客户网站APP遭受DDOS攻击的解决案例

事实上,每年春节长假,SINE安全以DDOS为核心业务以外,快乐的春节假期也成为DDOS攻击的高峰期。SINE安全DDoS防护队实际上习惯于和各种hack一起度过新春,但2021年春节假期阿里云某游戏公司的用户DDoS攻防战比以往的攻击更加凶猛、更加粘着。hack为了达到目的,为该用户的多项游戏业务定制了完美的DDoS攻击方案,发誓将该用户置于死地…


2021年2月初,接近中国春节的夜里,sine系统在阿里云某游戏用户的很多业务IP被拉网式DDOS空袭,十多个IP在短时间内同时遭受大流量攻击。显然,这是针对该用户的恶意DDoS攻击事件。因此,SINESAFE与阿里云高防产品队合作,立即与用户取得联系,与现在的攻击状况和防护应对方案取得联系。


初步分析显示,在第一次攻击中,每个IP平均攻击流量峰值为230G,攻击持续4小时,击DDoS和CC手法混合,正确攻击业务重要端口,选择业务高峰期攻击。这些特性的组合似乎是hack向我们宣战的号角,预言更多的攻击接连不断,一次攻防锯战即将开始。出乎意料的是,在接下来的10天以上,hack每天晚上风雨不变,假日不断准时打卡的攻击中,发誓要在死地玩游戏。据宙斯盾统计,20天内,该用户旗下的多个游戏共遭受约1300次DDoS攻击,每次攻击流量峰值超出500Gbps。图2:某游戏用户DDoS攻击态势。


从攻击带宽的大小来看,这个攻击高峰期实际上并不高(2018年阿里云曾为某用户保护高峰期1.23Tbps的DDOS攻击)。但是,团队仔细分析攻击手法和流量构成后,确认这些hack实际上是基于业务特征和弱点,精心策划的目标攻击,能够 说是有准备的。从下列2点能够 看得出:


(1)熟悉业务,定制


据统计,现在的网络攻击者多喜欢用UDP反射(占现在的网络的80%以上),但是发现这些hack从未使用过。他们知道游戏业务是基于TCP协议的,所以保护者在保护系统中无效UDP,云制造商能够 和运营商定制ACL,在运营商的中坚网上直接禁止UDP协议,攻击流量多也是徒劳的。因此,hack聪明,研究TCP攻击,定制业务攻击方案。


(2)熟悉攻防,手法狡猾


hack在制定TCP攻击方案时,深刻理解DDoS攻击技术,选择业内认可防护难度最高的攻击手法,包含TCP反射、TCP连接攻击、TCP四层CC、HTTPCC等(详细数据见图3)。这些攻击流量大多基于完整的TCP连接或合法的协议堆栈行为,甚至能够 突破传统的DDoS保护战略,给保护方带来巨大挑战,严重威胁游戏业务和平台稳定。

分享: