专栏首页腾讯游戏云 实战分享:如何成功防护1.2T国内已知最大流量DDoS攻击
原创

实战分享:如何成功防护1.2T国内已知最大流量DDoS攻击

作者:腾讯云游戏安全团队&腾讯安全平台部

引言:

DDoS攻击势头愈演愈烈,除了攻击手法的多样化发展之外,最直接的还是攻击流量的成倍增长。3月份国内的最大规模DDoS攻击纪录还停留在数百G规模,4月,这个数据已经突破T级,未来不可期,我们唯有保持警惕之心,技术上稳打稳扎,以应对DDoS攻击卷起的血雨腥风。4月8日,腾讯云成功防御了1.2Tbps的超大流量攻击,也是目前国内已知的最大攻击流量,这篇文章就此次攻防事件简单地为大家做一个梳理和分析。

国内已知最大攻击流量来袭

4月8日,清明节后第一个工作日,腾讯云一个重要的棋牌游戏客户突然遭受大流量DDoS攻击,棋牌类游戏遭受攻击习以为常,但是本轮攻击流量峰值竟达到了1.23Tbps,刷新国内DDoS攻击最大流量记录。

不过凭借腾讯云超大防护带宽以及腾讯安全平台部十余年DDoS防护技术积累的支撑下,腾讯云携手该棋牌游戏客户成功防护了这次超大流量攻击,护航客户棋牌业务稳定运行。

那么这么大的攻击怎么来的呢?又是怎么被成功防护的呢?

攻击分析

本次攻击手法主要为拥塞带宽型攻击手法(SSDP反射,攻击原理下文介绍),在总体流量中占比97%,攻击流量达1.2Tbps,和协议缺陷型(SYNFLOOD和ACKFLOOD),在总体流量中占比3%。

SSDP反射

只要对DDoS有一定认知的同学,肯定不会对SSDP反射攻击陌生,作为现网最常见的DDoS攻击手法之一,SSDP反射由于可用的反射终端数量庞大,放大系数可观,而备受攻击者青睐。

在攻击思路上跟其他反射攻击一样,攻击者发起SSDP反射的大致过程为:

Ø 通过IP地址欺骗方式,攻击者伪造目标服务器IP,向开放SSDP服务的终端发起请求;

Ø 由于协议设计缺陷,SSDP服务无法判断请求是否伪造,并向目标服务器进行响应。就这样数量极其庞大的SSDP响应报文同时发往被攻击服务器;

Ø 更可怕的是在特定请求下,一个SSDP请求报文可以触发多个响应报文,而每个响应报文比请求报文体积更大,最终造成攻击流量约为30倍的放大。

来源IP分析

本次攻击共采集到攻击源16.6万个。其中国内占比68%,海外占比32%,TOP 3国家分别是:中国(68%)、俄罗斯(13%)、美国(8%)。

在国内方面,攻击主要来源省份:山东省(40%)、辽宁省(20%)、河北省(16%)等环渤海区域,其次是浙江省(10%)、中国台湾省(9%)。

国内攻击源的主要运营商来源为中国电信(占比66%)和中国联通(占比24%)。

在攻击源属性方面,主要来自于个人PC,占比57%,IDC服务器占比28%,值得注意的是,物联网设备在此次攻击源中占比达到15%。攻击者在攻击武器方面,物联网设备作为攻击源的数量呈明显增长趋势。眼下物联网设备安全问题不容忽视

由此可见,公网上开放SSDP服务的终端数量非常庞大,而且分布广泛,为攻击者实施攻击带来便利。

防护方案

为了有效防护DDoS攻击,建议游戏厂商和开发者做好以下几个事项。

(1)预估攻击风险,必要时接入高防

不同类型的业务遭受外部DDoS攻击的风险完全不一样。所以运营者应根据自身行业的攻击威胁态势,以及自己业务历史遭受的DDoS攻击情况,来判断是否会被黑产"盯上"及是否需要接入高防。

而不可不提的是,游戏行业的高利润、行业恶性竞争等因素决定了该行业成为DDoS的高发区。根据腾讯云数据统计表明,超过66%的DDoS和CC攻击均针对游戏业务。所以对于游戏业务运营者来说,更需预估攻击威胁,必要时接入高防,方能保障业务稳定运行。

(2)接入高防后,切勿暴露源站

接入高防后,腾讯云会分配专门的高防代理IP,而为了避免黑客直接攻击源站,此时必须要注意:隐藏源站IP!

Ø 接入高防前的源站IP不能再使用(已经暴露);

Ø 梳理游戏逻辑,确认游戏逻辑不会暴露源站IP;

Ø 对服务器做安全扫描,避免被植入后门。

(3)基于业务特性,定制防护策略

接入高防后可以通过高防IP的超大带宽抵抗大流量DDoS攻击,但是黑客往往会在大流量攻击同时混杂着消耗服务器资源的小流量攻击,如本轮攻击除了SSDP反射和SYNFLOOD还夹杂着CC攻击。故为了达到更优的防护效果,可以咨询腾讯云游戏安全团队:基于业务特性,深度定制防护策略。策略定制常见的维度包括:

Ø 梳理业务协议和端口情况,封禁非必要协议和端口,减少被攻击面

Ø 对HTTP业务,可在控制台上根据实际情况配置CC防护,提前防备CC攻击。

Ø 如果是私有协议,可以让腾讯云游戏安全团队介入。团队可对业务流量进行统计分析,并深度定制防护策略,以有效解决各种疑难杂症。例如该客户历史还遭受过四层CC攻击,腾讯云游戏安全团队深度定制策略,有效防护,业务稳定运行!

备注:四层CC攻击是指黑客控制肉鸡对目的服务器建立TCP连接后模拟业务流量发起攻击,耗尽服务器资源的攻击手法。

总结

只要有利益的地方就竞争,只要有互联网的地方就会有DDoS攻击。我们建议游戏厂商和开发者提前评估业务风险、选择可信赖的云服务商,必要情况下购买高防服务,与专家团队深度定制防护方案,有力保障好游戏安全生命线。

腾讯云限时推出新一代高防产品优惠,现购买一个月及以上任何档位高防产品,可免费获赠一个月的使用时长。

点击链接,立即申请产品优惠! 链接:https://wj.qq.com/s/2023496/3223

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 护航者,腾讯云: 2017年度游戏行业DDoS态势报告—回溯与前瞻

    自14年开始,全球DDoS攻击持续爆发,攻击峰值不断创记录。2017年,这种依靠超大流量不断冲击服务器和带宽造成业务瘫痪的攻击方式,更是将火力集中在了全球互联网...

    腾讯游戏云
  • 游戏场景下的DDoS风险分析及防护

    本篇文章主要是分享游戏业务面临的安全风险场景,以及基于这些场景的特点,我们应该如何做好对应的防护。

    腾讯游戏云
  • 一个域名引发的血案……

    6月29日凌晨,无数球迷正放下小龙虾、握紧啤酒杯,屏气凝神观看三狮军团英格兰鏖战欧洲红魔比利时。

    腾讯游戏云
  • DDOS攻击常见的类型

    “互联网”指的是全球性的信息系统,是能够相互交流,相互沟通,相互参与的互动平台。随着互联网的飞速发展,越来越多的网站应运而生,但各种问题也随之而来。其中最严重的...

    墨者安全科技
  • 【攻击】日蚀攻击,女巫攻击,重放攻击,DDOS攻击的定义?

    是针对对等式(或译为点对点)网络的一种攻击类型:攻击者通过使节点从整个网络上消失,从而完全控制特定节点对信息的访问。 防御方法: 以太坊是通过限制主动连接过...

    辉哥
  • 盘点目前市面上流行的网络攻击

    ? 一、攻击分类 主动攻击 主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端(拒绝服务)。 ? ? (2)窃听 ...

    用户1467662
  • APT攻击盘点及实战(上)

    我相信很多人在发文章的时候,都写了关于APT攻击相关的文章!在这里我也发一篇该文章!哈!但是我比较喜欢实战,不太喜欢理论上的东西。相信大家也跟我一样喜欢实战,恰...

    糖果
  • 全球高级持续性威胁(APT) 2019 年上半年研究报告

    高级可持续性攻击,又称APT攻击,通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马(俗称特马)...

    墙角睡大觉
  • 企业平均每年遭遇9起有针对性攻击

    高级持续性攻击( APT )可能比想象的更普遍:最新研究发现,在过去12个月中,企业平均遭遇9起这种有针对性的攻击。根据一份名为“高级持续性攻击的现状”的报告显...

    安恒信息
  • 确保业务安全的4个基本要素

    最近的网络安全漏洞和攻击使得商业和技术社区在安全性方面处于动荡状态。虽然我们可能会连续数小时谈论由技术人员、小黑客组织和非常幸运的“脚本小子”发起的攻击,但同样...

    双愚

扫码关注云+社区

领取腾讯云代金券