在“永恒之蓝”余波未平之际,《网络安全法》实施之前的端午假日,超大规模网络攻击登场。
5月28日,烽火台威胁情报联盟发布RainbowDay大面积DDoS攻击活动预警报告,声称于2017年5月26日19点开始,监测到一次大面积网络攻击活动。被攻击方为国内抗DDoS攻击的专业厂商,其中有广东佛山高防机房和途隆云青岛BGP高防数据中心。
与此同时,途隆云也发布消息,详细描述了自己受攻击的过程,单个IP遭受黑客组织攻击的规模高达650G,由于自身1.3T的防御能力,业务并未受到影响。
据了解,此次攻击规模峰值已超过了国内大多数抗DDoS攻击厂商的防御级别。佛山机房还未发布被攻击的细节,根据目前掌握的情况,估计所受攻击也在几百G的量级。
所谓分布式拒绝服务(DDoS)攻击,通俗地说就是利用大量的虚假访问,占据被攻击网站的带宽,让真实的用户无法正常访问。资料显示,在线游戏、电子商务、银行支付系统、社交网站等互联网业务是被攻击的重灾区。而攻击的策划者大多是行业竞争者或行业壁垒同盟,他们委托黑客进行DDoS攻击,一次攻击的费用甚至超过百万元,其背后隐藏了一个巨大的黑色产业链。
由DDoS攻击引发的网络安全讨论成了近期互联网圈的焦点,有安全专家表示,黑客蓄意攻击、恶意破坏行为令人发指,造成的伤害难以估算,企业应该选择安全的云服务商,提前进行相关的技术储备、制定防护预案。
PC互联网、移动互联网、IOT互联网将是未来三大基础网络,大流量攻击事件必然会呈现猛增趋势,这会让目前抗DDoS攻击厂商面临更加严峻的挑战。虽然途隆云声称自己的单节点抗DDoS攻击能力已经达到1.3T,但是实际上国内整体的单节点抗D能力并不高,是整个网络安全行业不可说的短板。
纵观整个云防护领域,阿里、百度、腾讯、360为首的顶级的互联网厂商虽然都有解决方案,而且象网宿等CDN厂商也在建设自有云防护网络,但都以集群防护技术为主,一旦出现针对一个IP发起的超大流量攻击,国内大多数云防护厂商都很难防御。
集群防御技术的原理是用遍布全国的节点来分担大流量攻击,通过动态调度网络流量,组织全网各点冗余带宽来做防护,但单节点的抗DDoS攻击能力普遍不高。有的单节点防御能力只有几个G,最高也就400G左右,普遍是几十G的水平。集群防御是传统的CDN负载分流解决方案,主要应用于网站行业,游戏行业,尤其是实时对战类游戏,都是单服务器、单IP架构,这种CDN负载分流的解决方案并不适用。
而且,随着攻防对抗的升级,目前大量出现一种新型轮询式攻击模式,原理是攻击组织探测出所有CDN防护节点IP,然后针对CDN节点IP进行轮询流量攻击,使CDN节点全部陷入瘫痪,所有走CDN防护节点IP的用户都会受到影响,即便其他正常业务容易受到牵连。
如业界某网站,之前使用某CDN厂商的节点,黑客首先针对该网站域名发起攻击,发现没有效果后,就通过域名解析探测到其采用的是CDN技术,然后收集CDN节点对应的所有 IP,依次对这些IP进行大流量攻击,同时监测节点IP是否存活,只轮询打击存活的节点IP,以节省黑客组织自身的网络资源。用户遭受流量攻击后发现自己的业务地址不断的被黑洞、封停、IP无法访问,后果是网站无法访问,所有业务停滞。
而区别于集群防护技术的单点防护技术,是为每个用户分配一个独立的高防IP,可以有效地抵御上面提到的轮询攻击,且应用广泛,除了网站,更适合游戏、视频行业的用户。
目前业界针对大流量攻击还有一种流量压制的技术,是拥有核心路由器权限的厂商针对目的IP设置路由黑洞的一种防护策略,简单来讲就是将去往某一个IP的路由掐断,这种是牺牲一定的用户应用来缓解攻击压力,属于杀鸡取卵的做法,而流量清洗是将攻击流量通过清洗设备进行清洗后,将正常的流量回注给原有网络的一种技术,不会牺牲正常用户,是目前最佳的抗DDoS攻击的技术。
随着攻击技术的不断衍变,黑客也意识到集群防护的弱点,他们已经放弃了对单纯域名的攻击,而衍变出针对单点IP攻击的轮询攻击。根据途隆抗DDoS攻击态势感知系统的单点攻击增长实测数据,2015年单点最高攻击为300G,2016年单点攻击为500G,截止到目前为止,单点攻击最高已经达到800G.而目前抗DDoS攻击现状是,大部分厂商单点防御能力都在400G左右。
虽然拥有1.3T单点抗DDoS攻击能力的途隆云已在国内同行中居于首位,但此次黑客组织以超大流量挑衅国内顶级高防机房,明显是实施打击既有目标计划前的蠢蠢欲动的试探,事实上,他们是先对国内最高的防护水平进行一次摸底,接下来再对企业目标进行精准打击。
在新的网络攻击态势下,超大规模流量攻击趋势日渐显现,6月1日新颁布的《网络安全法》也对企业安全建设提出了更高的要求,建立更全面的安全应急策略和预防管理机制已刻不容缓,因为网络攻击的真正挑战即将到来。
本文转自d1net(转载)
