綠盟科技：「無敵艦隊」DDoS勒索防禦關鍵是應急經驗積累

近期國內多家證券金融公司、互聯網金融公司接到境外黑客組織「無敵艦隊（Armada Collective）」的DDoS威脅恐嚇郵件，該組織聲稱將對企業發起大規模拒絕服務攻擊，如果需要避免被攻擊，需要向黑客組織支付比特幣。

事件背景

從2017年6月15日起，「無敵艦隊」組織向國內多家證券金融公司、互聯網金融公司發起DDoS比特幣勒索，現已有超過6家金融證券類企業遭受DDoS攻擊勒索，且其中4家已經遭受了大規模的DDoS攻擊，攻擊流量從2G到20G不等，對企業網路產生了非常嚴重的影響。而「無敵艦隊」組織聲稱如果企業不按郵件要求按時支付比特幣，將進行持續的大規模流量攻擊（該組織聲稱攻擊流量可超過1T），並逐步提高勒索比特幣數額。

這其實並不是該組織第一次行動了，早在2015年12月，「無敵艦隊（Armada Collective）」就開始對中國境內的互聯網企業實施同樣手法的DDoS攻擊的勒索。

本次事件收到的勒索郵件內容如下：

DDOS防護應急手段

針對本次DDoS攻擊事件，綠盟科技在第一時間啟動了DDoS應急響應流程，下文就目前市場上主流的DDoS防護應急手段，按其差異性和適用場景做了簡要對比。

常規的DDoS防護應急方式因其選擇的引流技術不同而在實現上有不同的差異性，主要分成以下三種：

1. 本地DDoS防護設備；

2. 運營商清洗服務；

3. 雲清洗服務。

三種類型的DDoS防護應急手段引流方式的原理：

了解引流技術原理後，簡要闡述各種方式在DDoS應急上的優劣：

· 本地DDoS防護設備：

本地化防護設備，增強了用戶監控DDoS監控能力的同時做到了業務安全可控，且設備具備高度可定製化的策略和服務，更加適合通過分析攻擊報文，定製策略應對多樣化的、針對性的DDoS攻擊類型；但當流量型攻擊的攻擊流量超出互聯網鏈路帶寬時，需要藉助運營商清洗服務或者雲清洗服務來完成攻擊流量的清洗。

· 運營商清洗服務：

運營商採購安全廠家的DDoS防護設備並部署在城域網，通過路由方式引流，和Cname引流方式相比其生效時間更快，運營商通過提清洗服務方式幫助企業用戶解決帶寬消耗性的拒絕服務攻擊；但是運營商清洗服務多是基於Flow方式檢測DDoS攻擊，且策略的顆粒度較粗，因此針對低流量特徵的DDoS攻擊類型檢測效果往往不夠理想，此外部分攻擊類型受限於防護演算法往往會有透傳的攻擊報文，此時對於企業用戶還需要藉助本地DDoS防護設備，實現二級清洗。

· 雲清洗服務：

雲清洗服務使用場景較窄，當使用雲清洗服務做DDoS應急時，為了解決攻擊者直接向站點真實IP地址發起攻擊而繞過了雲清洗中心的問題，通常情況下還需要企業用戶配合做業務地址更換、Cname引流等操作配置，尤其是業務地址更換導致的實際變更過程可能會出現不能落地的情況。另一方面對於HTTPS Flood防禦，當前雲清洗服務需要用戶上傳HTTPS業務私鑰證書，可操作性不強。此外業務流量導入到雲平台，對業務數據安全性也提出了挑戰。

對比了三種方式的不同和適用場景，我們會發現單一解決方案不能完成所有DDoS攻擊清洗，綠盟科技推薦企業用戶在實際情況下可以組合本地DDoS防護設備+運營商清洗服務或者本地DDoS防護設備+雲清洗服務，實現分層清洗的效果。針對金融行業，更推薦的組合方案是本地DDoS防護設備+運營商清洗服務。對於選擇雲清洗服務的用戶，如果只是在DDoS攻擊發生時才選擇將流量導入到雲清洗平台，需要做好備用業務地址的更換預配置（新業務地址不可泄露，否則一旦被攻擊者獲悉將會失去其意義）。

DDOS防護實踐總結

借鑒綠盟科技DDoS攻防工程師總結的經驗，企業客戶在DDoS防護體系建設上通常需要開展的工作有：

1.應用系統開發過程中持續消除性能瓶頸，提升性能

通過各類優化技術，提升應用系統的並發、新建以及資料庫查詢等能力，減少應用型DDOS攻擊類型的潛在危害；

2.定期掃描和加固自身業務設備

定期掃描現有的網路主節點及主機，清查可能存在的安全漏洞和不規範的安全配置，對新出現的漏洞及時進行清理，對於需要加強安全配置的參數進行加固；

3.確保資源冗餘，提升耐打能力

建立多節點負載均衡，配備多線路高帶寬，配備強大的運算能力，藉此「吸收」DDoS攻擊；

4.服務最小化，關停不必要的服務和埠

關停不必要的服務和埠，實現服務最小化，例如WWW伺服器只開放80而將其它所有埠關閉或在防火牆上做阻止策略。可大大減少被與服務不相關的攻擊所影響的概率；

5.選擇專業的產品和服務

三分產品技術，七分設計服務，除了防護產品本身的功能、性能、穩定性，易用性等方面，還需要考慮防護產品廠家的技術實力，服務和支持能力，應急經驗等；

6.多層監控、縱深防禦

從骨幹網路、IDC入口網路的BPS、PPS、協議分布，負載均衡層的新建連接數、並發連接數、BPS、PPS到主機層的CPU狀態、TCP新建連接數狀態、TCP並發連接數狀態，到業務層的業務處理量、業務連通性等多個點部署監控系統。即使一個監控點失效，其他監控點也能夠及時給出報警信息。多個點信息結合，準確判斷被攻擊目標和攻擊手法；

7.完備的防禦組織

囊括到足夠全面的人員，至少包含監控部門、運維部門、網路部門、安全部門、客服部門、業務部門等，所有人員都需要2-3個備份

8.明確並執行應急流程

提前演練，應急流程啟動後，除了人工處理，還應該包含一定的自動處理、半自動處理能力。例如自動化的攻擊分析，確定攻擊類型，自動化、半自動化的防禦策略，在安全人員到位之前，最先發現攻擊的部門可以做一些緩解措施。

總結：針對DDoS防禦，主要的工作是幕後積累，在沒有充分的資源準備，沒有足夠的應急演練，沒有豐富的處理經驗，DDoS攻擊將會造成災難性的後果。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！