生活

千里走单骑百度安全抗D溯源追凶

2019-05-15 03:01:00来源:励志吧0次阅读

2016年的那些的DDoS攻击让很多企业耽忧,乃至连普通的民都因为美国互联瘫痪、暴雪公司多款致命游戏无法登陆等事件,了解了什么是DDoS攻击,它会带来哪些后果。

那么DDoS攻击是如何将站和用户裹挟,造成了巨大损失的?今天,我们就来说说一次触目惊心的真实DDoS对抗过程。

一天损失 100万

这是一家早在络游戏行业打拼的公司,在全球具有4亿多用户、200多款游戏。产品覆盖了PC客户端、页、移动终端,在细分行业一直有比较好的口碑。

正所谓树大招风风撼树,黑客也是哪儿火往哪去,闻钱而动。去年4月,这家公司开始遭到黑客的疯狂DDoS攻击,少则20G,多则200G,的时候接近400G,平均下来每天损失上百万元。这样的攻击延续了43天!

游戏行业历来是黑客攻击的重灾区,近百度安全《2016年DDoS攻击报告》中表露的数据表明,在延续10分钟以上的DDoS攻击事件中,游戏行业占了32%。尤其在IOT设备不断发展,游戏行业渗透到不同终端的情况下,DDoS的影响比以往任何时候都广泛。

回想当时的攻防战,百度安全工程师至今历历在目,总结起来这次攻击有三大特点:

首先,黑客攻击手段非常专业,舍得投入攻击资源和技术,甚至专门定制了工具,TCP连接攻击峰值达到180万。

其次,持续周期长、时间随机,常常选择业务高峰时间或半夜进行攻击,长的一次在清晨1::00之间连续3小时200G以上的DDoS攻击;

第三,攻击非常隐蔽,手段变化莫测,给定位攻击者带来了很多麻烦。

43天抗DDoS黑产:不容有失

多方求助无门,难道眼看着自己就这样被黑客KO了吗?

某天清晨1:00,当黑客再次来袭的时候,这家游戏公司向百度安全求助。

铃声想起,百度安全的工程师立即振作精神,启动应急响应方案:24小时监控络,分析攻击流量的来源,采取针对性的压制措施:大约超过6成的攻击流量来自海外,对这部分流量百度安全通过全球抗D络,利用Anycast技术快速分摊流量;在国内,百度安全对接运营商级别的攻击压制,在骨干络压制攻击流量;剩余的攻击流量牵引到百度安全高防抗D中心进行清洗。

在接入百度安全之后,这家游戏公司的业务逐步恢复正常。随后,百度安全基于对全球僵尸络的监控进行了攻击溯源,成功定位了发出攻击指令的主控机,获得了关键证据,协助该公司和警成功抓获了实施这次大规模攻击的黑产犯罪嫌疑人。

照例来看,一次成功抗击DDoS黑产到此就圆满结束了。但峰回路转的戏剧性情节常常在这时候发生。一场更大的黑产对抗风暴,正因此而酝酿着。

黑产疯狂报复:百度安全千里追凶

成员被抓让黑产团体恼羞成怒,开始对百度安全进行疯狂的报复性攻击。

6月13日开始,黑客攻击大量封堵百度云加速机房带宽;

6月16日开始大流量攻击百度云加速对外服务IP;

据统计,当时百度安全有1/10的对外服务IP遭到攻击,多的时候每天抵御1600多次DDoS攻击,期间平均每天抵御CC攻击超过14.2亿次。这不仅对百度云加速自身的业务带来也隐患,也时刻威逼着云加速服务的数十万中小企业站的安全性和稳定性。

黑客的攻击手段复杂,专门定制了报复策略,采用的脉冲攻击打一枪换一个地方,给防御和攻击溯源带来了很大难度。但是,面对黑产决不低头,这是不能妥协的底线。一方面,百度云加速更新防御策略,与运营商合作,在骨干对攻击流量进行封禁;另一方面,基于掌握的10多万个僵尸络信道和几万个家族变种,寻觅攻击者的肉鸡群,提前规避攻击目标。那段时间,百度安全每天都会捕捉数千条肉鸡监控数据。

另外,百度安全实行攻击溯源,很快就锁定了位于广州某大学的服务器肉鸡,黑客的攻击指令就是从这里发出的。在获取关键证据之后,百度安全密切配合警部门,辗转北京、广东、四川等省市,终于在7月初成功将黑产犯罪嫌疑人抓获。

四步走,大数据安全完善抗攻击DDoS

防御DDoS攻击是一个复杂的长期的进程,同时攻击者还会使用一些比较隐蔽的方法,如有些 DDoS 会假装攻击来源,假造封包的来源IP,使人难以清查。所以,对抗DDoS攻击,不仅仅是储备大量带宽这么简单粗暴就能解决的,需要安全公司对全球大量的僵尸络进行长时间的追踪和监控,并且利用大数据分析进行快速处理。了解的僵尸络和变种越多,关联分析的维度越多,就能够更的判断攻击源、攻击对象和发起攻击的时间。

总结起来,百度安全的抗DDoS主要分为四步:

,百度安全十多年来积累了大量的威胁情报资源,对全球十多万个僵尸络和几万种家族变种进行实时监控。

第二,通过大数据威逼情报平台,对监控数据进行关联分析,实时监测僵尸络对未知目标发起攻击的行动。如果站使用了百度安全的产品和服务,就能够迅速对攻击进行拦截。

第三步,进行溯源反制追击。对DDoS攻击指令的定位和检测。通过对攻击流量分析,确定恶意IP地址,上报受攻击企业辖区安。

第四步,协同公安警方作战。立案后,抗DDoS攻击团队积极配合安,提供后方技术支持,通过历史数据分析,锁定服务器机房,便于安民警调查取证,锁定嫌疑人身份,实现侦破案件。

后记:

决不让步的底气来自强悍的抗击能力?

百度安全事业部总经理马杰曾对表示,对抗黑产,坚决不能支付勒索费用,那样的话黑客就会重复勒索。正确的做法是与专业的第三方安全服务机构合作。

安全专家也指出,DDoS防御的背后是人的对抗。企业在突发事件或重大活动期间,寻找7x24小时服务的安全专家团队。另外,彻底的方式是抓到攻击者,进行一系列取证、溯源,不能让黑客打了白打。

另外,从全部络环境角度上,国内的安全厂商也正以开放的姿态,通过共同建立的合作伙伴体系来规范行业标准、加强犯法打击、直连用户需求等,为络安全生态构建起更加可靠的防御体系。

经期不准调理方法
经期不准吃哪种药
什么病会导致经期延长
分享到: