记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

160Gbit/s DDoS攻击及其背后的攻防博弈

2014-02-17 12:50

 春节期间,阿里云开放存储系统遭受到三轮峰值近160Gbit/s的DDoS攻击。阿里云云盾系统实现完全自动化的防御,有效地阻断了大流量的攻击,保证了存储业务的正常运行。攻击者挑战的不仅仅是防护设备的性能,更是防护系统的完备性和响应效率,以及防护团队的专业能力和协作精神。

160Gbit/s的攻防博弈

第一轮攻击波

2月1日,正月初二,春节。中午12点,阿里云云盾防护系统检测到访问OSS系统(开放存储服务)的流量出现异常波动,在很短的时间内流量快速提升。

在无人干预的情况下,云盾的抗DDoS系统自动进入防护状态,将流量牵引到清洗设备上进行清洗。

攻击者加大攻击力度,流量上升迅速,攻击总带宽在半个小时内即接近160Gbit/s。下图显示双链路各自的攻击峰值。

1

在此期间,云盾系统进行了完全自动化流量清洗。

攻击者的攻击维持了2小时45分钟后放弃。下午3点左右,流量回归正常状态。

在这个三小时攻防大战中,云盾系统对攻击的检测及防护均自动化完成。OSS系统用户正常业务没有受到影响,没有接到用户投诉。

第二轮攻击波

2月5日,正月初六,春节。19:00,攻击卷土重来。云盾再次检测到大流量攻击。峰值超过70Gbit/s。

2

云盾自动清洗,化解黑客攻击。OSS的正常业务没有受到影响,无用户投诉。

第三轮攻击波

2月6日,正月初七,春节。22:00,大流量攻击再次发生,峰值42Gbit/s。云盾成功防护,客户业务无影响。

魔高一尺,道高一丈

事后对源、目标和攻击类型的分析过程中,我们发现了很多比较明显的共同点,因此基本可以判断是由一个黑客/黑客组织发起的对于同一目标的攻击事件。

经过对捕获的攻击数据包分析,黑客的攻击手段主要采用SYN Flood。SYN Flood是一种非常典型和常见的系统资源消耗型DDoS攻击,是在TCP连接创建的握手阶段,利用客户端与服务器三次交互对服务器侧的TCP资源进行攻击。攻击者通过向被攻击目标服务器发出大量TCP SYN报文,使服务器打开并维持大量的半开连接,进而占满服务器的连接表,影响正常用户与服务器建立会话,造成拒绝服务。

3

 

从攻击者实际的攻击行为上来说,存在比较明显的特征。攻击者为了提高攻击带宽,增加了相对固定的负载。从另一方面来说,也为云盾的检测和阻断提供了依据。

不仅是云盾系统的胜利

虽然SYN Flood攻击非常普遍,但是单纯依靠SYN Flood就打出如此高的攻击带宽却是非常罕见的。去年5月份,国外黑客组织攻击美国金融系统时,也曾打出了167Gbit/s的高带宽,采用的是DNS反射放大攻击,利用了DNS查询包和响应包之间的杠杆作用。

事件的另一个亮点是云盾系统在整个事件中实现了全自动化的检测、分析和清洗工作。虽然是自动化防护,即便是在春节期间,云盾系统7X24的安全应急和专家团队坚守岗位,对攻击进行了全程监控,保证对攻防大战的完全可控。

最后,更让我们感到欣慰的是,此番160Gbit/s DDoS的攻防博弈中,用户的正常业务没有受到影响。显然,这不仅仅是云盾系统的胜利。

 

知识来源: www.2cto.com/Article/201402/278774.html

阅读:63224 | 评论:0 | 标签:ddos

想收藏或者和大家分享这篇好文章→复制链接地址

“160Gbit/s DDoS攻击及其背后的攻防博弈”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云