真实案例|一次对阿里云贵金属行业客户的DDoS攻击
作者:星期五, 六月 19, 20150

攻击始末

2015年6月15日17点31分,阿里云某用户反馈遭受大流量攻击,攻击峰值超过20Gbps,主要为SYN Flood、ACK Flood、Connection Flood、TCP连接等网络层DDoS攻击。在阿里云云盾系统的防护下,攻击在30s内被成功拦截。但事情并没有结束。

1918点04分和18点16分,阿里云再次接到两位用户的反馈,与这前的攻击手法类似,规模更大峰值达到30Gbps。

云盾安全人员发现,黑客一直在进行短时间大流量的轮换攻击,每次持续不超过2分钟,打打停停,并根据攻击的效果快速切换被攻击的目标。

有趣的是,经客户经理确认,三个用户均为贵金属行业用户。这个信息对于接下来的攻防对抗至关重要。而紧接着在10到20分钟之内,又有两个用户反馈遭到类似的DDoS攻击。同样,均为贵金属行业的企业客户。

121个小时的时间共5位用户遭攻击

此后的一段时间,攻击者仍不断尝试攻击多个网站,经过分析发现目标均是针对贵金属行业内多家有影响力的网站。

13攻击监控曲线

从攻击监控曲线上可以观察到有趣的此起彼伏的多起攻击曲线,从攻击行为上看,黑客在一个时间段内主要集中在一个到二个目标,可能是为了集中攻击流量的缘故,没有出现太多重合的现象。

黑客对贵金属行业的整个过程一直持续到晚上的23:00结束。攻击被云盾系统一一化解,用户业务得到有效保护。

攻击分析

黑客在此次攻击事件中主要采用了SYN Flood、TCP Flood等连接耗尽为策略的网络层DDoS攻击。云盾高防在防护此类攻击的时候,主要使用了SYN源认证的防护机制和针对TCP连接的防护算法,达到了很好的处置效果。

14
从上图可见,一半的攻击是SYN Flood攻击。从攻击流量上看,单纯的SYN Flood流量曾一度超过70MPPS(约50Gbps)。如下图所示。

15SYN Flood攻击流量

通过抓包(见下图)可看到攻击者在攻击的时候,并没有采用大包的方式,也就是说,黑客并没有增加SYN数据包的负载。我们推测,黑客采用非常传统的方式而没有制造畸形数据包,可能是希望绕过云盾非正常数据包的检测策略。

16攻击SYN包

SYN Flood没有过时

SYN Flood作为最为传统的DDoS攻击手段之一。很多安全专家认为SYN Flood已经过时,将逐渐被应用层DDoS攻击取代。真的是这样吗?

在2014年12月底创造互联网历史上最大攻击流量——453.8G的DDoS攻击事件中,对阿里云某游戏用户的近三分之一的攻击流量是SYN Flood,如下图所示:

17三分之一的攻击是SYN Flood

Akamai在5月份发布的《互联网状态》报告显示,SYN Flood 攻击是第二大DDoS攻击方式(15.79%)。

为什么如此“传统”的DDoS攻击手段仍被黑客如此大规模的使用呢?阿里云认为,一方面由于这种攻击的成本很低,工具丰富,操作方便;另一方面,SYN Flood攻击手法也在不断发展,比如增加Payload大小等方式,以提高攻击的效率。

攻击之外的启示

在“6.15事件”结束后,阿里云云盾安全团队进行了复盘分析。

在整个“6.15事件”过程中,一共有数十个阿里云用户集中遭到DDoS攻击。“集中”体现在时间段上的集中、攻击手段上的集中,以及被攻击对象行业属性上的集中——基本上为贵金属行业用户。这让人联想到不久前另一起具有明显行业属性的DDoS攻击事件,在那次事件中,主要的被攻击对象是旅游行业用户。

之前,类似的攻击行为更多出现在游戏行业,多源于行业内进行的恶意竞争目的,在游戏行业之外的旅游行业、贵金属行业出现类似的集体性攻击事件尚不多见。阿里云认为,面对一个行业进行的集体攻击其背后可能有明显的黑产属性,同时攻击也从单一攻击者/组织向产业化和集团式作战过渡。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章