开发者社区> 问答> 正文

160Gbit/s DDoS攻击及其背后的攻防博弈!

春节期间,阿里云开放存储系统遭受到三轮峰值近160Gbit/s的DDoS攻击。阿里云云盾系统实现完全自动化的防御,有效地阻断了大流量的攻击,保证了存储业务的正常运行。攻击者挑战的不仅仅是防护设备的性能,更是防护系统的完备性和响应效率,以及防护团队的专业能力和协作精神。
160Gbit/s的攻防博弈
第一轮攻击波
2月1日,正月初二,春节。中午12点,阿里云云盾防护系统检测到访问OSS系统(开放存储服务)的流量出现异常波动,在很短的时间内流量快速提升。
在无人干预的情况下,云盾的抗DDoS系统自动进入防护状态,将流量牵引到清洗设备上进行清洗。
攻击者加大攻击力度,流量上升迅速,攻击总带宽在半个小时内即接近160Gbit/s。下图显示双链路各自的攻击峰值。


在此期间,云盾系统进行了完全自动化流量清洗。
攻击者的攻击维持了2小时45分钟后放弃。下午3点左右,流量回归正常状态。
在这个三小时攻防大战中,云盾系统对攻击的检测及防护均自动化完成。OSS系统用户正常业务没有受到影响,没有接到用户投诉。
第二轮攻击波
2月5日,正月初六,春节。19:00,攻击卷土重来。云盾再次检测到大流量攻击。峰值超过70Gbit/s。                                                                                                       
云盾自动清洗,化解黑客攻击。OSS的正常业务没有受到影响,无用户投诉。
第三轮攻击波
2月6日,正月初七,春节。22:00,大流量攻击再次发生,峰值42Gbit/s。云盾成功防护,客户业务无影响。
魔高一尺,道高一丈
事后对源、目标和攻击类型的分析过程中,我们发现了很多比较明显的共同点,因此基本可以判断是由一个黑客/黑客组织发起的对于同一目标的攻击事件。
经过对捕获的攻击数据包分析,黑客的攻击手段主要采用SYN Flood。SYN Flood是一种非常典型和常见的系统资源消耗型DDoS攻击,是在TCP连接创建的握手阶段,利用客户端与服务器三次交互对服务器侧的TCP资源进行攻击。攻击者通过向被攻击目标服务器发出大量TCP SYN报文,使服务器打开并维持大量的半开连接,进而占满服务器的连接表,影响正常用户与服务器建立会话,造成拒绝服务。                                                                                                                                                                 
从攻击者实际的攻击行为上来说,存在比较明显的特征。攻击者为了提高攻击带宽,增加了相对固定的负载。从另一方面来说,也为云盾的检测和阻断提供了依据。
不仅是云盾系统的胜利
虽然SYN Flood攻击非常普遍,但是单纯依靠SYN Flood就打出如此高的攻击带宽却是非常罕见的。去年5月份,国外黑客组织攻击美国金融系统时,也曾打出了167Gbit/s的高带宽,采用的是DNS反射放大攻击,利用了DNS查询包和响应包之间的杠杆作用。
事件的另一个亮点是云盾系统在整个事件中实现了全自动化的检测、分析和清洗工作。虽然是自动化防护,即便是在春节期间,云盾系统7X24的安全应急和专家团队坚守岗位,对攻击进行了全程监控,保证对攻防大战的完全可控。
最后,更让我们感到欣慰的是,此番160Gbit/s DDoS的攻防博弈中,用户的正常业务没有受到影响。显然,这不仅仅是云盾系统的胜利。




展开
收起
yundun1 2014-02-13 15:00:03 18299 0
10 条回答
写回答
取消 提交回答
  • 最佳回答:

    经常进黑洞,黑洞时间也延长了。不然就得上DDoS高防了。

    官方帮助文档地址:阿里云帮助中心

    更多参考: 阿里云官方(新用户需官网注册查看)

    2021-11-17 20:51:51
    赞同 展开评论 打赏
  • 经常进黑洞,黑洞时间也延长了。不然就得上DDoS高防了。

    2021-08-26 08:29:35
    赞同 1 展开评论 打赏
  • Re160Gbit/sDDoS攻击及其背后的攻防博弈!
    5G进黑洞太低了,应该提高至 10G,如果阿里云有那条件越高越好!服务器行业还不被阿里云垄断啊,哈哈
    2015-04-05 00:16:16
    赞同 展开评论 打赏
  • Re160Gbit/sDDoS攻击及其背后的攻防博弈!
    我的服务器现在被16GB流量攻击了几个小时了,自动清洗后还是继续攻击,找不到解决办法,刚把服务器停止服务了1个小时,启动后,TMD还在继续攻击,服务仍在死中中中。。
    2015-03-15 19:55:14
    赞同 展开评论 打赏
  • 说的再好 ,跟我们有半毛钱的关系啊。5G 进洞
    2015-03-11 14:50:30
    赞同 展开评论 打赏
  • Re160Gbit/sDDoS攻击及其背后的攻防博弈!
    域名会被拉黑
    2015-03-09 20:19:54
    赞同 展开评论 打赏
  • 果然攻击流量越大,越不能持续啊。
    2015-03-09 12:58:49
    赞同 展开评论 打赏
  • Re160Gbit/sDDoS攻击及其背后的攻防博弈!
    楼上两位是来打脸的么?
    2015-03-09 08:21:17
    赞同 展开评论 打赏
  • Re160Gbit/sDDoS攻击及其背后的攻防博弈!
    难怪,2月初那段时间总是访问不了,一被攻击就无法访问如何解决?
    2014-03-15 15:29:57
    赞同 展开评论 打赏
  • Re160Gbit/sDDoS攻击及其背后的攻防博弈!
    9G就进了黑洞

    一被攻击就傻眼..
    我该如何是好

    看图!!


    就这图..被攻击的时候都不能正常访问
    2014-02-13 17:29:07
    赞同 展开评论 打赏
滑动查看更多
问答排行榜
最热
最新

相关电子书

更多
《2019年DDoS攻击态势报告》 立即下载
如何做好网络安全红蓝对抗 立即下载
打击网络黑产浅见分享 立即下载