曾建广厦千万间,布网络基础设施,筑在线业务系统,却屡遭攻击,不得老板员工俱欢颜?今天,来一起探究DDoS攻与防的缘起缘灭,看我们如何做到防百种攻击,保业务永续。
故事要从2013年12月30日,电竞界发生的一起“追杀”事件讲起。
木秀于林,风必摧之,竞技直播正盛的PhantomL0rd忽然被黑客组织DERP Trolling盯上,凡是PhantmL0rd参加的网络游戏,都不同程度地遭到了DERP Trolling的DDoS攻击。英雄联盟、EA官网、暴雪战网、DOTA2官网、企鹅俱乐部等游戏网站都因遭到DDoS攻击而瘫痪。
直播个游戏而已,怎么就被盯上了?杀两次还不够,还抗起了DDoS攻击这柄大刀,把知名的游戏门户砍了个遍。随着事件不断被曝光,一个令人意外的真相浮出水面,PhantomL0rd为了保住自己“王”的地位,偷偷地和DERP Trolling串通一气!一旦比赛过程中PhantomL0rd打不过对手,DERP Trolling就登场,向游戏服务器发动DDoS攻击使比赛异常终止,PhantomL0rd本人才是攻击的主导者!
事件的曝光让PhantomL0rd颜面尽失,却令DERP Trolling使用的DDoS攻击手段——NTP反射放大攻击“火”了一把。据悉,DERP Trolling是第一个利用NTP服务器进行大规模反射放大攻击的黑客组织。这次“追杀”事件之后,仅2014年第一周内,NTP反射放大攻击占到了DDoS攻击流量的69%。
什么是NTP反射放大攻击?
了解NTP反射放大攻击前,先来看看什么是NTP。
Network Time Protocol,网络时间协议,是一种用于保证网络中的计算机时间同步的协议。NTP协议采用服务器-客户端模型,提供了高精准度的时间校正机制,通过逐层传播的结构,实现时间同步。
NTP服务器会记录与其进行过时间同步的客户端IP地址,客户端可以通过Monlist请求索要这些记录。每个NTP服务器可以记录最后600个NTP客户端的IP地址。
当收到Monlist请求时,NTP服务器会返回这600个客户端IP地址,响应包按照每6个IP地址进行分割,最多可以返回100个响应包。“我只问了一句,你咋说了那么多?“记住这个知识点,大有文章。
下面说说NTP反射放大攻击的两个关键点——反射和放大。
反射
反射,就是把源IP地址伪造成被攻击IP地址,进行“传瞎话”的无耻行为。缺少源IP认证机制的协议最容易被利用,所以反射攻击均为基于UDP的无状态连接协议。NTP正是基于UDP协议进行传输,又赶上黑客把请求包的源IP地址篡改为攻击目标的IP地址,那么服务器返回的响应包就会被送到攻击目标,“反射”攻击发生了。
▲ 反射:冒充别人传瞎话
放大
放大,顾名思义,就是我假冒你的名义打他一拳,他要还给你100拳。黑客通常是利用互联网的ICT基础设施作为免费的“放大器”来进行放大攻击。
▲ 放大:四两拨千斤
攻击来了怎么破?
防御UDP反射攻击的有效方式就是围绕这两点进行防御:
?无状态防御
?大流量防御
华为Anti-DDoS系统具有一套完整、灵活的过滤机制和强大的设备处理能力,可以完美解决UDP反射放大攻击。应对UDP反射放大攻击最有效、最直接的防御手段就是特征过滤。
根据攻击报文的特征,自定义过滤条件,将已知的攻击特征,直接配置到过滤器的参数中。配置了静态指纹过滤后,AntiDDoS会对收到的报文进行特征匹配,对匹配到攻击特征的报文,再进行丢弃、限流等下一步操作。
高性能防护
单单只有技术,没有资源也是不行的。对于这种大流量的反射放大攻击,对防御系统的性能要求也非常高。AntiDDoS8000是业界唯一一款分布式AntiDDoS设备,具有大容量、高可靠、可扩展性强的特点。
?单槽位防御性能最大支持160Gbps/60Mpps,整机扩容能力强,其中AntiDDoS8160可以最大支持1.44T容量。
?所有关键组件均1:1备份,转发与控制分离。
?系统扩容只需要直接插入接口板或者业务板,接口板会自动分流到各业务板;业务板所有CPU互为备份,负载均衡。
在互联网初创时期,互联是第一要务,协议设计对安全性考虑不周,留下了非常多的安全隐患。反射放大攻击就是充分利用了网络协议的这一落后状态,以及互联网基础设施本身的超大体量,制造了一次又一次DDoS攻击事件。
近几年,基于UDP协议的各种反射放大攻击纷纷成为黑客新宠,所占比例也呈现逐年上升的势头,了解UDP反射放大攻击原理并具备相应的防御能力,也变得愈发重要了。