360社区
“永恒之蓝”勒索蠕虫攻击事件刚刚平息,近日多家证券公司及互联网金融公司又遭受“无敌舰队”组织发起的DDoS攻击勒索,这种大流量DDoS攻击对目前主流的抗DDos攻击方式提出了挑战。 “无敌舰队”攻击时,企业官网被大量的DDoS攻击流量堵塞导致网站无法访问,攻击流量基本在800Mbps-50Gbps不等,攻击时间在15分钟到1个小时左右。勒索者会给企业发送邮件并要求支付10个比特币(现市值大约18万人民币),如果企业未在规定时间内支付比特币,将增加勒索比特币的额度要求,并将DDoS攻击流量增加到最大1Tbps。
目前已有用户选择报警,但由于无法准确对攻击进行溯源而且勒索者在国外,警方短时间难以追踪勒索者,建议企业自行加强防御措施抵御DDoS攻击,以确保网站业务的正常使用。
360社区
图 1 黑客勒索邮件
针对大流量的DDoS攻击现在主要有三种方式进行防御,分别是盒式的抗DDoS设备防护、运营商清洗防护、云端抗DDoS清洗防护。
盒式抗DDoS设备无能为力
目前主要的盒式抗DDoS设备在针对DDoS攻击时存在着致命的普遍性的问题,当攻击流量超出用户出口带宽时用户网络出口会被DDoS攻击流量堵死,即使盒式抗D设备有超出出口带宽的DDoS攻击处理能力,也无法处理超出出口带宽的DDoS攻击。一般金融证券等企业用户的出口带宽可能在几百兆到几个G左右,但是现在包括反射放大攻击在内的DDoS攻击流量动辄几十个G甚至上百个G,本地盒式设备针对大流量攻击无能为力。
360社区
运营商清理防护有一定局限
运营商在抗D上有着天然的带宽及链路控制优势,其防护的效率和能力也非常强。专业运营商的抗D分为流量压制和近源清洗两种类型。
◆ 流量压制
即将所有去往目的IP地址的访问流量全部丢弃,这种处理方式简单粗暴,会导致正常用户网站的访问流量也无法访问目标网站,不适合企业级用户使用,一般IDC用户在自有机房无法抵御超大流量攻击时会调用运营商的流量压制能力。
◆ 近源清洗
即通过判断攻击源的位置并通过运营商的近源网络节点将攻击流量从源网络出口进行阻断。这种方式存在以下问题:
1、在近源端清洗时误报率较高,可能导致和攻击源使用相同运营商节点的访问用户因被误杀而无法正常访问网站。
2、单一运营商抗D无法清洗其他运营商内的DDoS攻击流量,这留下了巨大的风险敞口,使得某运营商对其他运营商内部的DDoS攻击行为无能为力,而对金融用户来讲,必须要做到全网用户可访问,所以运营商清洗的这个缺点对大多数金融用户来说无法接受。
3、运营商抗D不会给用户做产品交付,当用户遭受DDoS攻击时需要用户给运营商电话或邮件发送清洗指令,是否能够提供严格的SLA应急响应服务保障是金融用户选择抗D服务的一个重要考量。
云端抗DDoS清洗防护恰逢其时
在盒子抗D和运营商抗D有明显缺陷的情况下,以360安域为代表的云端抗D清洗防护服务是用户首选的抗D方式。
◆ HTTP/HTTPS网站常规防护方案
360社区
360安域Web应用安全云防护系统可以通过云端有效的防护攻击者针对网站的发起的SYN Flood攻击、ACK Flood攻击、UDP Flood攻击、ICMP Flood攻击,以及基于这4类攻击的变种攻击,比如NTP 反射攻击、DNS 反射攻击、IP 分片攻击等各种流量型攻击方式。
用户接入云防护系统非常便捷,只需要修改其DNS指向,将原来域名指向服务器IP地址的方式通过CNAME引流指向云防护系统即可,云防护系统可以在不影响网站访问的情况下,10分钟左右完成快速接入。
当检测到由大流量DDoS攻击时,360安域Web应用安全云防护系统可以将大流量调度到360全国的几十个高防节点机房进行清洗防护,清洗后将正常流量返回给用户网络。360现在最大可以抵御600Gbps-1Tbps的大流量DDoS攻击。
当用户遭受超出其购买套餐流量时候,本着对用户负责的态度和原则,360不会直接放行DDoS的攻击流量,在短期内会替用户先扛着,除非对用户的攻击是持续性的大流量攻击,360会根据生成的流量报表和用户协商更换套餐。
360可以和用户签署具有法律效力的保密协议确保用户通过云端的数据安全,针对用户的HTTPS网站防护,360还可以通过以下技术性方案来确保用户数据安全。
◆ Keyless方案:
传统的针对HTTPS网站的防护,需要用户上传网站的公钥及私钥证书用于数据的加密解密,虽然厂商基于安全责任及法律要求不会做任何危害用户数据安全的事情,但是金融类的用户往往对上传私钥有所顾虑。360可以通过在用户本地网络部署Keyless服务器将用户HTTPS网站私钥存储在用户本地网络,当互联网用户和网站服务器进行会话秘钥协商时由360安域Web应用安全云防护系统代理客户端去Keyless服务器对SSL参数进行解密并完成后续会话秘钥的协商。可以确保用户私钥永远在本地,且云防护系统无法获得私钥,以此确保用户数据内容的安全。Keyless方案是专门针对金融、证券等行业用户对HTTPS网站防护数据安全性要求较高的用户设计的经过验证的成熟的可行方案。
360社区
◆ 四层代理清洗方案
360有成熟的四层云端代理清洗技术,即通过使用BGP IP对用户HTTP/HTTPS网站业务进行接入,直接从TCP层对DDoS攻击进行判断和清洗,对用户的应用层数据不感知,不基于网站内容进行防护。这样厂商永远不接触用户数据并可以对DDoS攻击进行有效清洗。
用户使用基于云端代理防护时,用户从网站服务器看到的所有攻击及访问源IP地址都是云端防护系统的回源IP,而看不到真实互联网访问者IP地址,这对金融用户是很难接受的。360开创性的通过在云端防护系统及网站服务器之间部署IP地址解析转换器的方式完成地址的解析转换,通过对IP地址的解析转换,可以让服务器端直接查看到真实的互联网访问及攻击者的真实源IP地址。
如果用户的源站服务器IP地址暴露,黑客可能直接攻打源站服务器的IP地址而绕过云端防护系统,此时用户需要预留IP地址,当服务器IP地址被直接攻击时云端防护系统可以将数据回源到用户的预留IP地址上,由于云端防护系统可以隐藏网站服务器的细节,可以确保黑客永远无法获取到新的IP地址,当然为了避免操作的麻烦,用户也可以在接入时直接替换并由云端防护系统直接隐藏源站IP地址。
如果用户网站已经有CND、负载均衡等通过CNAME解析的配置,360可以无缝的做前后CNAME值的递归解析接入和回源,确保用户可以自行快速控制云端防护系统的防护和回源状态配置,用户可以按需使用。
360社区
目前对DDoS攻击进行追踪,对攻击IP地址及背后的CC控制器进行溯源分析还比较困难,非技术手段对抗DDoS攻击难以实现,所以通过技术手段做好DDoS的攻击防护还是当下主要能做的事情。在此360建议金融机构还是做好日常的DDoS攻击防御措施资源准备,建立常态化的DDoS应急演练,累积应对DDoS攻击的经验,当DDoS攻击来时不至于手足无措。当遭受DDoS攻击时应及时报警并寻找有效适用的抗D措施进行防御以减少损失。
来源 360企业安全
|
评论
直达楼层