Anonymous攻击国内金融机构: 紧急抗D48小时纪实
作者:星期四, 十二月 27, 20182

世界是平的,网络世界更是。

一次全球性的网络攻击行动,除了在CNN、 BBC等海外新闻媒体上看到之外,也真真切切地发生在我们的身边……

正所谓“武功再高,也怕菜刀;衣服再diao,一砖撂倒”。DDoS攻击,作为网络攻击中的常青树,素来有“网络板砖”的美誉:唾手可得,送货到家,一击致命。

让我们一起来看看,跨国DDoS攻击是如何展开的?我们是如何防护的?

【12月11日,Twitter网站】前奏

疑似匿名者(以下称Anonymous)的黑客组织成员Lorian Synaro突然发推,鼓动对全球中央银行网站,发起代号为“OpIcarus 2018” 攻击。

说到Anonymous,在网络安全界无人不知、谁人不晓。他们是遍布在全球范围的一群年轻人, 拥有高超的网络安全知识, 不从属于任何国家和政府, 为了表达自己的立场、发表自己的观点, 曾先后攻击PayPal、索尼、声援维基解密。

任何人都可以宣称代表或属于该组织,有人称这是全球最大的黑客组织。

他们有一段自己独有的口号,往往会出现在Anonymous官网或视频里:

We are Anonymous.(我们是匿名者)

We are a Legion.(我们是军团)

We do not forgive.(我们不会原谅)

We do not forget.(我们不会忘记)

Expect us.(期待我们)

而具体到本次的OpIcarus行动,全称为Operation Icarus,旨在针对全球的中央银行进行网络攻击,用以表达Anonymous的立场:

  • 各国政府需停止一切战争。(小编:尤其是MY战)
  • 各国政府需将民众的管理权归还给大众。(小编:都归德国管?)
  • 不得剥削工薪阶层。
  • 不提倡贪婪和追求物质享受。(小编:像华为学习!)

……

有哪些银行是他们的攻击目标?Anonymous指哪打哪,已经事先列出来了,算是向它们发起宣战:

http://anonymousglobaloperations.blogspot.com/

行动代号为什么叫Icarus?这个也是有讲究的。Icarus是希腊神话中的一个人物, 他与自己的父亲, 使用蜡和羽毛制造出翅膀, 企图逃离自己所在的一个岛屿。起初他们是成功的,但由于狂妄和傲慢,Icarus沾沾自喜而飞得太高,导致翅膀上的蜡,被太阳所融化,从而跌落在水中而丧生。Anonymous认为全球金融机构们贪婪、狂妄,本次攻击是对他们的惩罚。

【12月13日19:00,XX银行安全中心】攻击开始

XX银行突然发现本银行的网上银行业务和手机银行APP,均出现访问迟缓,客户无法正常使用的情况。

无疑,Anonymous的攻击开始了。但好奇的是,为啥防御失灵了呢?

XX银行全网用的是L*的抗D设备,当攻击开始后,L*的设备扛不住了。由于平时对XX银行的业务不了解,所以策略配置是眉毛胡子一把抓,无论是网站、网银还是手机APP等,都统一在几条策略之下。这样的防护效果可想而知,针对整体流量做防护,很有可能某些小流量业务已经被DDoS攻瘫了,但由于还没有触碰到整体流量的防御阀值,从而没有进行任何防护动作。L*的维

护人员也进行了现场支援,但依然无计可施,凉凉……

我们的抗D故事,也就从此开始了……

【12月14日16:00,华为安全应急响应中心】紧急求助电话

电话响起, XX 银行希望华为 AntiDDoS 团队能紧急支援 , 上线华为的AntiDDoS8030设备,去应对目前所正在遭受的攻击。

华为AntiDDoS团队紧急召开了会议, 联想到前几天Anonymous刚刚发推,宣布要发起OpIcarus新一轮行动,大家紧张的心情反而有些舒缓开了。因为这是我们所熟悉的对手,3年前,华为AntiDDoS团队就曾和OpIcarus早期行动有过直接交手……

那是在2015年, 为了谴责土耳其政府支持ISIS组织, Anonymous在推特上下完战术之后,便发起了OpIcarus行动。从2015年12月14日 (同样发生在12月14日前后, 难道这个日子对他们有什么特殊的意义?) 开始,大规模的DDoS攻击奔着土耳其银行和政府网站就去了!

在之后的几天里,土耳其三家知名银行:Ziraat,Isbank 和 Garanti,所遭受的攻击流量峰值带宽一度达到了 40Gbps!而几个政府部门的官网,也直接被攻击得下线了。

当时一名土耳其电信的官员,在接受路透社采访时称:

这次网络攻击事件很严重,但目标并不是针对土耳其电信。反而,土耳其的银行和政府网络受到了严重的攻击。现在大多数的土耳其机构使用土耳其电信作为网络服务商,所以目前我们在积极应对这次网络攻击并做好防御工作。

这个“积极应对”的背后,其实是华为 AntiDDoS 产品在与攻击鏖战!

当时,土耳其电信在国际关口局,部署的抗 D 设备,正是华为 AntiDDoS产品。其境内大多数的银行和政府网站,都是在华为 AntiDDoS 的保护之中。

但不巧的是,当年 Anonymous 发起的攻击,以 TCP Flood 和 UDP Flood 等网络拥塞型攻击为主,虽然识别难度不大, 但是性能超过了40Gbps。而土耳其电信现网的华为 AntiDDoS 产品,只采购了 10Gbps 处理能力。为此,华为现场紧急扩容业务处理板卡,研发工程师 7*24 小时远程值守!各类 DDoS 攻击被成功阻断,网站访问恢复正常。

一张图回顾下这场攻击,报表显示的是从 12 月 14 日攻击开始到 31 日攻击结束的攻击流量峰值带宽图。攻击在 12 月 17 日达到了最高的 40Gbps

三年过去了,又一封战书下达……我们自然责无旁贷地肩负起保护自家银行的重担,看看OpIcarus又有什么新的招数使出来。

紧急会议完毕之后,华为派出了资深专家小T,立即出差到客户现场。

【12月14日23:00,XX银行安全中心】进入战斗

经过2个多小时的飞行,小T被早已安排好的接机人员,直接送到了XX银行安全中心作战室现场。 推开门的一瞬间,压力扑面而来, XX银行的一名副行长以及几个处长都已经在现场值守,整个作战实验室氛围凝重。镜头转向某个角落,L*的维护也在,但是明显已经放弃治疗了。

小T立即进入状态,与客户就应对策略展开讨论。客户介绍说,由于了解到本次攻击疑似是跟Anonymous的OpIcarus行动相关,所以猜测DDoS攻击是来自境外居多。 现在是在运营商层面, 通过所购买的云清洗服务在进行 “海外IP流量过滤” 的操作。从效果上来看,确实起到了一定的防护作用。入口的网络带宽不再被拥塞,但海外的真实客户却也一并被运营商给屏蔽了。没办法,先应急。

“海外IP流量过滤”?这个功能在我们的AntiDDoS设备上就有,不用在运营商侧配置,毕竟双方沟通起来需要靠电话交流,不如在作战室本地可以随时调试来的方便和直接。可以考虑在华为AntiDDoS设备上开启这个策略。

小T的建议立刻得到了客户的认可并启动实施,这样一来,观察DDoS攻击流量变化更方便了,但风险也有,毕竟所有的攻击都改由华为设备来防护了。

配置好 “海外IP流量过滤” 之后, DDoS攻击流量明显下降, 但多年的抗D运维经历告诉小T:抗D的难点不在于能否防住DDoS攻击, 而在于防住的同时, 不影响正常的业务访问。去伪存真是最高水平。

像XX银行这种全球性的银行,必然会使用CDN业务来提升海外客户的使用体验,所以需要在过滤海外IP流量的同时,将CDN业务的已知IP放入白名单, 留下入口,尽可能地保护海外正常客户的访问需求。

第一招小结,“海外IP流量过滤”+“CDN IP白名单”

这实际上是权宜之计,无疑将误伤海外客户(有可能是国外客户,有可能是国内客户出差到海外)的正常访问。先看看对方的攻击会持续多长吧,如果持续时间比较长,我们还得继续想办法,更换细粒度的防护策略。

时间一分一秒地过去,DDoS攻击没有停下来的迹象。

小T和客户商量后决定,更换防护策略。但换成什么呢?

结合2015年在土耳其电信对抗Anonymous的经验,小T决定先针对网络层TCP Flood和UDP Flood进行防护,毕竟这是对方常用的攻击手段。

想到这里,小T祭出了华为AntiDDoS上多年来针对金融行业客户的网络层DDoS防护策略模板,里面包括了:

  • 检查SYN报文的正确序列号
  • 检查ACK、FIN和RST报文
  • UDP反射放大过滤以及限速

这是在解除了“海外IP流量过滤”之后,通过对L4传输层报文的细粒度检查,同样消除了大量的DDoS攻击流量。 后台监控显示, XX银行的网络入口拥塞问题没有发生,说明这个策略起到了作用。这样做,既能清洗旨在制造网络拥塞的DDoS攻击,同时又保护了海外客户的正常访问,相比第一招,更加合理有效。

防御初见成效,小T和客户都长出了一口气!

第二招小结,TCP Flood防御 + UDP反射放大攻击防御

【12月15日14:00,XX银行安全中心】一波还未惊醒,一波又来侵袭

经过一晚上加一个上午的观察,此前拥塞网络的DDoS攻击流量没有上升,证明了昨晚的部署策略有效。 不过, 这只是扑灭大范围的明火, 更多细小的暗火还待灭掉。这些小火苗藏在不起眼的位置,贴近易燃易爆物品,更加危险。

网络虽然不再拥堵,但网银业务依然不稳定。这明显是有针对网银业务的CC攻击在作祟,他们流量不大,但可以导致网银业务的服务器资源耗尽。

客户跟小T说, 造成拥塞的DDoS已经搞定了,你就好好观察待命吧,剩下的CC攻击,我们有F*的负载均衡,上面可以开启WAF防御能力,来搞定针对网银服务器的CC攻击。你们一粗一细,配合起来使用。

但过了1小时之后,客户又回到小T面前,眉头紧锁。原来, F*的负载均衡产品在开启了WAF防御能力之后,误杀了正常业务、安全日志写满、 CPU占用率提升……还是试试你们AntiDDoS的CC攻击防御能力吧。

【12月15日14:30,XX银行安全中心】粗活细活一肩扛

小T拥有10年的抗D经验,对于CC攻击自然不陌生,这是一种旨在耗尽资源的DDoS攻击类型,说白了就是要让你“烧脑”,没有脑力去做正常事情。

CC攻击也分两大类,网络层CC攻击和应用层CC攻击。对于网络层CC攻击来说,黑客会不断发送TCP握手报文,希望能建立连接。建立成功后,长期占有会话资源,或者直接Reset掉,再重新发起握手。总之就是要不断地跟你打招呼,让你没法跟别人正常地说句话。 对于应用层CC攻击来说,他们会在建立好TCP连接的基础上,进一步在HTTP层面发起请求,同样的原理,不断向你提问相同的问题,让你没有办法回答其他人的正常询问。

针对网络层CC攻击, 小T使用了TCP Connection技术,它会监控每一个TCP会话的健康度,譬如是否是空连接,是否在频繁建立、拆解,是否是来自没有真实源的建立请求……一旦认定某个IP的TCP建立请求有异常,属于网络层CC攻击的行为,就会直接将这个IP地址放入到黑名单中,下次不予理会。

从管理平台上监控到, 被自动加入黑名单的IP地址数量,不断增加,最高达到了4000+。小T心里也捏了一把汗,生怕有正常访问被误伤了。所以立即随机抽取了一些被加入黑名单的IP进行检查,发现基本都是来自海外国家,如印尼、秘鲁、泰国、蒙古、埃及、印度……没问题,证明被禁止的IP是非正常业务,都是来自业务不相关国家的攻击源。

针对应用层CC攻击, 这是比较难对付的攻击方式。 正在小T一筹莫展的时候,突然想起上个月,自己在运维华为云的高防服务时,也遇到了HTTP GET Flood这种应用层CC攻击。 当时, 华为云高防团队使用了HTTP 302重定向的防御策略,效果不错。302重定向是对HTTP请求方进行 “源认证”的方式, AntiDDoS会代替网银业务服务器向客户端反馈302状态码,告知客户端需要重定向到新访问地址,以此来验证客户端的真实性:真实存在的客户端可自动完成重定向过程, 则通过认证;而虚假源或一般的DDoS攻击工具没有实现完整的HTTP协议栈,不支持自动重定向,无法通过认证。这对AntiDDoS设备的性能是极大的考验。

小T跟客户的沟通后, 大家决定该防御策略先在XX站点做试点。 经过一段时间的稳定测试:未实施该策略的站点服务器5分钟出现一次故障,实施该策略的站点业务保持正常。小T这才松了口气。

第三招小结,TCP Connection + HTTP 302重定向

【12月21日】复盘

这次面向XX银行的DDoS攻击,通过后续的抓包分析来看:

  • 90%以上的绝大部分流量来自海外;
  • 攻击源以物联终端为主,包括摄像头、 DVR及打印机, 甚至还有近期大面积沦为矿机的M*家用路由器(看来是比特币大跌,矿机生意不好做,都改回DDoS老本行了);
  • 攻击类型包括TCP Flood,UDP放大攻击,网络和应用层的CC攻击;
  • 持续了一周左右的时间;

值得注意的是, 物联终端具有较为完整的网络协议栈,但自身的安全性又较为脆弱,一旦被劫持之后变成 “肉鸡” ,便会被黑客操控成为DDoS攻击的载体。

正是由于物联网“肉鸡”数量大幅度增加,全球DDoS攻击的数量、攻击规模都大幅提高,影响也不断扩大。

【12月24日】感受

经过一周的现场支撑,小T已经回到了北京,经验值又提升了两格。说到这次抗D经历,小T的感受是:

  • 抗D运维时,安全策略需要针对客户的不同业务来区分;
  • 抗D容易,但一边抗D一边保护正常业务访问,非常难;
  • 攻击方在不断演进,从攻击类型到所能使用的资源;
  • 抗D难度在增加,需要不断总结每次交手时获取的经验(好在自己天天在华为云高防业务上打怪升级) 。 这些经验也都通过“策略模板”和新版本特性等方式,固化到了华为AntiDDoS产品上,让更多的客户得到更高质量的防护。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章