2018年,阿里云安全团队监测到云上DDoS***发生近百万次,日均***2000余次。目前阿里云承载着中国40%网站,为全球上百万客户提供基础安全防御。可以说,阿里云上的***态势是整个中国***态势的缩影。
基于2018.1.1-12.31阿里云上的DDoS***数据,阿里云安全团队从DDoS***事件、僵尸网络中控、DDoS肉鸡等多个维度做了统计分析,希望为政府和企业客户提供参考价值。
核心观点
TCP类型的***在DDoS***威胁中占据着更重要的比重。
应用层***对抗越来越激烈。
游戏等行业依然是***发生最频繁的区域。
***峰值已经以T为单位。
DDoS***中,IoT设备的数量明显提升。
由于篇幅限制,本文仅截取了两个典型***案例在此分享,获取完整版报告请点击下方链接:
流量最大案例
2018年9月,阿里云云盾高防产品接入了一个游戏客户。业务上线后不久,该客户就频繁遭到DDoS***,平均每天要遭受两次10G左右的DDoS***,在阿里云DDoS高防的防护下,对业务并未产生影响。
10月13日,阿里云监测到该客户遭受的***峰值流量达到了430Gbps;3天后,***者调动了更多资源,希望一次性将业务置于死地;10月16日凌晨,该客户再次遭受DDoS***,流量峰值达到1.022Tbps,pps峰值则达到了6.9亿。
收到***告警之后,阿里云安全团队检查***情况及客户业务状况,云盾高防运行平稳,***流量在可控范围内,***手法为大流量SYN_flood***,含SYN畸形包、SYN小包等,与此同时,大流量***还未停止。
后续3天,又发生了几次600G左右***,均未对业务造成威胁。
连接最大案例
游戏行业一直是DDoS***的重灾区,阿里云上的游戏客户同样面临着大流量***和连接耗尽型***的威胁。
2018年7月14日11:47,某游戏客户遭受到大规模的四层连接耗尽型***,云盾高防通过智能防护模块检测到四层业务***并启动自动防护功能,通过高频次肉鸡处置模块和恶意内容检测模块下发处置,CC***流量被完全压制,客户业务恢复正常。
收到***告警之后,从***数据看,***动用了20万+的肉鸡资源,***手法为建连之后向服务器发起高频率的恶意请求,并带有随机Payload,***新建峰值超过了170Wcps。
专家建议
从上述案例可以看出,DDoS***防护的形势在发生着变化。一方面是反射源的治理,防护手段的演进;另一方面物联网大军正逐渐加入到DDoS的这个战场,***手法也日趋复杂化,攻守双方的势力一直保持着动态平衡。如何打破这种平衡,赢取这场战争的胜利,阿里云安全专家给出的建议如下:
抵抗住第一波***,这很重要。从***对抗的经验来看,抵抗住***的第一波***至关重要。如果第一次***得手能够给***方带来更多信心,反之多次攻占不下,则会使***方信心逐渐丧失。通过寻求专业的DDoS防御团队,永远是被***者成本最低、最有效的选择。
防守方需要有更成熟的流量调度机制和应对方案。DDoS***峰值越来越大,不断地刷新记录,这对于防护方是一个严峻的考验。仅仅依靠单个节点来化解动则上T的***已经变得越来越不现实。这时就需要新的应对方案和更成熟的流量调度机制,通过近源清洗、流量压制等技术手段,降低威胁,来力保城门不失。
防守方需要思考如何更快速地恢复业务。防守方是被动的,因为***者永远在暗处。也许通过事后溯源追查能够找到幕后真凶,但是在***对抗过程中,我们不清楚***者会通过何种方式利用服务的何种弱点发起***。这时防守方就需要考虑如何扭转这种被动局面。随着大数据技术的发展,机器学习的引入,也许能够给我们带来一些机会。通过对正常业务进行建模,来快速检测异常,以及采用智能化的技术手段,快速识别恶意行为并进行处置。通过一系列自动化、智能化的手段,快速恢复业务,也是防护方努力的方向。
***发起DDoS***,往往是通过侵害别人的正当利益,来使得自己获益。阿里云DDoS高防团队诞生之初就致力于消灭互联网上的DDoS***,只有真正的防御住DDoS***,才能消灭互联网的DDoS,这也是我们一直努力追求的目标。