春节期间,阿里云开放存储系统遭受到三轮峰值近160Gbit/s的DDoS攻击。阿里云云盾系统实现完全自动化的防御,有效地阻断了大流量的攻击,保证了存储业务的正常运行。攻击者挑战的不仅仅是防护设备的性能,更是防护系统的完备性和响应效率,以及防护团队的专业能力和协作精神。
160Gbit/s的攻防博弈
第一轮攻击波
2月1日,正月初二,春节。中午12点,阿里云云盾防护系统检测到访问OSS系统(开放存储服务)的流量出现异常波动,在很短的时间内流量快速提升。
在无人干预的情况下,云盾的抗DDoS系统自动进入防护状态,将流量牵引到清洗设备上进行清洗。
攻击者加大攻击力度,流量上升迅速,攻击总带宽在半个小时内即接近160Gbit/s。下图显示双链路各自的攻击峰值。
在此期间,云盾系统进行了完全自动化流量清洗。
攻击者的攻击维持了2小时45分钟后放弃。下午3点左右,流量回归正常状态。
在这个三小时攻防大战中,云盾系统对攻击的检测及防护均自动化完成。OSS系统用户正常业务没有受到影响,没有接到用户投诉。
第二轮攻击波
2月5日,正月初六,春节。19:00,攻击卷土重来。云盾再次检测到大流量攻击。峰值超过70Gbit/s。
云盾自动清洗,化解黑客攻击。OSS的正常业务没有受到影响,无用户投诉。
第三轮攻击波
2月6日,正月初七,春节。22:00,大流量攻击再次发生,峰值42Gbit/s。云盾成功防护,客户业务无影响。
魔高一尺,道高一丈
事后对源、目标和攻击类型的分析过程中,我们发现了很多比较明显的共同点,因此基本可以判断是由一个黑客/黑客组织发起的对于同一目标的攻击事件。
经过对捕获的攻击数据包分析,黑客的攻击手段主要采用SYN Flood。SYN Flood是一种非常典型和常见的系统资源消耗型DDoS攻击,是在TCP连接创建的握手阶段,利用客户端与服务器三次交互对服务器侧的TCP资源进行攻击。攻击者通过向被攻击目标服务器发出大量TCP SYN报文,使服务器打开并维持大量的半开连接,进而占满服务器的连接表,影响正常用户与服务器建立会话,造成拒绝服务。
从攻击者实际的攻击行为上来说,存在比较明显的特征。攻击者为了提高攻击带宽,增加了相对固定的负载。从另一方面来说,也为云盾的检测和阻断提供了依据。
不仅是云盾系统的胜利
虽然SYN Flood攻击非常普遍,但是单纯依靠SYN Flood就打出如此高的攻击带宽却是非常罕见的。去年5月份,国外黑客组织攻击美国金融系统时,也曾打出了167Gbit/s的高带宽,采用的是DNS反射放大攻击,利用了DNS查询包和响应包之间的杠杆作用。
事件的另一个亮点是云盾系统在整个事件中实现了全自动化的检测、分析和清洗工作。虽然是自动化防护,即便是在春节期间,云盾系统7X24的安全应急和专家团队坚守岗位,对攻击进行了全程监控,保证对攻防大战的完全可控。
最后,更让我们感到欣慰的是,此番160Gbit/s DDoS的攻防博弈中,用户的正常业务没有受到影响。显然,这不仅仅是云盾系统的胜利。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。