全球銀行網站成黑客主攻目標 阿里雲提供安全防護應急方案

近日，阿里雲監控發現，匿名者（Anonymous）組織成員正在發起針對全球中央銀行網站的攻擊行動，截止目前，國內有超過2家以上的重要網站被攻擊，攻擊特徵主要爲DDoS攻擊和CC攻擊。

這次事件中，阿里雲經過威脅情報發現，該攻擊的主要特徵是DDoS和CC攻擊，目前，攻擊已經形成多家網站不間斷的沒法訪問，阿里雲安全專家分析本次攻擊有5大特徵：

1. 攻擊時間範圍在2018年11月12日凌晨6點13分到2018年12月14日，根據目前的活動狀況來看，已經攻擊了1月之久；
2. 分析其中一次攻擊，攻擊請求15423249，提取到攻擊源IP 1439個，攻擊IP分散，攻擊源主要分佈在境內，攻擊源分佈以下圖：
   
3. 大量資源型文件（zip、apk、js、png）請求耗盡用戶帶寬資源，使用隨機參數繞過防禦設備頻率檢測、cdn設備緩存，附圖：
   
4. 攻擊者會僞造user-agent、referer字段假裝攻擊流量；
5. 持續性攻擊，部分受害用戶持續半個月遭受攻擊，攻擊者會根據防禦策略變換攻擊手法，具備較強對抗性。

應急方案： DDoS高防IP+WAF 安全防護應急體系構建

阿里雲應對這次高危應急事件，採用的是基於DDoS高防IP和Web應用防火牆構建的防護體系，方案採用域名解析的方式接入，能夠適用於雲上系統方案，同時也適用於雲下環境（非阿里雲）的防禦。        

DDoS高防IP是針對互聯網服務器在遭受大流量的DDoS攻擊後致使服務不可用的狀況下，進行有效抵禦DDoS攻擊的SaaS安全服務，確保源站的穩定可靠。

Web應用防火牆是基於雲安全大數據能力實現，經過防護SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木立刻傳、非受權核心資源訪問等OWASP常見攻擊，過濾海量惡意訪問，避免網站資產數據泄露，保障網站的安全與可用性。複製代碼

雲盾DDoS攻擊防護特色和優點：

• 全面覆蓋常見DDoS攻擊類型

雲盾DDoS清洗系統可幫助用戶抵禦各種基於網絡層、傳輸層及應用層的各類 DDoS 攻擊(包括 CC、SYN Flood、UDP Flood、UDPDNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood 等全部 DDoS 攻擊方式)，並能實時短信通知用戶網站防護狀態。

• 快速自動響應，5秒內進入防禦狀態

雲盾DDoS清洗系統採用全球領先的檢測和防禦技術，能夠在5秒鐘內完成攻擊發現、流量牽引和流量清洗所有動做，大大減小了網絡抖動現象。在防禦觸發條件上不單單依賴流量閾值，同時還對網絡行爲的統計判斷，作到精準識別DDoS攻擊，保障了在遇到DDoS攻擊時客戶業務的可用性。

• 高彈性、高冗餘的DDoS防護能力

雲盾DDoS清洗系統每一個最小單元支持10Gbps的攻擊流量過濾。得益於雲計算架構的高彈性和大冗餘特色，DDoS攻擊防護系統可在雲環境中無縫擴容，實現DDoS攻擊防護能力的高彈性。

• 雙向防禦，避免雲資源被濫用

雲盾DDoS攻擊防護系統不單單能防禦來自於雲外的DDoS攻擊，同時還能及時發現雲內資源被濫用的非法行爲。一旦發現雲內有服務器被利用向外發起DDoS攻擊，雲網絡流量監控系統會與主機安全防禦系統聯動，限制被濫用的雲服務器的網絡訪問行爲，併產生告警，實現對內部主機的有效管控。

雲盾Web應用防火牆特色和優點：

• 支持協議

支持對網站的HTTP、HTTPS、HTTP二、WebSocket流量進行Web安全防禦。

• 常見Web應用攻擊防禦

防護OWASP 常見威脅：SQL注入、XSS跨站、Webshell上傳、後門隔離保護、命令注入、非法HTTP協議請求、常見Web服務器漏洞攻擊、核心文件非受權訪問、路徑穿越、掃描防禦等。

網站隱身：不對攻擊者暴露站點地址、避免繞過Web應用防火牆直接攻擊。0day補丁按期及時更新：防禦規則與淘寶同步，及時更新最新漏洞補丁、第一時間全球同步下發最新補丁，對網站進行安全防禦。

友好觀察模式：針對網站新上線的業務開啓觀察模式、對於匹配中防禦規則的疑似攻擊只告警不阻斷、方便統計業務誤報情況。

• CC惡意攻擊防禦

對單一源IP的訪問頻率進行控制、重定向跳轉驗證、人機識別等。針對海量慢速請求攻擊、根據統計響應碼及URL請求分佈、異常Referer及User-Agent特徵識別，結合網站精準防禦規則進行綜合防禦。充分利用阿里雲大數據安全優點、創建威脅情報與可信訪問分析模型、快速識別惡意流量。

• 精準訪問控制

提供友好的配置控制檯界面，支持IP、URL、Referer、User-Agent等HTTP常見字段的條件組合，打造強大的精準訪問控制策略，可支持盜鏈防禦、網站後臺保護等防禦場景。與Web常見攻擊防禦、CC防禦等安全模塊打造多層綜合保護機制、輕鬆依據需求，識別可信與惡意流量。

• 虛擬補丁

在Web應用漏洞補丁發佈和修復以前，經過調整Web防禦策略實現快速防禦。

• 攻擊事件管理

支持對攻擊事件、攻擊流量、攻擊規模的集中管理統計。

阿里雲安全專家建議：

這次攻擊的複雜度和對抗性都比較強，客戶應對的時候須要選擇安全服務廠商和服務人員：

1. 綜上，阿里雲安全防禦產品能夠經過CC攻擊防護功能識別和攔截這類攻擊，雲端優點能夠減小惡意流量回源。
2. 阿里雲提供海量的威脅情報庫能夠實現協同防護。
3. 阿里雲安全工程師目前提供7*24小時應急服務分析攻擊變種，更新防禦策略。