雷鋒網(wǎng)注：本文來源綠盟科技，作者周亞，原標題為《黑客組織DDoS勒索事件應急的思考》。綠盟科技授權(quán)雷鋒網(wǎng)轉(zhuǎn)載。

1.事件背景

從2017年6月15日起，“無敵艦隊”組織向國內(nèi)多家證券金融公司、互聯(lián)網(wǎng)金融公司發(fā)起DDoS比特幣勒索，現(xiàn)已有超過6家金融證券類企業(yè)遭受DDoS攻擊勒索，且其中4家已經(jīng)遭受了大規(guī)模的DDoS攻擊，攻擊流量從2G到20G不等，對企業(yè)網(wǎng)絡產(chǎn)生了非常嚴重的影響。而“無敵艦隊”組織聲稱如果企業(yè)不按郵件要求按時支付比特幣，將進行持續(xù)的大規(guī)模流量攻擊（該組織聲稱攻擊流量可超過1T），并逐步提高勒索比特幣數(shù)額。

這其實并不是該組織第一次行動了，早在2015年12月，“無敵艦隊（Armada Collective）”就開始對中國境內(nèi)的互聯(lián)網(wǎng)企業(yè)實施同樣手法的DDoS攻擊的勒索。

本次事件收到的勒索郵件內(nèi)容如下：

2.DDOS防護應急手段

針對本次DDoS攻擊事件，下文就目前市場上主流的DDoS防護應急手段，按其差異性和適用場景做了簡要對比。

常規(guī)的DDoS防護應急方式因其選擇的引流技術(shù)不同而在實現(xiàn)上有不同的差異性，主要分成以下三種：

1.  本地DDoS防護設備；

2.  運營商清洗服務；

3.  云清洗服務。

三種類型的DDoS防護應急手段引流方式的原理：

了解引流技術(shù)原理后，簡要闡述各種方式在DDoS應急上的優(yōu)劣：

本地DDoS防護設備：

本地化防護設備，增強了用戶監(jiān)控DDoS監(jiān)控能力的同時做到了業(yè)務安全可控，且設備具備高度可定制化的策略和服務，更加適合通過分析攻擊報文，定制策略應對多樣化的、針對性的DDoS攻擊類型；但當流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬時，需要借助運營商清洗服務或者云清洗服務來完成攻擊流量的清洗。

運營商清洗服務：

運營商采購安全廠家的DDoS防護設備并部署在城域網(wǎng)，通過路由方式引流，和Cname引流方式相比其生效時間更快，運營商通過提清洗服務方式幫助企業(yè)用戶解決帶寬消耗性的拒絕服務攻擊；但是運營商清洗服務多是基于Flow方式檢測DDoS攻擊，且策略的顆粒度較粗，因此針對低流量特征的DDoS攻擊類型檢測效果往往不夠理想，此外部分攻擊類型受限于防護算法往往會有透傳的攻擊報文，此時對于企業(yè)用戶還需要借助本地DDoS防護設備，實現(xiàn)二級清洗。

云清洗服務：

云清洗服務使用場景較窄，當使用云清洗服務做DDoS應急時，為了解決攻擊者直接向站點真實IP地址發(fā)起攻擊而繞過了云清洗中心的問題，通常情況下還需要企業(yè)用戶配合做業(yè)務地址更換、Cname引流等操作配置，尤其是業(yè)務地址更換導致的實際變更過程可能會出現(xiàn)不能落地的情況。另一方面對于HTTPS Flood防御，當前云清洗服務需要用戶上傳HTTPS業(yè)務私鑰證書，可操作性不強。此外業(yè)務流量導入到云平臺，對業(yè)務數(shù)據(jù)安全性也提出了挑戰(zhàn)。

對比了三種方式的不同和適用場景，我們會發(fā)現(xiàn)單一解決方案不能完成所有DDoS攻擊清洗，推薦企業(yè)用戶在實際情況下可以組合本地DDoS防護設備+運營商清洗服務或者本地DDoS防護設備+云清洗服務，實現(xiàn)分層清洗的效果。針對金融行業(yè)，更推薦的組合方案是本地DDoS防護設備+運營商清洗服務。對于選擇云清洗服務的用戶，如果只是在DDoS攻擊發(fā)生時才選擇將流量導入到云清洗平臺，需要做好備用業(yè)務地址的更換預配置（新業(yè)務地址不可泄露，否則一旦被攻擊者獲悉將會失去其意義）。

3.DDOS防護實踐總結(jié)

借鑒DDoS攻防工程師總結(jié)的經(jīng)驗，企業(yè)客戶在DDoS防護體系建設上通常需要開展的工作有：

•  應用系統(tǒng)開發(fā)過程中持續(xù)消除性能瓶頸，提升性能

通過各類優(yōu)化技術(shù)，提升應用系統(tǒng)的并發(fā)、新建以及數(shù)據(jù)庫查詢等能力，減少應用型DDOS攻擊類型的潛在危害；

• 定期掃描和加固自身業(yè)務設備

定期掃描現(xiàn)有的網(wǎng)絡主節(jié)點及主機，清查可能存在的安全漏洞和不規(guī)范的安全配置，對新出現(xiàn)的漏洞及時進行清理，對于需要加強安全配置的參數(shù)進行加固；

•  確保資源冗余，提升耐打能力

建立多節(jié)點負載均衡，配備多線路高帶寬，配備強大的運算能力，借此“吸收”DDoS攻擊；

•  服務最小化，關(guān)停不必要的服務和端口

關(guān)停不必要的服務和端口，實現(xiàn)服務最小化，例如WWW服務器只開放80而將其它所有端口關(guān)閉或在防火墻上做阻止策略?？纱蟠鬁p少被與服務不相關(guān)的攻擊所影響的概率；

•  選擇專業(yè)的產(chǎn)品和服務

三分產(chǎn)品技術(shù)，七分設計服務，除了防護產(chǎn)品本身的功能、性能、穩(wěn)定性，易用性等方面，還需要考慮防護產(chǎn)品廠家的技術(shù)實力，服務和支持能力，應急經(jīng)驗等；

• 多層監(jiān)控、縱深防御

從骨干網(wǎng)絡、IDC入口網(wǎng)絡的BPS、PPS、協(xié)議分布，負載均衡層的新建連接數(shù)、并發(fā)連接數(shù)、BPS、PPS到主機層的CPU狀態(tài)、TCP新建連接數(shù)狀態(tài)、TCP并發(fā)連接數(shù)狀態(tài)，到業(yè)務層的業(yè)務處理量、業(yè)務連通性等多個點部署監(jiān)控系統(tǒng)。即使一個監(jiān)控點失效，其他監(jiān)控點也能夠及時給出報警信息。多個點信息結(jié)合，準確判斷被攻擊目標和攻擊手法；

• 完備的防御組織

囊括到足夠全面的人員，至少包含監(jiān)控部門、運維部門、網(wǎng)絡部門、安全部門、客服部門、業(yè)務部門等，所有人員都需要2-3個備份

• 明確并執(zhí)行應急流程

提前演練，應急流程啟動后，除了人工處理，還應該包含一定的自動處理、半自動處理能力。例如自動化的攻擊分析，確定攻擊類型，自動化、半自動化的防御策略，在安全人員到位之前，最先發(fā)現(xiàn)攻擊的部門可以做一些緩解措施。

總結(jié)

針對DDoS防御，主要的工作是幕后積累，在沒有充分的資源準備，沒有足夠的應急演練，沒有豐富的處理經(jīng)驗，DDoS攻擊將會造成災難性的后果。

雷鋒網(wǎng)注：本文來源綠盟科技，作者周亞，原標題為《黑客組織DDoS勒索事件應急的思考》。綠盟科技授權(quán)雷鋒網(wǎng)轉(zhuǎn)載。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。