實戰分享：如何成功防禦1.2T國內已知最大流量DDoS攻擊

做者：騰訊雲宙斯盾安全團隊&騰訊安全平臺部

引言：

DDoS攻擊勢頭愈演愈烈，除了攻擊手法的多樣化發展以外，最直接的仍是攻擊流量的成倍增加。3月份國內的最大規模DDoS攻擊紀錄還停留在數百G規模，4月，這個數據已經突破T級，將來不可期，咱們惟有保持警戒之心，技術上穩打穩紮，以應對DDoS攻擊捲起的血雨腥風。4月8日，騰訊雲宙斯盾成功防護了1.2Tbps的超大流量攻擊，也是目前國內已知的最大攻擊流量，這篇文章就這次攻防事件簡單地爲你們作一個梳理和分析。

國內已知最大攻擊流量來襲

4月8日，清明節後第一個工做日，騰訊雲一個重要的遊戲客戶忽然遭受大流量DDoS攻擊，遊戲遭受攻擊習覺得常，可是本輪攻擊流量峯值竟達到了1.23Tbps，刷新國內DDoS攻擊最大流量記錄。

不過憑藉騰訊雲宙斯盾超大防禦帶寬以及騰訊安全平臺部十餘年DDoS防禦技術積累的支撐下，騰訊雲攜手該遊戲客戶成功防禦了此次超大流量攻擊，護航客戶業務穩定運行。

那麼這麼大的攻擊怎麼來的呢？又是怎麼被成功防禦的呢？

攻擊分析

本次攻擊手法主要爲擁塞帶寬型攻擊手法（SSDP反射，攻擊原理下文介紹），在整體流量中佔比97%，攻擊流量達1.2Tbps，和協議缺陷型（SYNFLOOD和ACKFLOOD），在整體流量中佔比3%。

SSDP反射

只要對DDoS有必定認知的同窗，確定不會對SSDP反射攻擊陌生，做爲現網最多見的DDoS攻擊手法之一，SSDP反射因爲可用的反射終端數量龐大，放大係數可觀，而備受攻擊者青睞。

在攻擊思路上跟其餘反射攻擊同樣，攻擊者發起SSDP反射的大體過程爲：

• 經過IP地址欺騙方式，攻擊者僞造目標服務器IP，向開放SSDP服務的終端發起請求；
• 因爲協議設計缺陷，SSDP服務沒法判斷請求是否僞造，並向目標服務器進行響應。就這樣數量極其龐大的SSDP響應報文同時發往被攻擊服務器；
• 更可怕的是在特定請求下，一個SSDP請求報文能夠觸發多個響應報文，而每一個響應報文比請求報文體積更大，最終形成攻擊流量約爲30倍的放大。

來源IP分析

本次攻擊共採集到攻擊源16.6萬個。其中國內佔比68%，海外佔比32%，TOP 3國家分別是：中國(68%)、俄羅斯(13%)、美國(8%)。

在國內方面，攻擊主要來源省份：山東省(40%)、遼寧省(20%)、河北省(16%)等環渤海區域，其次是浙江省(10%)、臺灣省(9%)。

國內攻擊源的主要運營商來源爲中國電信(佔比66%)和中國聯通(佔比24%)。

在攻擊源屬性方面，主要來自於我的PC，佔比57%，IDC服務器佔比28%，值得注意的是，物聯網設備在這次攻擊源中佔比達到15%。攻擊者在攻擊武器方面，物聯網設備做爲攻擊源的數量呈明顯增加趨勢。眼下物聯網設備安全問題不容忽視。

因而可知，公網上開放SSDP服務的終端數量很是龐大，並且分佈普遍，爲攻擊者實施攻擊帶來便利。

防禦方案

爲了有效防禦DDoS攻擊，建議遊戲廠商和開發者作好如下幾個事項。

(1)預估攻擊風險，必要時接入高防

不一樣類型的業務遭受外部DDoS攻擊的風險徹底不同。因此運營者應根據自身行業的攻擊威脅態勢，以及本身業務歷史遭受的DDoS攻擊狀況，來判斷是否會被黑產"盯上"及是否須要接入高防。

而不可不提的是，遊戲行業的高利潤、行業惡性競爭等因素決定了該行業成爲DDoS的高發區。根據騰訊雲數據統計代表，超過66%的DDoS和CC攻擊均針對遊戲業務。因此對於遊戲業務運營者來講，更需預估攻擊威脅，必要時接入高防，方能保障業務穩定運行。

(2)接入高防後，切勿暴露源站

接入高防後，騰訊雲會分配專門的高防代理IP，而爲了不黑客直接攻擊源站，此時必需要注意：隱藏源站IP！

• 接入高防前的源站IP不能再使用(已經暴露)；
• 梳理遊戲邏輯，確認遊戲邏輯不會暴露源站IP；
• 對服務器作安全掃描，避免被植入後門。

(3)基於業務特性，定製防禦策略

接入高防後能夠經過高防IP的超大帶寬抵抗大流量DDoS攻擊，可是黑客每每會在大流量攻擊同時混雜着消耗服務器資源的小流量攻擊，如本輪攻擊除了SSDP反射和SYNFLOOD還夾雜着CC攻擊。故爲了達到更優的防禦效果，能夠諮詢騰訊雲遊戲安全團隊：基於業務特性，深度定製防禦策略。策略定製常見的維度包括：

• 梳理業務協議和端口狀況，封禁非必要協議和端口，減小被攻擊面
• 對HTTP業務，可在控制檯上根據實際狀況配置CC防禦，提早防備CC攻擊。
• 若是是私有協議，可讓騰訊雲宙斯盾安全團隊介入。團隊可對業務流量進行統計分析，並深度定製防禦策略，以有效解決各類疑難雜症。例如該客戶歷史還遭受過四層CC攻擊，騰訊雲宙斯盾安全團隊深度定製策略，有效防禦，業務穩定運行！

備註：四層CC攻擊是指黑客控制肉雞對目的服務器創建TCP鏈接後模擬業務流量發起攻擊，耗盡服務器資源的攻擊手法。

總結

只要有利益的地方就競爭，只要有互聯網的地方就會有DDoS攻擊。咱們建議遊戲廠商和開發者提早評估業務風險、選擇可信賴的雲服務商，必要狀況下購買高防服務，與專家團隊深度定製防禦方案，有力保障好遊戲安全生命線。

問答

如何防範DDos攻擊？

相關閱讀

【觀點】「雲」時代：網絡安全的中國式突圍

讓子彈多飛一會 | 論如何優化DDoS

深刻淺出DDoS攻擊防護

此文已由做者受權騰訊雲+社區發佈，原文連接：https://cloud.tencent.com/developer/article/1100719?fromSource=waitui