Google Project Shield如何抵御DDoS攻击?这个案例可以初探端倪

对安全专家Brian Krebs来说,去年9月的第三个星期可以算是一段暗无天日的时光,大量持续不断的DoS攻击波涌向其个人网站KrebsOnSecurity,峰值攻击曾流量超过每秒 620Gbps,最终,CDN服务商Akamai也无防护之计可施,选择将Krebs网站下线。

然而,仅在三天之后,KrebsOnSecurity就在谷歌Project Shield(护盾项目)的保护下,正常上线“重生”了。今天就让我们随着FreeBuf来一起了解下谷歌Project Shield的这桩“壮举”。

Project Shield是谷歌最早在2013年推出的,保护第三方网站的免费抗D服务,它利用谷歌基础设施技术来重定向和缓解DDoS攻击流量,以抵御各类DDoS攻击。

Project Shield保护网站主要为那些没专业能力部署安全防护的体量较小网站,并优先为记者、媒体、选举和人权相关网站提供保护。(更多详情参考Project Shield官网)

据谷歌安全工程师Damian Menscher在最近的Enigma安全会议上透露,在Krebs向Project Shield提出网站保护请求之后,谷歌安全团队经过一番风险权衡后同意了这项服务。Menscher回忆了当时团队的讨论情景:

“如果这些僵尸网络对google.com发起攻击后果将会怎样?会让我们的努力白费吗?这种可能不能完全排除。 但如果类似的攻击可以击溃我们,那么任何时候它对我们来说都是一种潜在风险,所以,从这个角度上来说,我们不存在任何损失,应该积极去应对。”

经过一个小时的讨论后,Menscher的团队迅速达成了帮助Krebs的决定。然而,前期却经历了冗长的流程。

首先一点就是,网站所有人必须证明其对网站的控制权,而此时Krebs网站正处于下线状态,而且域名管理系统为防止域名劫持攻击,把其域名(krebsonsecurity.com)又设置为锁定状态。

最终,当Project Shield为KrebsOnSecurity提供上线保护之后的14分钟,新一轮DDoS攻击开始了。

第一波攻击是足可以瘫痪大量网站的每秒1亿3000万的SYN洪水包,但面对谷歌的基础设施,这算是九牛一毛;一分钟后,攻击强度增加,来自145,000个不同IP发起了每秒250,000次HTTP请求,毫无疑问,这是Mirai僵尸网络的特征。

随后,攻击者以多种方式发起了攻击,包括140Gbps的DNS放大攻击和每秒400万syn-ack包的syn-acka洪水攻击。

在攻击开始后的第四个小时,KrebsOnSecurity经历了更强的攻击流量,175,000个不同IP发起了每秒450,000次HTTP请求,好在有Project Shield的保护,这也没能对KrebsOnSecurity造成直接影响。

攻击在开始的两个星期最为强烈,随后,攻击者加入了一系列新型攻击技术,包括一种名为WordPress pingback的攻击,该攻击会发起对目标网站的大量内容请求,导致网站瘫痪。

由于该攻击方式的每个内容请求包内,包含了一个带有“WordPress pingback”的用户代理广播字段,所以,Google有效地对这些请求作出了阻止。另外的Cache-Busting攻击也同样被Project Shield成功阻挡。

WordPress的Pingback功能中文解释是“引用”,当你的文章有引用别人的内容时(通常内容里有加上对方的超链接),一旦文章发表后,就会自动启动Pingback功能,这功能会发送一个Ping给对方,会以评论的方式呈现。 WordPress的pingback服务可被DDoS攻击利用,这个漏洞早有披露,但至今仍有大量网站存在此问题。由于这种DDoS攻击中流量来自数千个不同IP,基于网络的防火墙也无法识别和拦截,只能限制每个IP地址的访问频率。

即使在今天,对KrebsOnSecurity网站的DDoS攻击也依然存在,最坏的结果只是引起一些短暂的中断,并没有导致长时间的宕机下线。Menscher同时也把此次事件的经验向会议观众作了分享:

由于我在谷歌的多年一直是致力于保护大型网站系统的安全运行,成千上万次的查询请求或攻击对谷歌来说影响非常微小,然而,突然面对一个小型网站的保护,我显得有点措手不及。 由于Krebs的网站原先最多只能承受每秒20次的请求,但这次攻击峰值却达到了每秒450,000次请求。面对这种情况,作为安全工程师的你会怎么处理?这确实有点棘手。 但首先你可以识别和限制攻击流量,然后通过缓存分散正常流量,这样一方面可以给服务器减负,另外在服务器出现故障时,还能为浏览用户正常提供缓存内容,形成一个暂时的“在线”状态。

当问道在DDoS防护商Akamai宣布停止为KrebsOnSecurity提供无偿保护之后,为什么Google愿意免费提供这项网站保护服务?Menscher给出了解释:

“我们暂且不提规模经济方面的考虑。因为谷歌具备很多方面的技术实力,通过这些技术基础设施的共同发挥,完全有能力构建一个有效DDoS后备防御体系。 我想Akamai也希望具备这样的能力,但在同一时间两次强大的DoS攻击面前,攻击者发起的各种类型的攻击占了上风,转而慢慢蚕食了他们的防御能力。”

对Menscher来说,最终的体会是,像Google这样运行着至关重要的业务,一年离线状态不会超过5分钟的公司,有必要作出一些冒险和挑战的尝试。

他进一步解释,“我是一个唯物论者,在现实中我们总尝试去分辨世界是如何运转的,但基于此,我们必须有正确的问题导向,必须去做一些调查研究,也必须主动去质疑一些假设。

这种道理与DDoS防御是相似的,我们不能总看到眼前的攻击,还需更加积极、更加冒险地去应对或挑战一些未知的攻击。”

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-02-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏NComputing

教师办公设备桌面交付终端NComputing虚拟化解决方案

随着国家在云计算领域,涵盖物联网、大数据、互联网+、电子商务等细分市场的政策扶持和科研基础投入,行业云应用服务的市场将凸显越来越大的前景和利润,云服...

14410
来自专栏小白课代表

手机必备 | 听歌识曲APP——Shazam

27550
来自专栏企鹅号快讯

NS遭破解?黑客找到内核漏洞 但好像并没有什么用

近日,在德国34C3黑客大会上,三位黑客Plutoo、Derrek和Naehrwert在现场介绍了他们如何利用内核漏洞绕过任天堂Switch的底层保护机制,来获...

299100
来自专栏小文博客

腾讯云周斌:锤子发布会被DDos攻击,我们是这样抗住的

41050
来自专栏黑白安全

研究称数百万 Android 设备出货时便存在固件漏洞

据《连线》网站报道,研究人员发现,数以百万计的 Android 设备出货之时便存在固件漏洞,容易受到攻击,用户可以说防不胜防。智能手机因安全问题而崩溃往往是自己...

8930
来自专栏FreeBuf

2017年十大Web黑客技术榜单

近期,由安全公司 Portswigger 发起的“2017年十大Web黑客技术”评选结果出炉了!经过一开始初选的37个技术议题提名,到后来白帽社区投票的15个入...

16310
来自专栏FreeBuf

gSOAP 开源软件开发库曝“绿萝”漏洞,数百万 IoT 设备岌岌可危

还记得前几天 Avanti 自动售货机出现漏洞,泄露大量用户信息的事儿吗?这才没过多久,另外一个针对 IoT 设备的攻击又出现了,这次中招的是开发 IoT 设备...

33060
来自专栏安恒信息

你在微信不经意点开的链接 可能成为别人追踪你的标靶

一条八卦新闻、一个微信红包、一次小游戏邀请……你会不会在微信对话框中经常收到类似链接?如果你不小心点开了,那你的地理位置信息很有可能就被对方“盯上”了。

30340
来自专栏最新活动整理

腾讯云活动:新客户代金券及云产品3折活动

现在云服务器真的用起来越来越划算,越来越多的企业都在往云上迁移了,腾讯云自然是大家的第一选择,腾讯云也推出了不少活动来回馈用户:

37110
来自专栏BestSDK

防止云数据泄露,做好这5步很重要

为了保证业务及时运行,业务的安全性可以成为事后的考虑。在将产品或服务交付给客户的手中之后,企业喜欢一劳永逸。但当今的企业需要一个既安全又可靠的安全云环境。   ...

67760

扫码关注云+社区

领取腾讯云代金券