160Gbit/s DDoS攻击及其背后的攻防博弈！

春节期间，阿里云开放存储系统遭受到三轮峰值近160Gbit/s的DDoS攻击。阿里云云盾系统实现完全自动化的防御，有效地阻断了大流量的攻击，保证了存储业务的正常运行。攻击者挑战的不仅仅是防护设备的性能，更是防护系统的完备性和响应效率，以及防护团队的专业能力和协作精神。
160Gbit/s的攻防博弈
第一轮攻击波
2月1日，正月初二，春节。中午12点，阿里云云盾防护系统检测到访问OSS系统（开放存储服务）的流量出现异常波动，在很短的时间内流量快速提升。
在无人干预的情况下，云盾的抗DDoS系统自动进入防护状态，将流量牵引到清洗设备上进行清洗。
攻击者加大攻击力度，流量上升迅速，攻击总带宽在半个小时内即接近160Gbit/s。下图显示双链路各自的攻击峰值。


在此期间，云盾系统进行了完全自动化流量清洗。
攻击者的攻击维持了2小时45分钟后放弃。下午3点左右，流量回归正常状态。
在这个三小时攻防大战中，云盾系统对攻击的检测及防护均自动化完成。OSS系统用户正常业务没有受到影响，没有接到用户投诉。
第二轮攻击波
2月5日，正月初六，春节。19:00，攻击卷土重来。云盾再次检测到大流量攻击。峰值超过70Gbit/s。                                                                                                       
云盾自动清洗，化解黑客攻击。OSS的正常业务没有受到影响，无用户投诉。
第三轮攻击波
2月6日，正月初七，春节。22:00，大流量攻击再次发生，峰值42Gbit/s。云盾成功防护，客户业务无影响。
魔高一尺，道高一丈
事后对源、目标和攻击类型的分析过程中，我们发现了很多比较明显的共同点，因此基本可以判断是由一个黑客/黑客组织发起的对于同一目标的攻击事件。
经过对捕获的攻击数据包分析，黑客的攻击手段主要采用SYN Flood。SYN Flood是一种非常典型和常见的系统资源消耗型DDoS攻击，是在TCP连接创建的握手阶段，利用客户端与服务器三次交互对服务器侧的TCP资源进行攻击。攻击者通过向被攻击目标服务器发出大量TCP SYN报文，使服务器打开并维持大量的半开连接，进而占满服务器的连接表，影响正常用户与服务器建立会话，造成拒绝服务。                                                                                                                                                                 
从攻击者实际的攻击行为上来说，存在比较明显的特征。攻击者为了提高攻击带宽，增加了相对固定的负载。从另一方面来说，也为云盾的检测和阻断提供了依据。
不仅是云盾系统的胜利
虽然SYN Flood攻击非常普遍，但是单纯依靠SYN Flood就打出如此高的攻击带宽却是非常罕见的。去年5月份，国外黑客组织攻击美国金融系统时，也曾打出了167Gbit/s的高带宽，采用的是DNS反射放大攻击，利用了DNS查询包和响应包之间的杠杆作用。
事件的另一个亮点是云盾系统在整个事件中实现了全自动化的检测、分析和清洗工作。虽然是自动化防护，即便是在春节期间，云盾系统7X24的安全应急和专家团队坚守岗位，对攻击进行了全程监控，保证对攻防大战的完全可控。
最后，更让我们感到欣慰的是，此番160Gbit/s DDoS的攻防博弈中，用户的正常业务没有受到影响。显然，这不仅仅是云盾系统的胜利。