據悉,OpIcarus攻擊首次發(fā)起于2016年,主要針對全球金融機構(銀行)進(jìn)行持續的(DDoS)拒絕服務(wù)攻擊,攻擊手段包括TCP Flood/UDP Flood,HTTP/HTTPS Flood,及針對HTTP協(xié)議的大量POST請求以及針應用系統的SQL注入漏洞等。
自12月13日夜間開(kāi)始,國內多家銀行的HTTP、HTTPS在線(xiàn)業(yè)務(wù)受到了來(lái)自以海外地址為主的攻擊。從本次OpIcarus攻擊中抓取的數據分析來(lái)看:攻擊屬于混合型攻擊,主要由NTP反射放大攻擊、針對80端口和443端口的CC攻擊等組成。
對于此次針對80端口及443端口的CC攻擊,運營(yíng)商在國際口進(jìn)行了封堵,有效地保護了被攻擊金融客戶(hù)的鏈路,之后約幾十M的CC攻擊進(jìn)一步在城域網(wǎng)被運營(yíng)商過(guò)濾,至此仍有十幾M的CC則透到金融客戶(hù)的數據中心,導致其對外的WEB服務(wù)器CPU使用率大幅提升,響應速度降低,明顯影響了國內用戶(hù)的正常訪(fǎng)問(wèn)。從攻擊信息來(lái)看,本次CC攻擊中包含SYN、ACK、RST、Fin、TCP連接、HTTP Get、HTTPS應用攻擊(有密鑰交換報文),而攻擊源分散甚廣:美國、加拿大、巴西、印度尼西亞、烏拉圭、厄瓜多爾、希臘、俄羅斯、南非、捷克、泰國、香港等。
對于已經(jīng)部署了DDoS防御設備的金融客戶(hù),建議采用如下的防御策略:
- 鑒于攻擊以海外為主,優(yōu)先選擇開(kāi)啟地理位置過(guò)濾策略對海外的攻擊流量進(jìn)行屏蔽;
- 鑒于金融業(yè)務(wù)通常都會(huì )采用CDN加速,建議對CDN IP使用白名單功能,防止防御策略配置過(guò)嚴影響正常業(yè)務(wù);
- 鑒于金融業(yè)務(wù)沒(méi)有UDP流量,建議配置UDP限速功能對帶寬實(shí)現高效防護;
- 鑒于此次CC攻擊種類(lèi)繁多,建議開(kāi)啟以下會(huì )話(huà)層防御策略:SYN flood正確序列號源認證、ACK及FIN、TCP新建及并發(fā)會(huì )話(huà)限速類(lèi);同時(shí)開(kāi)啟以下應用層攻擊防御策略:HTTP開(kāi)啟302重定向、HTTPS會(huì )話(huà)完整性檢查(大多數攻擊并未建立完整的SSL會(huì )話(huà))。
另外,本次攻擊數據顯示,攻擊流量中NTP類(lèi)攻擊不到40Gbps。根據以往Anonymous攻擊事件統計分析,該黑客組織慣用不大的攻擊流量對金融制造業(yè)造成恐慌,從而達到其宣泄政治主張的目的。在其2015年對土耳其發(fā)起的大規模網(wǎng)絡(luò )中,攻擊的最大流量峰值也僅有40多Gbps。但是,由于國內金融企業(yè)數據中心帶寬一般都在20Gbps及以下,40Gbps的攻擊力也足以對金融企業(yè)造成強悍的沖擊。
因此,面對這次針對金融企業(yè)的DDoS攻擊,華為建議依靠分層防御方案實(shí)現“分層清洗,精準防護”。
首先,依靠云清洗在上游對大流量攻擊進(jìn)行有效過(guò)濾,從而保障金融企業(yè)帶寬可用性;
然后,依靠金融企業(yè)數據中心邊界部署的DDoS防御系統重點(diǎn)提供小流量的CC防御,保障了整個(gè)金融在線(xiàn)業(yè)務(wù)系統可用性。
華為AntiDDoS產(chǎn)品2015年在土耳其電信網(wǎng)絡(luò )成功對抗了Anonymous。針對此次針對國內金融機構的DDoS攻擊,從12月13日起,華為AntiDDoS產(chǎn)品團隊成功協(xié)助國內多個(gè)金融客戶(hù)抵御了到目前為止的OpIcarus攻擊。華為AntiDDoS產(chǎn)品團隊從抵御本次攻擊的實(shí)戰經(jīng)驗出發(fā),給出了行之有效的防范策略推薦,建議金融企業(yè)參考并實(shí)時(shí)關(guān)注攻擊預警和攻擊流量波動(dòng)。
