阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 27957阅读
  • 47回复

[安全漏洞公告专区]一次针对贵金属行业的集体DDoS攻击事件

发帖
63
云币
68
— 本帖被 葛奇 执行置顶操作(2015-06-19) —
一次针对贵金属行业的集体DDoS攻击事件
p5 )+R/  
mBWhC<kKs  
<PTi>C8;r  
轮番攻击 .Af H>)E  
2015年6月15日17点31分,阿里某用户A反馈业务遭受到大流量攻击,攻击峰值流量超过20Gbps。经过云盾安全专家分析,主要攻击类型为SYN Flood、ACK Flood、Connection Flood(连接耗尽)、TCP连接等网络层DDoS攻击。在阿里云云盾系统的防护下,攻击在30s内被成功拦截。 | sZu1K  
H`Ld,E2ex&  
18点04分,阿里云另一个用户B反馈遭受到了大流量攻击,经过分析,无论从流量还是攻击类型均与A用户遭受的攻击类似。 z+F:_  
V SUz+W  
18点16分,阿里云再次接到用户C的反馈,遭到了DDoS攻击,峰值30Gbps。分析后发现主要攻击类型依然为SYN Flood、ACK Flood、Connection Flood(连接耗尽)和TCP连接。几乎相同的攻击手段以及近乎同等规模的攻击流量引发了我们的关注。 UCS`09KNJ  
4Vrx9 sA1  
对攻击行为的分析揭示了一个有趣的情况:18点15分对用户A的攻击停止,1分钟之后,用户C遭到攻击。又过了一分钟,攻击者发现“打不动”B(对B的攻击此时正在进行中),立刻回头又展开对A的攻击。一分钟后,对B对攻击停止,对A的攻击持续。此后的一段时间内,黑客一直在进行短时间大流量的交换攻击,每次持续不超过2分钟。 -[-Ry6G  
~.f[K{h8  
可见,此次攻击很可能是由同一个或几个攻击者发起,不断尝试攻击,打打停停,并根据攻击的效果快速切换被攻击的目标。 I<L<xwh1(E  
6jo+i[h  
经过客户经理的确认,三个用户均为贵金属行业用户。这个信息对于接下来的攻防对抗至关重要。 ?,Zc{   
ybgAyJ{J<  
攻击还没有结束。 kU$M 8J.  
X^ZUm  
18点30分,用户D遭到了类似的DDoS攻击。该用户是贵金属行业比较有影响力的企业客户。18点42分,用户E也遭到同样的攻击。有了之前的攻击分析,对D和E的DDoS被迅速拦截。
攻击过程
uq_h8JH$  
此后的一段时间,攻击者仍不断尝试攻击多个网站,经过分析发现目标均是针对贵金属行业内多家有影响力的网站。攻击被云盾系统一一化解。 }Q%fY&#(bp  
攻击监控曲线
o;M-M(EZQ6  
从攻击监控曲线上可以观察到有趣的此起彼伏的多起攻击曲线,从攻击行为上看,黑客在一个时间段内主要集中在一个到二个目标,可能是为了集中攻击流量的缘故,没有出现太多重合的现象。 et0yS%7+?@  
&4-rDR,  
黑客对贵金属行业的整个过程一直持续到晚上的23:00结束。云盾实现了成功防护,用户业务得到有效保护。 LTt| "D  
>m&r,z  
攻击类型分析及取证 4E.K6=k|=a  
我们从攻击类型上进行了分析,黑客在此次攻击事件中主要采用了SYN Flood、TCP Flood等连接耗尽为策略的网络层DDoS攻击。云盾高防(http://www.aliyun.com/product/ddos/ )在防护此类攻击的时候,主要使用了SYN源认证的防护机制和针对TCP连接的防护算法,达到了很好的处置效果。 b=j]tb,  
攻击类型分析
.3*VkAs  
从上图可见,一半的攻击是SYN Flood攻击。从攻击流量上看,单纯的SYN Flood流量曾一度超过70MPPS(约50Gbps)。如下图所示。 Afq?Ps+  
SYN Flood攻击流量
(8/Qt\3jv  
从下图的抓包可见,攻击者在攻击的时候,并没有采用大包的方式,也就是说,黑客并没有增加SYN数据包的负载。我们推测,黑客采用非常传统的方式而没有制造畸形数据包,可能是希图绕过云盾非正常数据包的检测策略。
攻击SYN包
%Lwd1'C%  
w=S7zzL)  
~ E|L4E  
SYN Flood过时了吗? GDj ViAFm  
SYN Flood作为最为传统的DDoS攻击手段之一。很多安全专家认为SYN Flood已经过时,将逐渐被应用层DDoS攻击取代。真的是这样吗? /o=,\kM  
=\l7k<  
在2014年12月底创造互联网历史上最大攻击流量——453G DDoS攻击事件中,对阿里云某游戏用户的近三分之一的攻击流量是SYN Flood,如下图所示:
三分之一的攻击是SYN Flood
Mb0cdK?hA  
sCF7K=a  
SYN Flood并没有过时。 9p5{,9.3*  
 zOnQ656  
我们从Akamai在5月份发布的SOTI(State of the Internet)报告中也可以得到一定程度的佐证:
DDoS攻击分布
(Source:2015 Q1 Akamai’s State of the Internet/Security Report)
Bz#K_S  
MJ:>ZRXC E  
Akamai的统计数据表明,SYN Flood 攻击是TOP2的DDoS攻击方式(15.79%)。 y~N,=5>j  
^v].mV/  
为什么如此“原始”的DDoS攻击手段仍被黑客如此大规模的使用?我们认为,一方面由于发起攻击的门槛很低,工具丰富,操作方便,成本低,所以一直深受黑客喜爱;另一方面,SYN Flood攻击身也在不断发展,比如增加Payload大小等方式,提高攻击的效率。 044*@a5f  
j!H\hj/]  
行业攻击渐成趋势 %Pb 5PIk4  
在“6.15事件”结束后,阿里云云盾安全团队进行了复盘分析。 n|oAfJUk,  
Jy X7I,0  
在整个“6.15事件”过程中,一共有数十个阿里云用户集中遭到DDoS攻击。“集中”体现在时间段上的集中、攻击手段上的集中,以及被攻击对象行业属性上的集中——基本上为贵金属行业用户。这让我们想到了不久前另一起具有明显行业属性的DDoS攻击事件,在那次事件中,主要的被攻击对象是旅游 行业用户。 $N#f)8v  
$*{$90 Q  
这是一个值得关注的现象。之前,类似的攻击行为更多出现在游戏行业,多源于行业内进行的恶意竞争目的,在游戏行业之外的旅游 行业、贵金属行业出现类似的集体性攻击事件尚不多见。我们认为,面对一个行业进行的集体攻击其背后可能有明显的黑产属性,同时攻击也从单一攻击者/组织向产业化和集团式作战过渡。 U-#t&yjh#  
&)p/cOiV  
我们将持续关注。 _ .%\czO  
YJ`[$0mam  
作者:阿里云云盾安全运营团队 T$'GFA  
云盾-安骑士产品交流QQ群:246211669
级别: 程序猿
发帖
390
云币
309
只看该作者 沙发  发表于: 2015-06-19
有趣,不过关心两个问题 2oAPJUPOJ  
-0Q:0wU  
1、查到攻击源了吗 #(jozl_8  
2、用户ABCDEFG全是高防客户吗? *_$%Tv.]  
q0 :Lb  
以后防御DDoS,势必也要集团化职业化大规模协同作战,靠单点死扛不现实,看到了一个新商机,要是有一款能打破不同公司的云之间的隔阂的系统出现,无论是对安全还是对业务都有大大的好处
本帖最近评分记录: 1 条评分 云币 +1
douziv587 云币 +1 syn都是自定义IP打出去的。。。2003系统驱动发包的 2015-06-25
发帖
63
云币
68
只看该作者 板凳  发表于: 2015-06-19
回 1楼(碧血微剑) 的帖子
9=O`?$y  
简单回答下两个问题 gHpA@jdC*  
1、溯源工作后续会做,具体的内容我们会分享给大家,让大家看到攻防对抗中我们是如何胜利的 HQJ_:x Y  
2、阿里云云盾高防IP的防护能力目前给客户开放范围为20G-300G,超过100G防护需要单独申请 sG[v vm  
M{cF14cQ  
感谢碧血微剑对云盾高防IP的长期关注,也希望后续咱们有合作的机会~ <ZcJC+k  
云盾-安骑士产品交流QQ群:246211669
级别: 程序猿
发帖
390
云币
309
只看该作者 地板  发表于: 2015-06-19
回 2楼(葛奇) 的帖子
暂时还买不起高防,还得奋斗啊,看到这几个土豪普遍用高防,我都流泪了
级别: 程序猿
发帖
322
云币
431
只看该作者 4楼 发表于: 2015-06-20
有趣了。
级别: 架构狮
发帖
1490
云币
1775
只看该作者 5楼 发表于: 2015-06-21
貌似 客户工单后, 才被云盾防御下来。 b|nh4g  
如果没有大量客户被攻击,小客户是不是只能进黑洞了?
级别: 科学怪人
发帖
9441
云币
14683
只看该作者 6楼 发表于: 2015-06-21
关注一下
级别: 研究猿
发帖
3357
云币
4596

只看该作者 7楼 发表于: 2015-06-21
关注一下
级别: 论坛版主
发帖
2495
云币
4402

只看该作者 8楼 发表于: 2015-06-21
赞一下云盾
Hello  本人QQ 97286736
级别: 论坛版主
发帖
3414
云币
8980

只看该作者 9楼 发表于: 2015-06-21
不愧是 大客户啊
级别: 新人
发帖
19
云币
56
只看该作者 10楼 发表于: 2015-06-21
Re一次针对贵金属行业的集体DDoS攻击事件
大流量的攻击来了后你们除了会把客户拉进黑洞停止使用权限外 你们还能做点什么
级别: 新人
发帖
13
云币
88
只看该作者 11楼 发表于: 2015-06-22
Re一次针对贵金属行业的集体DDoS攻击事件
”所谓的拉进黑洞“是怎么回事?网官方科普和给予解释。
级别: 新人
发帖
2
云币
2
只看该作者 12楼 发表于: 2015-06-22
Re一次针对贵金属行业的集体DDoS攻击事件
看来很厉害啊
级别: 程序猿
发帖
355
云币
161
只看该作者 13楼 发表于: 2015-06-22
公关文
级别: 新人
发帖
1
云币
1
只看该作者 14楼 发表于: 2015-06-23
回2楼葛奇的帖子
这几天我们也受到了百G级的DDOS,可能因为节假日的原因,没感觉到阿里在这种事件上的主动性。 .{k^ tf4  
通过工单并要求电话支持时有跟相关技术通上话。最后负责安全的一哥们很负责,聊了很多,也给了我们很大帮助。 `LVX|l62  
C$EvcF% 1  
关于溯源问题,真不希望做为云服务商的阿里需要用户报警并收到相关部门文件后才开始溯源。当然这里面牵扯太多的问题并没表面上看似那么简单。 ,u<aKae  
uY=}w"Db  
目前的高防IP收费也是存在巨大的不合理,不是一般的团队能承受得起。 9Z_98 Rh  
nc%ly *  
做为用户真得很希望碰到这种事件时,能有专业的团队给予指导。要不然我们为什么坚决留着阿里云上啊?就是因为相信阿里的专业!
发表主题 回复主题
« 返回列表
«1234»
共4页
上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 29 - 20 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)