世界是平的,網路世界更是。

一次全球性的網路攻擊行動,除了在CNN、BBC等海外新聞媒體上看到之外,也真真切切地發生在我們身邊……

正所謂「武功再高,也怕菜刀;衣服再diao,一磚撂倒」。DDoS攻擊,作為網路攻擊中的常青樹,素來有「網路板磚」的美譽:唾手可得,送貨到家,一擊致命。

讓我們一起來看看,跨國DDoS攻擊是如何展開的?我們是如何防護的?

【2018年12月11日,Twitter網站】前奏

疑似匿名者(以下稱Anonymous)的黑客組織成員Lorian Synaro突然發推,鼓動對全球中央銀行網站,發起代號為「OpIcarus 2018」 的攻擊。

說到Anonymous,在網路安全界無人不知、誰人不曉。他們是遍布在全球範圍的一群年輕人,擁有高超的網路安全知識,不從屬於任何國家和政府,為了表達自己的立場、發表自己的觀點,曾先後攻擊PayPal、索尼,聲援維基解密。任何人都可以宣稱代表或屬於該組織,有人稱這是全球最大的黑客組織。

他們有一段自己獨有的口號,往往會出現在Anonymous官網或視頻里:

We are Anonymous.(我們是匿名者)

We are a Legion.(我們是軍團)

We do not forgive.(我們不會原諒)

We do not forget.(我們不會忘記)

Expect us.(期待我們)

而具體到本次的OpIcarus行動,全稱為Operation Icarus,旨在針對全球的中央銀行進行網路攻擊,用以表達Anonymous的立場:

  • 各國政府需停止一切戰爭。
  • 各國政府需將民眾的管理權歸還給大眾。
  • 不得剝削工薪階層。
  • 不提倡貪婪和追求物質享受。

……

有哪些銀行是他們的攻擊目標?Anonymous指哪打哪,已經事先列出來了,算是向它們發起宣戰:(anonymousglobaloperations.blogspot.com

行動代號為什麼叫Icarus?這個也是有講究的。Icarus是希臘神話中的一個人物,他與自己的父親,使用蠟和羽毛製造出翅膀,企圖逃離他們所在的一個島嶼。起初他們是成功的,但由於狂妄和傲慢,Icarus沾沾自喜而飛得太高,導致翅膀上的蠟,被太陽融化,從而跌落在水中而喪生。Anonymous認為全球金融機構們貪婪、狂妄,本次攻擊是對他們的懲罰。

【12月13日19:00,XX銀行安全中心】攻擊開始

XX銀行突然發現本銀行的網上銀行業務和手機銀行APP,均出現訪問遲緩,客戶無法正常使用的情況。

無疑,Anonymous的攻擊開始了。但奇怪的是,為啥防禦失靈了呢?

XX銀行全網用的是L*的抗D設備,當攻擊開始後,L*的設備扛不住了。由於平時對XX銀行的業務不了解,所以策略配置是眉毛鬍子一把抓,無論是網站、網銀還是手機APP等,都統一在幾條策略之下。這樣的防護效果可想而知,針對整體流量做防護,很有可能某些小流量業務已經被DDoS攻癱了,但由於還沒有觸碰到整體流量的防禦閥值,從而沒有進行任何防護動作。L*的維護人員也進行了現場支援,但依然無計可施,涼涼……

我們的抗D故事,也就從此開始了……

【12月14日16:00,華為安全應急響應中心】緊急求助電話

電話響起,XX銀行希望華為AntiDDoS團隊能緊急支援,上線華為的AntiDDoS8030設備,去應對目前所正在遭受的攻擊。

華為AntiDDoS團隊緊急召開了會議,聯想到前幾天Anonymous剛剛發推,宣布要發起OpIcarus新一輪行動,大家緊張的心情反而有些舒緩開了。因為這是我們所熟悉的對手,3年前,華為AntiDDoS團隊就曾和OpIcarus早期行動有過直接交手……

那是在2015年,為了譴責土耳其政府支持ISIS組織,Anonymous在推特上下完戰書之後,便發起了OpIcarus行動。從2015年12月14日(同樣發生在12月14日前後,難道這個日子對他們有什麼特殊的意義?)開始,大規模的DDoS攻擊奔著土耳其銀行和政府網站就去了!

在之後的幾天里,土耳其三家知名銀行Ziraat,Isbank和Garanti,所遭受的攻擊流量峰值帶寬一度達到了40Gbps!而幾個政府部門的官網,也直接被攻擊得下線了。

當時一名土耳其電信的官員,在接受路透社採訪時稱:「這次網路攻擊事件很嚴重,但目標並不是針對土耳其電信。反而,土耳其的銀行和政府網路受到了嚴重的攻擊。現在大多數的土耳其機構使用土耳其電信作為網路服務商,所以目前我們在積極應對這次網路攻擊並做好防禦工作。」

這個「積極應對」的背後,其實是華為AntiDDoS產品在與攻擊進行鏖戰!

當時,土耳其電信在國際關口局部署的抗D設備,正是華為AntiDDoS產品。其境內大多數的銀行和政府網站,都是在華為AntiDDoS的保護之中。

但不巧的是,當年Anonymous發起的攻擊,以TCP Flood和UDP Flood等網路擁塞型攻擊為主,雖然識別難度不大, 但是性能超過了40Gbps。而土耳其電信現網的華為AntiDDoS產品,只採購了10Gbps處理能力。為此,華為現場緊急擴容業務處理板卡,研發工程師7*24小時遠程值守!各類DDoS攻擊被成功阻斷,網站訪問恢復正常。

一張圖回顧下這場攻擊,報表顯示的是從12月14日攻擊開始到31日攻擊結束的攻擊流量峰值帶寬圖。攻擊在12月17日達到了最高的40Gbps!

三年過去了,又一封戰書下達……我們自然責無旁貸地肩負起保護自家銀行的重擔,看看OpIcarus又有什麼新的招數使出來。

緊急會議完畢之後,華為派出了資深專家小唐,立即出差到客戶現場。

【12月14日23:00,XX銀行安全中心】進入戰鬥

經過2個多小時的飛行,小唐被早已安排好的接機人員,直接送到了XX銀行安全中心作戰室現場。推開門的一瞬間,壓力撲面而來,XX銀行的一名副行長以及幾個處長都已經在現場值守,整個作戰室氛圍凝重。鏡頭轉向某個角落,L*的維護也在,但是明顯已經放棄治療了。

小唐立即進入狀態,與客戶就應對策略展開討論。客戶介紹說,由於了解到本次攻擊疑似是跟Anonymous的OpIcarus行動相關,所以猜測DDoS攻擊是來自境外居多。現在是在運營商層面,通過所購買的雲清洗服務在進行「海外IP流量過濾」的操作。從效果上來看,確實起到了一定的防護作用。入口的網路帶寬不再被擁塞,但海外的真實客戶卻也一併被運營商給屏蔽了。沒辦法,先應急。

「海外IP流量過濾」?這個功能在我們的AntiDDoS設備上就有,不用在運營商側配置,畢竟雙方溝通起來需要靠電話交流,不如在作戰室本地可以隨時調試來的方便和直接。可以考慮在華為AntiDDoS設備上開啟這個策略。

小唐的建議立刻得到了客戶的認可並啟動實施,這樣一來,觀察DDoS攻擊流量變化更方便了,但風險也有,畢竟所有的攻擊都改由華為設備來防護了。

配置好「海外IP流量過濾」之後,DDoS攻擊流量明顯下降,但多年的抗D運維經歷告訴小唐:抗D的難點不在於能否防住DDoS攻擊,而在於防住的同時,不影響正常的業務訪問。去偽存真是最高水平。

像XX銀行這種全球性的銀行,必然會使用CDN業務來提升海外客戶的使用體驗,所以需要在過濾海外IP流量的同時,將CDN業務的已知IP放入白名單,留下入口,儘可能地保護海外正常客戶的訪問需求。

第一招小結,「海外IP流量過濾」+「CDN IP白名單」

這實際上是權宜之計,無疑將誤傷海外客戶(有可能是國外客戶,有可能是國內客戶出差到海外)的正常訪問。先看看對方的攻擊會持續多長吧,如果持續時間比較長,我們還得繼續想辦法,更換細粒度的防護策略。

時間一分一秒地過去,DDoS攻擊沒有停下來的跡象。

小唐和客戶商量後決定,更換防護策略。但換成什麼呢?

結合2015年在土耳其電信對抗Anonymous的經驗,小唐決定先針對網路層TCP Flood和UDP Flood進行防護,畢竟這是對方常用的攻擊手段。

想到這裡,小唐祭出了華為AntiDDoS上多年來針對金融行業客戶的網路層DDoS防護策略模板,裡面包括了:

  • 檢查SYN報文的正確序列號
  • 檢查ACK、FIN和RST報文
  • UDP反射放大過濾以及限速

這是在解除了「海外IP流量過濾」之後,通過對L4傳輸層報文的細粒度檢查,同樣消除了大量的DDoS攻擊流量。後台監控顯示,XX銀行的網路入口擁塞問題沒有發生,說明這個策略起到了作用。這樣做,既能清洗旨在製造網路擁塞的DDoS攻擊,同時又保護了海外客戶的正常訪問,相比第一招,更加合理有效。

防禦初見成效,小唐和客戶都長出了一口氣!

第二招小結,TCP Flood防禦 + UDP反射放大攻擊防禦

【12月15日14:00,XX銀行安全中心】一波還未驚醒,一波又來侵襲

經過一晚上加一個上午的觀察,此前擁塞網路的DDoS攻擊流量沒有上升,證明了昨晚的部署策略有效。不過,這只是撲滅大範圍的明火,更多細小的暗火還待滅掉。這些小火苗藏在不起眼的位置,貼近易燃易爆物品,更加危險。

網路雖然不再擁堵,但網銀業務依然不穩定。這明顯是有針對網銀業務的CC攻擊在作祟,他們流量不大,但可以導致網銀業務的伺服器資源耗盡。

客戶跟小唐說,造成擁塞的DDoS已經搞定了,你就好好觀察待命吧,剩下的CC攻擊,我們有F*的負載均衡,上面可以開啟WAF防禦能力,來搞定針對網銀伺服器的CC攻擊。你們一粗一細,配合起來使用。

但過了1小時之後,客戶又回到小唐面前,眉頭緊鎖。原來,F*的負載均衡產品在開啟了WAF防禦能力之後,誤殺了正常業務、安全日誌寫滿、CPU佔用率提升……還是試試你們AntiDDoS的CC攻擊防禦能力吧。

【12月15日14:30,XX銀行安全中心】粗活細活一肩扛

小唐擁有10年的抗D經驗,對於CC攻擊自然不陌生,這是一種旨在耗盡資源的DDoS攻擊類型,說白了就是要讓你「燒腦」,沒有腦力去做正常事情。

CC攻擊也分兩大類,網路層CC攻擊和應用層CC攻擊。對於網路層CC攻擊來說,黑客會不斷發送TCP握手報文,希望能建立連接。建立成功後,長期佔有會話資源,或者直接Reset掉,再重新發起握手。總之就是要不斷地跟你打招呼,讓你沒法跟別人正常地說句話。對於應用層CC攻擊來說,他們會在建立好TCP連接的基礎上,進一步在HTTP層面發起請求,同樣的原理,不斷向你提問相同的問題,讓你沒有辦法回答其他人的正常詢問。

針對網路層CC攻擊,小唐使用了TCP Connection技術,它會監控每一個TCP會話的健康度,譬如是否是空連接,是否在頻繁建立、拆解,是否是來自沒有真實源的建立請求……一旦認定某個IP的TCP建立請求有異常,屬於網路層CC攻擊的行為,就會直接將這個IP地址放入到黑名單中,下次不予理會。

從管理平台上監控到,被自動加入黑名單的IP地址數量,不斷增加,最高達到了4000+。小唐心裡也捏了一把汗,生怕有正常訪問被誤傷了。所以立即隨機抽取了一些被加入黑名單的IP進行檢查,發現基本都是來自海外國家,如印尼、秘魯、泰國、蒙古、埃及、印度……沒問題,證明被禁止的IP是非正常業務,都是來自業務不相關國家的攻擊源。

針對應用層CC攻擊,這是比較難對付的攻擊方式。正在小唐一籌莫展的時候,突然想起上個月,自己在運維華為雲的高防服務時,也遇到了HTTP GET Flood這種應用層CC攻擊。當時,華為雲高防團隊使用了HTTP 302重定向的防禦策略,效果不錯。302重定向是對HTTP請求方進行「源認證」的方式,AntiDDoS會代替網銀業務伺服器向客戶端反饋302狀態碼,告知客戶端需要重定向到新訪問地址,以此來驗證客戶端的真實性:真實存在的客戶端可自動完成重定向過程,則通過認證;而虛假源或一般的DDoS攻擊工具沒有實現完整的HTTP協議棧,不支持自動重定向,無法通過認證。這對AntiDDoS設備的性能是極大的考驗。

小唐跟客戶溝通後,大家決定該防禦策略先在XX站點做試點。經過一段時間的穩定測試,未實施該策略的站點伺服器5分鐘出現一次故障,實施該策略的站點業務保持正常。小唐這才鬆了口氣。

第三招小結,TCP Connection + HTTP 302重定向

【12月21日】復盤

這次面向XX銀行的DDoS攻擊,通過後續的抓包分析來看:

  • 90%以上的絕大部分流量來自海外
  • 攻擊源以物聯終端為主,包括攝像頭、DVR及印表機,甚至還有近期大面積淪為礦機的M*家用路由器(看來是比特幣大跌,礦機生意不好做,都改回DDoS老本行了)
  • 攻擊類型包括TCP Flood,UDP放大攻擊,網路和應用層的CC攻擊
  • 持續了一周左右的時間

值得注意的是,物聯終端具有較為完整的網路協議棧,但自身的安全性又較為脆弱,一旦被劫持之後變成「肉雞」,便會被黑客操控成為DDoS攻擊的載體。正是由於物聯網「肉雞」數量大幅度增加,全球DDoS攻擊的數量、攻擊規模都大幅提高,影響也不斷擴大。

【12月24日】感受

經過一周的現場支撐,小唐已經回到了北京,經驗值又提升了兩格。說到這次抗D經歷,小唐的感受是:

  • 抗D運維時,安全策略需要針對客戶的不同業務來區分
  • 抗D容易,但一邊抗D一邊保護正常業務訪問,非常難
  • 攻擊方在不斷演進,從攻擊類型到所能使用的資源

抗D難度在增加,需要不斷總結每次交手時獲取的經驗(好在自己天天在華為雲高防業務上打怪升級)。這些經驗也都通過「策略模板」和新版本特性等方式,固化到了華為AntiDDoS產品上,讓更多的客戶得到更高質量的防護。


推薦閱讀:
相关文章