初期DDoS勒索的对象常常是那些围绕着棋牌游戏网站。攻击者会在赛事开始前发动一次攻击,以此正告网站的运营者,逼迫他们付钱来免遭攻击。但最近几年来,DDoS攻击已遍及到各行各业。从电子商务到游戏网站,从竞争对手到合作火伴。任何有在线业务的企业或机构都可能成为攻击对象,特别是那些缺少安全防护的企业。
攻击者一般会采取一到两个步骤:1.实行一段时间的攻击,然后停止;2.索要赎金。有的攻击者,省去第一个步骤,直接要钱。受害者面临两个选择,要末付钱,要末被DDoS。
从2017年6月15日起,“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发起DDoS比特币勒索,现已有超过6家金融证券类企业遭受DDoS攻击勒索,且其中4家已遭受了大范围的DDoS攻击,攻击流量从2G到20G不等,对企业网络产生了非常严重的影响。而“无敌舰队”组织宣称如果企业不按邮件要求按时支付比特币,将进行延续的大范围流量攻击(该组织宣称攻击流量可超过1T),并逐渐提高勒索比特币数额。
这其实其实不是该组织第一次行动了,早在2015年12月,“无敌舰队(Armada Collective)”就开始对中国境内的互联网企业实行一样手法的DDoS攻击的勒索。
本次事件收到的勒索邮件内容以下:
6月10号,德国付款处理公司Computop的一位IT团队成员在公司公然邮箱中收到了一封恐吓信,宣称若在6月15日前不向攻击者支付15比特币(约7900英镑)赎金的话,公司客户网站将会遭到大范围DDoS攻击。
邮件中称,他们已发起了小型DDoS演示攻击以证明自己的意图。公司IT团队也在检查了监测系统后对此予以了证实。这个要挟确切是货真价实能带来严重后果的,不是空口白话。
邮件中以蹩脚的英语正告道:“如果你们决定不付钱,我们将在预定日期发起攻击,会延续到你们就犯为止。你们抗拒不了,寻觅解决方案只会让你们浪费更多金钱。”
“我们会在谷歌和你们客户之间完全摧毁你们的名誉,保证你们的网站在支付赎金之前都上不了线。”
Computop的CEO拉尔夫·格拉迪斯听到这个要挟的时候,他偏向于破财免灾。但在与业界联系人交谈过后,他决定做点区别寻常的事。事实上,是极罕见而使人意想不到的事。
他决定不通过简单地带领公司独自对抗攻击的传统方式迎战,而是准备通告公司5000多名客户和合作火伴——6月15号那天公司将可能迎来会对每一个人都造成重大麻烦的大范围DDoS攻击。
Computop的工程师们已证实,80⑼0Gbits/s的攻击强度便足以造成平台宕机,数据中心周边的任何人都没法幸免。
在DDoS攻击发起最后时限前数小时,格拉迪斯又发出了第二封邮件,写道:“我们不打算保持沉默,决定随时通报事情进展。”
“DDoS每天都在产生,他们不可能攻击每一个人。这也是为何我们应当利用商业合作火伴社区的缘由——联合起来,相互学习,确保恶运降临时有所准备。”
2.DDOS防护应急手段
针对本次DDoS攻击事件,下文就目前市场上主流的DDoS防护应急手段,按其差异性和适用处景做了扼要对照。
常规的DDoS防护应急方式因其选择的引流技术区别而在实现上有区别的差异性,主要分成以下三种:
1. 本地DDoS防护装备;
2. 运营商清洗服务;
3. 云清洗服务。
三种类型的DDoS防护应急手段引流方式的原理:
了解引流技术原理后,扼要论述各种方式在DDoS应急上的优劣:了解引流技术原理后,扼要论述各种方式在DDoS应急上的优劣:
本地DDoS防护装备:
本地化防护装备,增强了用户监控DDoS监控能力的同时做到了业务安全可控,且装备具有高度可定制化的策略和服务,更加合适通过分析攻击报文,定制策略应对多样化的、针对性的DDoS攻击类型;但当流量型攻击的攻击流量超越互联网链路带宽时,需要借助运营商清洗服务或云清洗服务来完成攻击流量的清洗。
运营商清洗服务:
运营商采购安全厂家的DDoS防护装备并部署在城域网,通过路由方式引流,和Cname引流方式相比其生效时间更快,运营商通过提清洗服务方式帮助企业用户解决带宽消耗性的谢绝服务攻击;但是运营商清洗服务多是基于Flow方式检测DDoS攻击,且策略的颗粒度较粗,因此针对低流量特点的DDoS攻击类型检测效果常常不够理想,另外部份攻击类型受限于防护算法常常会有透传的攻击报文,此时对企业用户还需要借助本地DDoS防护装备,实现二级清洗。
云清洗服务:
云清洗服务使用处景较窄,当使用云清洗服务做DDoS应急时,为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题,通常情况下还需要企业用户配合做业务地址更换、Cname引流等操作配置,特别是业务地址更换致使的实际变更进程可能会出现不能落地的情况。另外一方面对HTTPS Flood防御,当前云清洗服务需要用户上传HTTPS业务私钥证书,可操作性不强。另外业务流量导入到云平台,对业务数据安全性也提出了挑战。
对照了三种方式的区别和适用处景,我们会发现单一解决方案不能完成所有DDoS攻击清洗,推荐企业用户在实际情况下可以组合本地DDoS防护装备+运营商清洗服务或本地DDoS防护装备+云清洗服务,实现分层清洗的效果。针对金融行业,更推荐的组合方案是本地DDoS防护装备+运营商清洗服务。对选择云清洗服务的用户,如果只是在DDoS攻击产生时才选择将流量导入到云清洗平台,需要做好备用业务地址的更换预配置(新业务地址不可泄漏,否则一旦被攻击者得悉将会失去其意义)。
3.DDOS防护实践总结
鉴戒DDoS攻防工程师总结的经验,企业客户在DDoS防护体系建设上通常需要展开的工作有:
利用系统开发进程中延续消除性能瓶颈,提升性能
通过各类优化技术,提升利用系统的并发、新建和数据库查询等能力,减少利用型DDOS攻击类型的潜伏危害;
定期扫描和加固本身业务装备
定期扫描现有的网络主节点及主机,清查可能存在的安全漏洞和不规范的安全配置,对新出现的漏洞及时进行清算,对需要加强安全配置的参数进行加固;
确保资源冗余,提升耐打能力
建立多节点负载均衡,配备多线路高带宽,配备强大的运算能力,借此“吸收”DDoS攻击;
服务最小化,关停没必要要的服务和端口
关停没必要要的服务和端口,实现服务最小化,例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做禁止策略。可大大减少被与服务不相关的攻击所影响的几率;
选择专业的产品和服务
三分产品技术,七分设计服务,除防护产品本身的功能、性能、稳定性,易用性等方面,还需要斟酌防护产品厂家的技术实力,服务和支持能力,应急经验等;
多层监控、纵深防御
从骨干网络、IDC入口网络的BPS、PPS、协议散布,负载均衡层的新建连接数、并发连接数、BPS、PPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态,到业务层的业务处理量、业务连通性等多个点部署监控系统。即便一个监控点失效,其他监控点也能够及时给出报警信息。多个点信息结合,准确判断被攻击目标和攻击手法;
完备的防御组织
包括到足够全面的人员,最少包括监控部门、运维部门、网络部门、安全部门、客服部门、业务部门等,所有人员都需要2⑶个备份
明确并履行应急流程
提早演练,应急流程启动后,除人工处理,还应当包括一定的自动处理、半自动处理能力。例如自动化的攻击分析,肯定攻击类型,自动化、半自动化的防御策略,在安全人员到位之前,最早发现攻击的部门可以做一些减缓措施。
总结
针对DDoS防御,主要的工作是幕后积累,在没有充分的资源准备,没有足够的应急演练,没有丰富的处理经验,DDoS攻击将会造成灾害性的后果。
