压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

世界是平的，網絡世界更是。

一次全球性的網絡攻擊行動，除了在CNN、 BBC等海外新聞媒體上看到之外，也真真切切地發生在我們的身邊……

正所謂“武功再高，也怕菜刀；衣服再diao，一磚撂倒”。DDoS攻擊，作為網絡攻擊中的常青樹，素來有“網絡板磚”的美譽：唾手可得，送貨到家，一擊致命。

讓我們一起來看看，跨國DDoS攻擊是如何展開的？我們是如何防護的？

【12月11日，Twitter網站】前奏

疑似匿名者（以下稱Anonymous）的黑客組織成員Lorian Synaro突然發推，鼓動對全球中央銀行網站，發起代號為“OpIcarus 2018” 攻擊。

說到Anonymous，在網絡安全界無人不知、誰人不曉。他們是遍布在全球范圍的一群年輕人， 擁有高超的網絡安全知識， 不從屬于任何國家和政府， 為了表達自己的立場、發表自己的觀點， 曾先后攻擊PayPal、索尼、聲援維基解密。

任何人都可以宣稱代表或屬于該組織，有人稱這是全球最大的黑客組織。

他們有一段自己獨有的口號，往往會出現在Anonymous官網或視頻里：

We are Anonymous.（我們是匿名者）

We are a Legion.（我們是軍團）

We do not forgive.（我們不會原諒）

We do not forget.（我們不會忘記）

Expect us.（期待我們）

而具體到本次的OpIcarus行動，全稱為Operation Icarus，旨在針對全球的中央銀行進行網絡攻擊，用以表達Anonymous的立場：

• 各國政府需停止一切戰爭。（小編：尤其是MY戰）
• 各國政府需將民眾的管理權歸還給大眾。（小編：都歸德國管？）
• 不得剝削工薪階層。
• 不提倡貪婪和追求物質享受。（小編：像華為學習?。?/li>

……

有哪些銀行是他們的攻擊目標？Anonymous指哪打哪，已經事先列出來了，算是向它們發起宣戰：

http://anonymousglobaloperations.blogspot.com/

行動代號為什么叫Icarus？這個也是有講究的。Icarus是希臘神話中的一個人物， 他與自己的父親， 使用蠟和羽毛制造出翅膀， 企圖逃離自己所在的一個島嶼。起初他們是成功的，但由于狂妄和傲慢，Icarus沾沾自喜而飛得太高，導致翅膀上的蠟，被太陽所融化，從而跌落在水中而喪生。Anonymous認為全球金融機構們貪婪、狂妄，本次攻擊是對他們的懲罰。

【12月13日19:00，XX銀行安全中心】攻擊開始

XX銀行突然發現本銀行的網上銀行業務和手機銀行APP，均出現訪問遲緩，客戶無法正常使用的情況。

無疑，Anonymous的攻擊開始了。但好奇的是，為啥防御失靈了呢？

XX銀行全網用的是L*的抗D設備，當攻擊開始后，L*的設備扛不住了。由于平時對XX銀行的業務不了解，所以策略配置是眉毛胡子一把抓，無論是網站、網銀還是手機APP等，都統一在幾條策略之下。這樣的防護效果可想而知，針對整體流量做防護，很有可能某些小流量業務已經被DDoS攻癱了，但由于還沒有觸碰到整體流量的防御閥值，從而沒有進行任何防護動作。L*的維

護人員也進行了現場支援，但依然無計可施，涼涼……

我們的抗D故事，也就從此開始了……

【12月14日16:00，華為安全應急響應中心】緊急求助電話

電話響起， XX 銀行希望華為 AntiDDoS 團隊能緊急支援 ， 上線華為的AntiDDoS8030設備，去應對目前所正在遭受的攻擊。

華為AntiDDoS團隊緊急召開了會議， 聯想到前幾天Anonymous剛剛發推，宣布要發起OpIcarus新一輪行動，大家緊張的心情反而有些舒緩開了。因為這是我們所熟悉的對手，3年前，華為AntiDDoS團隊就曾和OpIcarus早期行動有過直接交手……

那是在2015年， 為了譴責土耳其政府支持ISIS組織， Anonymous在推特上下完戰術之后，便發起了OpIcarus行動。從2015年12月14日 （同樣發生在12月14日前后， 難道這個日子對他們有什么特殊的意義？） 開始，大規模的DDoS攻擊奔著土耳其銀行和政府網站就去了！

在之后的幾天里，土耳其三家知名銀行：Ziraat，Isbank 和 Garanti，所遭受的攻擊流量峰值帶寬一度達到了 40Gbps！而幾個政府部門的官網，也直接被攻擊得下線了。

當時一名土耳其電信的官員，在接受路透社采訪時稱：

這次網絡攻擊事件很嚴重，但目標并不是針對土耳其電信。反而，土耳其的銀行和政府網絡受到了嚴重的攻擊?，F在大多數的土耳其機構使用土耳其電信作為網絡服務商，所以目前我們在積極應對這次網絡攻擊并做好防御工作。

這個“積極應對”的背后，其實是華為 AntiDDoS 產品在與攻擊鏖戰！

當時，土耳其電信在國際關口局，部署的抗 D 設備，正是華為 AntiDDoS產品。其境內大多數的銀行和政府網站，都是在華為 AntiDDoS 的保護之中。

但不巧的是，當年 Anonymous 發起的攻擊，以 TCP Flood 和 UDP Flood 等網絡擁塞型攻擊為主，雖然識別難度不大， 但是性能超過了40Gbps。而土耳其電信現網的華為 AntiDDoS 產品，只采購了 10Gbps 處理能力。為此，華為現場緊急擴容業務處理板卡，研發工程師 7*24 小時遠程值守！各類 DDoS 攻擊被成功阻斷，網站訪問恢復正常。

一張圖回顧下這場攻擊，報表顯示的是從 12 月 14 日攻擊開始到 31 日攻擊結束的攻擊流量峰值帶寬圖。攻擊在 12 月 17 日達到了最高的?40Gbps！

三年過去了，又一封戰書下達……我們自然責無旁貸地肩負起保護自家銀行的重擔，看看OpIcarus又有什么新的招數使出來。

緊急會議完畢之后，華為派出了資深專家小T，立即出差到客戶現場。

【12月14日23:00，XX銀行安全中心】進入戰斗

經過2個多小時的飛行，小T被早已安排好的接機人員，直接送到了XX銀行安全中心作戰室現場。 推開門的一瞬間，壓力撲面而來， XX銀行的一名副行長以及幾個處長都已經在現場值守，整個作戰實驗室氛圍凝重。鏡頭轉向某個角落，L*的維護也在，但是明顯已經放棄治療了。

小T立即進入狀態，與客戶就應對策略展開討論?？蛻艚榻B說，由于了解到本次攻擊疑似是跟Anonymous的OpIcarus行動相關，所以猜測DDoS攻擊是來自境外居多。 現在是在運營商層面， 通過所購買的云清洗服務在進行 “海外IP流量過濾” 的操作。從效果上來看，確實起到了一定的防護作用。入口的網絡帶寬不再被擁塞，但海外的真實客戶卻也一并被運營商給屏蔽了。沒辦法，先應急。

“海外IP流量過濾”？這個功能在我們的AntiDDoS設備上就有，不用在運營商側配置，畢竟雙方溝通起來需要靠電話交流，不如在作戰室本地可以隨時調試來的方便和直接?？梢钥紤]在華為AntiDDoS設備上開啟這個策略。

小T的建議立刻得到了客戶的認可并啟動實施，這樣一來，觀察DDoS攻擊流量變化更方便了，但風險也有，畢竟所有的攻擊都改由華為設備來防護了。

配置好 “海外IP流量過濾” 之后， DDoS攻擊流量明顯下降， 但多年的抗D運維經歷告訴小T：抗D的難點不在于能否防住DDoS攻擊， 而在于防住的同時， 不影響正常的業務訪問。去偽存真是最高水平。

像XX銀行這種全球性的銀行，必然會使用CDN業務來提升海外客戶的使用體驗，所以需要在過濾海外IP流量的同時，將CDN業務的已知IP放入白名單， 留下入口，盡可能地保護海外正?？蛻舻脑L問需求。

第一招小結，“海外IP流量過濾”+“CDN IP白名單”

這實際上是權宜之計，無疑將誤傷海外客戶（有可能是國外客戶，有可能是國內客戶出差到海外）的正常訪問。先看看對方的攻擊會持續多長吧，如果持續時間比較長，我們還得繼續想辦法，更換細粒度的防護策略。

時間一分一秒地過去，DDoS攻擊沒有停下來的跡象。

小T和客戶商量后決定，更換防護策略。但換成什么呢？

結合2015年在土耳其電信對抗Anonymous的經驗，小T決定先針對網絡層TCP Flood和UDP Flood進行防護，畢竟這是對方常用的攻擊手段。

想到這里，小T祭出了華為AntiDDoS上多年來針對金融行業客戶的網絡層DDoS防護策略模板，里面包括了：

• 檢查SYN報文的正確序列號
• 檢查ACK、FIN和RST報文
• UDP反射放大過濾以及限速

這是在解除了“海外IP流量過濾”之后，通過對L4傳輸層報文的細粒度檢查，同樣消除了大量的DDoS攻擊流量。 后臺監控顯示， XX銀行的網絡入口擁塞問題沒有發生，說明這個策略起到了作用。這樣做，既能清洗旨在制造網絡擁塞的DDoS攻擊，同時又保護了海外客戶的正常訪問，相比第一招，更加合理有效。

防御初見成效，小T和客戶都長出了一口氣！

第二招小結，TCP Flood防御 + UDP反射放大攻擊防御

【12月15日14:00，XX銀行安全中心】一波還未驚醒，一波又來侵襲

經過一晚上加一個上午的觀察，此前擁塞網絡的DDoS攻擊流量沒有上升，證明了昨晚的部署策略有效。 不過， 這只是撲滅大范圍的明火， 更多細小的暗火還待滅掉。這些小火苗藏在不起眼的位置，貼近易燃易爆物品，更加危險。

網絡雖然不再擁堵，但網銀業務依然不穩定。這明顯是有針對網銀業務的CC攻擊在作祟，他們流量不大，但可以導致網銀業務的服務器資源耗盡。

客戶跟小T說， 造成擁塞的DDoS已經搞定了，你就好好觀察待命吧，剩下的CC攻擊，我們有F*的負載均衡，上面可以開啟WAF防御能力，來搞定針對網銀服務器的CC攻擊。你們一粗一細，配合起來使用。

但過了1小時之后，客戶又回到小T面前，眉頭緊鎖。原來， F*的負載均衡產品在開啟了WAF防御能力之后，誤殺了正常業務、安全日志寫滿、 CPU占用率提升……還是試試你們AntiDDoS的CC攻擊防御能力吧。

【12月15日14:30，XX銀行安全中心】粗活細活一肩扛

小T擁有10年的抗D經驗，對于CC攻擊自然不陌生，這是一種旨在耗盡資源的DDoS攻擊類型，說白了就是要讓你“燒腦”，沒有腦力去做正常事情。

CC攻擊也分兩大類，網絡層CC攻擊和應用層CC攻擊。對于網絡層CC攻擊來說，黑客會不斷發送TCP握手報文，希望能建立連接。建立成功后，長期占有會話資源，或者直接Reset掉，再重新發起握手。總之就是要不斷地跟你打招呼，讓你沒法跟別人正常地說句話。 對于應用層CC攻擊來說，他們會在建立好TCP連接的基礎上，進一步在HTTP層面發起請求，同樣的原理，不斷向你提問相同的問題，讓你沒有辦法回答其他人的正常詢問。

針對網絡層CC攻擊， 小T使用了TCP Connection技術，它會監控每一個TCP會話的健康度，譬如是否是空連接，是否在頻繁建立、拆解，是否是來自沒有真實源的建立請求……一旦認定某個IP的TCP建立請求有異常，屬于網絡層CC攻擊的行為，就會直接將這個IP地址放入到黑名單中，下次不予理會。

從管理平臺上監控到， 被自動加入黑名單的IP地址數量，不斷增加，最高達到了4000+。小T心里也捏了一把汗，生怕有正常訪問被誤傷了。所以立即隨機抽取了一些被加入黑名單的IP進行檢查，發現基本都是來自海外國家，如印尼、秘魯、泰國、蒙古、埃及、印度……沒問題，證明被禁止的IP是非正常業務，都是來自業務不相關國家的攻擊源。

針對應用層CC攻擊， 這是比較難對付的攻擊方式。 正在小T一籌莫展的時候，突然想起上個月，自己在運維華為云的高防服務時，也遇到了HTTP GET Flood這種應用層CC攻擊。 當時， 華為云高防團隊使用了HTTP 302重定向的防御策略，效果不錯。302重定向是對HTTP請求方進行 “源認證”的方式， AntiDDoS會代替網銀業務服務器向客戶端反饋302狀態碼，告知客戶端需要重定向到新訪問地址，以此來驗證客戶端的真實性：真實存在的客戶端可自動完成重定向過程， 則通過認證；而虛假源或一般的DDoS攻擊工具沒有實現完整的HTTP協議棧，不支持自動重定向，無法通過認證。這對AntiDDoS設備的性能是極大的考驗。

小T跟客戶的溝通后， 大家決定該防御策略先在XX站點做試點。 經過一段時間的穩定測試：未實施該策略的站點服務器5分鐘出現一次故障，實施該策略的站點業務保持正常。小T這才松了口氣。

第三招小結，TCP Connection + HTTP 302重定向

【12月21日】復盤

這次面向XX銀行的DDoS攻擊，通過后續的抓包分析來看：

• 90%以上的絕大部分流量來自海外；
• 攻擊源以物聯終端為主，包括攝像頭、 DVR及打印機， 甚至還有近期大面積淪為礦機的M*家用路由器（看來是比特幣大跌，礦機生意不好做，都改回DDoS老本行了）；
• 攻擊類型包括TCP Flood，UDP放大攻擊，網絡和應用層的CC攻擊；
• 持續了一周左右的時間；

值得注意的是， 物聯終端具有較為完整的網絡協議棧，但自身的安全性又較為脆弱，一旦被劫持之后變成 “肉雞” ，便會被黑客操控成為DDoS攻擊的載體。

正是由于物聯網“肉雞”數量大幅度增加，全球DDoS攻擊的數量、攻擊規模都大幅提高，影響也不斷擴大。

【12月24日】感受

經過一周的現場支撐，小T已經回到了北京，經驗值又提升了兩格。說到這次抗D經歷，小T的感受是：

• 抗D運維時，安全策略需要針對客戶的不同業務來區分；
• 抗D容易，但一邊抗D一邊保護正常業務訪問，非常難；
• 攻擊方在不斷演進，從攻擊類型到所能使用的資源；
• 抗D難度在增加，需要不斷總結每次交手時獲取的經驗（好在自己天天在華為云高防業務上打怪升級） 。 這些經驗也都通過“策略模板”和新版本特性等方式，固化到了華為AntiDDoS產品上，讓更多的客戶得到更高質量的防護。