一次对抗大规模DDoS的真实经历

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
简介: 本文讲的是 一次对抗大规模DDoS的真实经历,每个网站都会面对网络攻击。唯一的区别在于,如何建设防御,以及如何进行警报和响应。

本文讲的是 一次对抗大规模DDoS的真实经历,每个网站都会面对网络攻击。唯一的区别在于,如何建设防御,以及如何进行警报和响应。

在网络上很难找到关于防御黑客攻击的真实案例。一方面,信息披露可能会引发官司,另一方面,披露这些信息往往会导致不良的财务后果,因此各公司往往不情愿分享相关细节。然而,如果我们完全不披露这些故事,会使其它人在不知情的情况下犯相同的错误。如果我们为建立威胁情报共享体系做出贡献,分享网络安全战场上的真实经验,可以让事情变得更好。

乙方是一家SaaS(软件即服务)公司,为大中型企业提供网页内容管理服务。其服务的客户A公司专注于帮助医疗供应商提高运营和财务绩效,A公司为数千家医院和医疗保健机构客户提供服务,管理数十亿美元的开支。

要分析的这次DDoS攻击的规模极大:在攻击高峰时,8600万个用户同时从世界各地的超过10万台主机上访问网站(当事方联系了FBI)。当攻击结束39小时后,防护方艰难的取得防御性胜利。下面是事件过程:

疯狂攻击

A公司的年度会议即将召开,会议将有15000人参加。会议的前一天晚上,乙方收到了警报消息。A公司的网站服务器正承载着难以置信的网络流量。需要说明的是,A公司也是一家SaaS提供商,为客户提供数据内容和分析,因此这种程度的访问量会极大地影响该公司的服务质量和信誉。没有多少时间,必需快速做出响应。

所有访问请求都来自百分百合法的URL。所以很难分辨出其中的恶意流量

攻击来源遍布世界各地:北朝鲜、爱沙尼亚、立陶宛、中国、俄罗斯、南美

60%的访问量来自美国本土

攻击者直接解除DNS和攻击IP地址的关联

一开始,防御方使用AWS(Amazon Web Service)Route 53,重新配置了一些文件,然后立即切断了与这些IP地址的通信。在成功抵御了最初的几波攻击后,网络似乎恢复了正常,但事实证明,这只是第一波,而接下来的才是更疯狂的攻击。

当天傍晚,攻击再次发起并直接指向DNS域名,这意味着之前的IP拦截策略不再奏效,眼看着数据流量急剧上升。

放弃还是抵抗

乙方和A公司的首席信息官进行了讨论,最后达成一致意见:决定抵抗到底。作为一家SaaS公司,提供持续、可靠的服务,维持公司信誉是重中之重。双方同意分担预计为数万美元的防御成本,为正义而战。

经过仔细审视第二波攻击,防御方意识到可以立即采取一些缓解措施:

  1. A公司的业务只面向美国客户,不过也有少部分流量来自国外。因此防御方迅速地建立了一些防火墙规则,这些规则只允许来自美国的流量通过。于是,40%的攻击流量被拒之门外。
  2. 在AWS(Amazon Web Service)Route 53后面加了一道网络应用防火墙,配置了一些HA代理,这可以为FBI收集大量的登录信息,便于他们进行事后分析工作。
  3. 调整流量自动缩放的配置。自动缩放会根据接入流量规模大小调整自己的上下阈值。将下阈值调整得比上阈值大得多,这意味着系统在流量变大时会做出合适的反应,但永远不会达到流量下阈值。结果,每个运行的实例都会在服务列表中永续存在,记录完整无损的登录信息,以备FBI分析。
    兵来将挡,水来土淹

攻击者放大攻击强度,AWS就放大防御强度。攻击者进一步放大攻击强度,AWS就进一步放大防御强度,这样的情景在第二天反复上演。与此同时,乙方每小时就向A公司的董事会负责人汇报一次情况。

在DDoS攻击的最高峰,共部署了18台大型、计算机能力加强版的HA代理服务器,40台大型网页服务器。网页服务器群特别大,因为尽管阻隔了美国本土外的流量,降低了总数据流量的40%,但剩下的60%来源于美国本土的连接中也包括合法的URL。大多数连接都在访问动态服务,这部分访问记录不太容易抓取。

攻击者的目标是一个非常大型的全球化机构。防御方通过非常稳定的HA代理防火墙和负载均衡配置,部署了高度延展的网页服务器群。然后就是云防护(CloudFront),这是AWS的全球内容分发网络。再然后是Route 53,Route 53是AWS的全球冗余DNS平台。这些设备共同组成了关键基础设施,提供了在每一层上的可扩展性和安全性。

在第二天晚上7点左右,事情开始发生转变。在加强了防御强度后,攻击者并没有进一步增加攻击强度。此时此刻,服务器正承载着来自全球10万台主机的8600万个攻击连接,通过AWS基础设施的流量达到每秒20GB。

攻击者无计可施,只能反复地发动攻击,最后直到完全放弃。事后A公司的首席执行官告诉我们,如果他们的网站托管在自己的数据中心,防御的选择就会非常少,而且可能在攻击开始仅仅八个小时之内就会完全无力应对。

最后核算一下防御成本,本次通过亚马逊网络服务成功进行的这次长达36个小时的防御,费用不超过1500美元。双方平摊的话,各方还不到750美元。

下面是这次在大规模DDoS攻击中存活下来的经验,以及一些可以用来加强数据中心,并保护公司网站的策略:

  1. 针对DDoS攻击设计、配置、测试你的设备。借助你的托管服务商的经验来进行这些测试,善用他们的援助。
  2. 确认你的网络环境中的“正常”是什么样子。这样在网络状态进入“不正常”状态时可以即时设置报警。
  3. 将你面向公共的域名别名化(alias)到内部域名。这可以让你在幕后进行快速响应,并实时做出DNS修正,而不需要依赖第三方服务供应商。
  4. 学会如何有效地在可能受到威胁的情况下进行DNS修正。经常进行练习。
  5. DDoS攻击会用到数百个攻击向量,试图耗尽服务器的资源。流量测试会启动许多并行线程,这可能使DDoS攻击更加凶猛。每个测试都至少应当运行三小时,以维持响应时间,但在两次测试之间应留出足够的响应区间。在进行显著性测试、风险悬浮以及取消服务之前应当授予明确的许可。
  6. 在进行自动放大配置时,不要将CPU负载作为量度。DDoS攻击的最好证据就是接入HTTP请求的数量上升,因此最好将接入连接数作为触发警报的量度。
  7. 防御规模应当增加得迅速,但下降得缓慢。增加和下降的速度比应当设置为4:1或2:1。这会使系统在应对第一波攻击时响应快速,之后也不需要反复增加规模。特别是在攻击者采取放风筝战术,即撤退后又杀回来的情况下。
  8. 如果使用AWS弹性负载均衡(AWS Elastic Load Balancing),激活“交叉地带负载均衡”选项。这对于均衡后端服务器群的流量而言是最好选择,会显著地减轻DNS设施上的负载。

安全行业需要集体合作,更好地了解敌人的战术、技术和攻击流程,以在和恶意黑客的战斗中取得先机。

原文发布时间为:四月 28, 2015
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/7527.html

相关文章
|
3月前
|
安全 物联网 BI
微软:云服务大规模宕机因DDoS“防卫过当”
杀毒软件导致全球蓝屏,DDoS防护导致云服务宕机,微软这家全球最大的网络安全公司,正在不断刷新人们对“安全威胁”的认知。 微软本周三晚间宣布,本周二全球范围内多个Microsoft 365和Azure云服务大规模长时间宕机事件的原因,是一次DDoS攻击触发了微软DDoS防护机制的“过激反应”。 此次宕机影响了多个微软服务,包括XBOX、Microsoft Entra、Microsoft 365及Microsoft Purview(包括Intune、Power BI和Power Platform)、Azure应用服务、Azure IoT Central、Azure日志搜索警报、Azure策略以及
|
云安全 人工智能 安全
复盘 | 最大规模资源耗尽型DDoS,阿里云是如何抵御的?
定义每个域名的“白”,从而更好剔除“黑”。
4383 0
复盘 | 最大规模资源耗尽型DDoS,阿里云是如何抵御的?
|
安全 网络安全 Apache
游戏安全资讯精选 2018年第七期:棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击
棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击
3095 0
|
缓存 安全 网络安全
758.6G每秒:阿里云成功防御国内最大规模Memcached DDoS反射攻击
本周,阿里云安全DDoS监控中心数据显示,利用Memcached 进行DDoS攻击的趋势快速升温。今天, 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。
10513 0
|
安全 网络安全 虚拟化
|
Web App开发 前端开发 JavaScript
|
安全 网络安全 数据中心
秒极黑洞 解决大规模DDoS攻击导致的“躺枪”
本文讲的是 秒极黑洞 解决大规模DDoS攻击导致的“躺枪”,对于一个数据中心来说,大流量DDoS攻击常常带来的一个额外的不良结果是“连带效应” (collateral effect),即黑客对A用户的攻击会影响到B甚至更多用户的业务,很多网站业务受到影响而无法提供正常业务;
2175 0
|
安全 网络安全 网络协议
PortMapper被滥用进行大规模DDoS攻击
本文讲的是PortMapper被滥用进行大规模DDoS攻击,又一种DDoS攻击,服务器管理员需要做更多工作。
1511 0
|
Web App开发 安全 网络安全
大规模应用层攻击可击败混杂型DDOS防御
本文讲的是大规模应用层攻击可击败混杂型DDOS防御,如果应用层 DDOS 攻击吞噬大量带宽,可能给 DDOS 前置防御带来麻烦。
1590 0