近年來,中國互聯網出海已成燎原之勢,遊戲出海,網絡先行。但是,DDoS 攻擊卻始終是環繞在出海遊戲企業頭頂的噩夢。
近期,UCloud安全中心就接到一例關於DDoS勒索攻擊的求助,最終經過完備的雲上安全防護,成功逼退黑客。
不交“贖金”就打爆!
2019年12月下旬,某遊戲公司突然遭到70G流量的DDoS攻擊,並基於前期購買的UCloud高防服務抵抗住了這一波攻擊。遊戲公司負責人G先生本以爲這就是一次小打小鬧,黑客方應該已經知難而退。
沒有料到的是,這僅僅是一次攻擊的前奏曲。
當天晚上,G先生便收到了來自黑客組織的勒索消息。黑客方聲稱來自A記,A記是一個臭名昭著的國際黑客組織,從2018年起便陸續被各大安全廠商曝光DDoS勒索的行徑。
圖:黑客勒索的溝通截圖
在G先生與黑客的溝通過程中,黑客聲稱第一次的70G DDoS攻擊只是一個引子,如若G先生不妥協,將持續發動更大規模的攻擊。
這也是A記黑客組織一貫的攻擊套路,通常先進行小規模攻擊試探,並威脅企業支付“贖金”,如果被拒便會發起更爲猛烈的大流量攻擊,以此脅迫企業就範。可以看出來,黑客應該已有多次勒索成功經歷,似乎篤定了這次G先生也會妥協,言辭之間非常狂妄囂張。
圖:黑客態度非常狂妄
妥協 or 拒絕?
可能有很多人不太理解,爲什麼黑客組織會有勒索成功的經歷,以下稍作說明。
DDoS攻擊與其他黑客攻擊的區別在於,DDoS沒有太多花樣,不像釣魚鏈接、後門等需要僞裝潛伏的攻擊手段,DDoS攻擊非常簡單粗暴,就是以攻擊量取勝。
這也便導致了2個問題:
1、防禦成本遠遠高於攻擊成本;
2、大流量攻擊下出海遊戲企業難以抵禦。
什麼意思呢?對於遊戲企業來講,網絡穩定性至關重要,訪問中斷幾小時或者幾天,便足夠毀掉一個企業。正因如此,不少黑客瞄準了受害者的心理,出海遊戲企業便成爲了DDoS受害的重災區。此外,當發生上百G甚至更高的大流量攻擊時,通常需要多集羣防護與足夠的帶寬資源,這也對提供抗DDoS服務的安全企業提出了較高的要求。
由於缺錢缺資源、攻擊緊迫性又非常高,不少企業出於“花錢買平安”的心態,便會屈服於黑客的勒索之下。
此時,擺在G先生面前也是同樣一個問題:妥協 or 拒絕?
毫無疑問,G先生果斷拒絕。
成功化解300G大流量攻擊
黑客與G先生談崩以後,惱羞成怒,擯棄之前小規模的試探,在當天下午2點鐘左右便開始發動猛烈的攻勢。如下圖,攻擊流量瞬時達到了近300G的峯值!
圖:攻擊流量監控圖
可能有讀者無法直觀體會300G大流量攻擊的威力,來看近期發生的一個案例:2月28日,加密貨幣交易所 OKEx 先是遭到300G流量攻擊,致使網絡宕機1分鐘左右,之後又遭到400G流量攻擊,直接導致 OKEx 暫停相關交易40分鐘。
在本次針對遊戲企業的攻擊過程中,除了超大流量外,黑客還發動了多種攻擊手段,先是DNS反射與LDAP反射齊飛,接着又陸續發動TCP SYN Flood、ACK Flood以及各種IP層報文的混合攻擊……總攻擊時長持續73分鐘,累計攻擊流量39PB。
圖:各類攻擊手段數據統計
可以看到,黑客幾乎拿出了所有看家本領。但是,在UCloud的協助佈防下,這次攻擊對用戶網絡絲毫無影響,在此期間,遊戲業務正常穩定運行。
圖:與用戶確認業務是否受影響
在遊戲公司遭受第一波小規模DDoS攻擊時,UCloud安全中心便已介入瞭解該事件。在瞭解到勒索情況後,由於無法預估黑客具體的攻擊數字,UCloud和用戶溝通後建議採用彈性防護措施佈防,並先後採取高防IP分配、特殊轉發規則配置、精細化防護策略添加等手段,實現隱藏用戶源站IP的效果。
當黑客開始攻擊時,所有的攻擊量及攻擊手段全部被轉移至UCloud雲端高防IP站點,該高防站點設置攻擊上限爲1T,可輕鬆實現300G的攻擊量抵禦。最終,成功逼退A記黑客組織。
黑客攻擊手段分析
此次事件並不是個例,在UCloud安全中心的監測歷史中,DDoS攻擊的發生頻率非常高,我們也幫助用戶做了不少防禦。
我們注意到,黑客的攻擊手段在不斷進化,除了常規的的Syn Flood攻擊、CC攻擊等,近幾年更爲流行的是反射放大型攻擊,也是本次攻擊過程中黑客使用較多的一類手段:攻擊者只需要付出少量的代價,即可對需要攻擊的目標產生巨大的流量,對網絡帶寬資源、連接資源和計算機資源造成巨大的壓力。
常規DDoS攻擊的缺點是耗時長且隱蔽度不夠,黑客很可能出現傷敵一千、自損八百的情況,而反射放大型攻擊則充分實現了四兩撥千斤的效果。
圖:反射放大攻擊示意
以DNS反射放大型攻擊原理爲例,網絡上有大量的開放DNS解析服務器,它們會響應來自任何地址的解析請求。通常發出很小的解析請求長度後,便會收到大量的結果,尤其是查詢某一域名所有類型的DNS記錄時,返回的數據量就更大了。攻擊者利用被控制的機器發起僞造的解析請求,然後將放大數倍的解析結果返回給被攻擊目標,以此達成反射放大攻擊的目的。
公有云抗DDoS指南
針對公有云 DDoS 防護問題,除了常規的高防服務以外,我們還自研了 Anycast 全球清洗技術,充分利用 UCloud 覆蓋全球多地域節點的 BGP 宣告能力及節點間的專線資源,幫助海外公有云用戶實現 DDoS 的無憂防護。
Anycast 清洗技術主要針對部分海外業務場景中網絡複雜、基礎設施保障不穩定的情況,如下圖,基於強大的檢測集羣、清洗集羣及上聯帶寬資源,AnycastClean 可從橫向擴充清洗節點的角度完成大流量 DDoS 清洗。
圖:攻擊流量被引至法蘭克福/華盛頓/臺北節點分散清洗
同時 Anycast 清洗能力不設上限,集合海外多個地域節點的清洗能力,可幫助用戶全力進行抗攻擊保障。換句話講,AnycastClean 能夠將海量集中的攻擊源分散至多處 UCloud 海外節點,將原本巨大的攻擊流一一化解,從而達到以柔克剛的效果
結語
在面臨黑客DDoS攻擊和惡意勒索時,相信沒有一個公司願意屈服。事實上這是一場決心和能力的博弈,如果有堅強的決心,加上完善的技術手段、足夠的資源和運營經驗來應對,來自外部的攻擊是可以化解的。UCloud作爲業界領先的雲服務商,也一直在完善我們的能力,爲客戶的業務提供全方位的防護。