生告警,實現對內部主機的有效管控。

雲盾Web應用防火牆特點和優勢:

  • 支援協議

支援對網站的HTTP、HTTPS、HTTP2、WebSocket流量進行Web安全防護。

  • 常見Web應用攻擊防護

防禦OWASP 常見威脅:SQL隱碼攻擊、XSS跨站、Webshell上傳、後門隔離保護、命令注入、非法HTTP協議請求、常見Web伺服器漏洞攻擊、核心檔案非授權訪問、路徑穿越、掃描防護等。

網站隱身:不對攻擊者暴露站點地址、避免繞過Web應用防火牆直接攻擊。0day補丁定期及時更新:防護規則與淘寶同步,及時更新最新漏洞補丁、第一時間全球同步下發最新補丁,對網站進行安全防護。

友好觀察模式:針對網站新上線的業務開啟觀察模式、對於匹配中防護規則的疑似攻擊只告警不阻斷、方便統計業務誤報狀況。

  • CC惡意攻擊防護

對單一源IP的訪問頻率進行控制、重定向跳轉驗證、人機識別等。針對海量慢速請求攻擊、根據統計響應碼及URL請求分佈、異常Referer及User-Agent特徵識別,結合網站精準防護規則進行綜合防護。充分利用阿里雲大資料安全優勢、建立威脅情報與可信訪問分析模型、快速識別惡意流量。

  • 精準訪問控制

提供友好的配置控制檯介面,支援IP、URL、Referer、User-Agent等HTTP常見欄位的條件組合,打造強大的精準訪問控制策略,可支援盜鏈防護、網站後臺保護等防護場景。與Web常見攻擊防護、CC防護等安全模組打造多層綜合保護機制、輕鬆依據需求,識別可信與惡意流量。

  • 虛擬補丁

在Web應用漏洞補丁釋出和修復之前,通過調整Web防護策略實現快速防護。

  • 攻擊事件管理

支援對攻擊事件、攻擊流量、攻擊規模的集中管理統計。

阿里雲安全專家建議:

此次攻擊的複雜度和對抗性都比較強,客戶應對的時候需要選擇安全服務廠商和服務人員:

  1. 綜上,阿里雲安全防護產品可以通過CC攻擊防禦功能識別和攔截這類攻擊,雲端優勢可以減少惡意流量回源。
  2. 阿里雲提供海量的威脅情報庫可以實現協同防禦。
  3. 阿里雲安全工程師目前提供7*24小時應急服務分析攻擊變種,更新防護策略。

更多資訊,可以聯絡您的阿里雲客戶經理

或者撥打我們服務熱線:95187-1


相關文章