今天看啥
热点:

一次对抗大规模DDoS的真实经历(1)


每个网站都会面对网络攻击。唯一的区别在于,如何建设防御,以及如何进行警报和响应。

一次对抗大规模DDoS的真实经历

在网络上很难找到关于防御黑客攻击的真实案例。一方面,信息披露可能会引发官司,另一方面,披露这些信息往往会导致不良的财务后果,因此各公司往往不情愿分享相关细节。然而,如果我们完全不披露这些故事,会使其它人在不知情的情况下犯相同的错误。如果我们为建立威胁情报共享体系做出贡献,分享网络安全战场上的真实经验,可以让事情变得更好。

乙方是一家SaaS(软件即服务)公司,为大中型企业提供网页内容管理服务。其服务的客户A公司专注于帮助医疗供应商提高运营和财务绩效,A公司为数千家医院和医疗保健机构客户提供服务,管理数十亿美元的开支。

要分析的这次DDoS攻击的规模极大:在攻击高峰时,8600万个用户同时从世界各地的超过10万台主机上访问网站(当事方联系了FBI)。当攻击结束39小时后,防护方艰难的取得防御性胜利。下面是事件过程:

疯狂攻击

A公司的年度会议即将召开,会议将有15000人参加。会议的前一天晚上,乙方收到了警报消息。A公司的网站服务器正承载着难以置信的网络流量。需要说明的是,A公司也是一家SaaS提供商,为客户提供数据内容和分析,因此这种程度的访问量会极大地影响该公司的服务质量和信誉。没有多少时间,必需快速做出响应。

所有访问请求都来自百分百合法的URL。所以很难分辨出其中的恶意流量
攻击来源遍布世界各地:北朝鲜、爱沙尼亚、立陶宛、中国、俄罗斯、南美
60%的访问量来自美国本土
攻击者直接解除DNS和攻击IP地址的关联

一开始,防御方使用AWS(Amazon Web Service)Route 53,重新配置了一些文件,然后立即切断了与这些IP地址的通信。在成功抵御了最初的几波攻击后,网络似乎恢复了正常,但事实证明,这只是第一波,而接下来的才是更疯狂的攻击。

当天傍晚,攻击再次发起并直接指向DNS域名,这意味着之前的IP拦截策略不再奏效,眼看着数据流量急剧上升。

放弃还是抵抗

乙方和A公司的首席信息官进行了讨论,最后达成一致意见:决定抵抗到底。作为一家SaaS公司,提供持续、可靠的服务,维持公司信誉是重中之重。双方同意分担预计为数万美元的防御成本,为正义而战。

经过仔细审视第二波攻击,防御方意识到可以立即采取一些缓解措施:

1. A公司的业务只面向美国客户,不过也有少部分流量来自国外。因此防御方迅速地建立了一些防火墙规则,这些规则只允许来自美国的流量通过。于是,40%的攻击流量被拒之门外。

2. 在AWS(Amazon Web Service)Route 53后面加了一道网络应用防火墙,配置了一些HA代理,这可以为FBI收集大量的登录信息,便于他们进行事后分析工作。

3. 调整流量自动缩放的配置。自动缩放会根据接入流量规模大小调整自己的上下阈值。将下阈值调整得比上阈值大得多,这意味着系统在流量变大时会做出合适的反应,但永远不会达到流量下阈值。结果,每个运行的实例都会在服务列表中永续存在,记录完整无损的登录信息,以备FBI分析。兵来将挡,水来土淹

攻击者放大攻击强度,AWS就放大防御强度。攻击者进一步放大攻击强度,AWS就进一步放大防御强度,这样的情景在第二天反复上演。与此同时,乙方每小时就向A公司的董事会负责人汇报一次情况。

在DDoS攻击的最高峰,共部署了18台大型、计算机能力加强版的HA代理服务器,40台大型网页服务器。网页服务器群特别大,因为尽管阻隔了美国本土外的流量,降低了总数据流量的40%,但剩下的60%来源于美国本土的连接中也包括合法的URL。大多数连接都在访问动态服务,这部分访问记录不太容易抓取。

攻击者的目标是一个非常大型的全球化机构。防御方通过非常稳定的HA代理防火墙和负载均衡配置,部署了高度延展的网页服务器群。然后就是云防护(CloudFront),这是AWS的全球内容分发网络。再然后是Route 53,Route 53是AWS的全球冗余DNS平台。这些设备共同组成了关键基础设施,提供了在每一层上的可扩展性和安全性。

在第二天晚上7点左右,事情开始发生转变。在加强了防御强度后,攻击者并没有进一步增加攻击强度。此时此刻,服务器正承载着来自全球10万台主机的8600万个攻击连接,通过AWS基础设施的流量达到每秒20GB。

攻击者无计可施,只能反复地发动攻击,最后直到完全放弃。事后A公司的首席执行官告诉我们,如果他们的网站托管在自己的数据中心,防御的选择就会非常少,而且可能在攻击开始仅仅八个小时之内就会完全无力应对。




www.bkjia.comtruehttp://www.bkjia.com/ddos/1002953.htmlTechArticle一次对抗大规模DDoS的真实经历(1) 每个网站都会面对网络攻击。唯一的区别在于,如何建设防御,以及如何进行警报和响应。 在网络上很难...

相关文章

相关搜索: DDoS DDoS攻击

帮客评论

视觉看点