據(jù)悉,OpIcarus攻擊首次發(fā)起于2016年,主要針對全球金融機(jī)構(gòu)(銀行)進(jìn)行持續(xù)的(DDoS)拒絕服務(wù)攻擊,攻擊手段包括TCP Flood/UDP Flood,HTTP/HTTPS Flood,及針對HTTP協(xié)議的大量POST請求以及針應(yīng)用系統(tǒng)的SQL注入漏洞等。
自12月13日夜間開始,國內(nèi)多家銀行的HTTP、HTTPS在線業(yè)務(wù)受到了來自以海外地址為主的攻擊。從本次OpIcarus攻擊中抓取的數(shù)據(jù)分析來看:攻擊屬于混合型攻擊,主要由NTP反射放大攻擊、針對80端口和443端口的CC攻擊等組成。
對于此次針對80端口及443端口的CC攻擊,運(yùn)營商在國際口進(jìn)行了封堵,有效地保護(hù)了被攻擊金融客戶的鏈路,之后約幾十M的CC攻擊進(jìn)一步在城域網(wǎng)被運(yùn)營商過濾,至此仍有十幾M的CC則透到金融客戶的數(shù)據(jù)中心,導(dǎo)致其對外的WEB服務(wù)器CPU使用率大幅提升,響應(yīng)速度降低,明顯影響了國內(nèi)用戶的正常訪問。從攻擊信息來看,本次CC攻擊中包含SYN、ACK、RST、Fin、TCP連接、HTTP Get、HTTPS應(yīng)用攻擊(有密鑰交換報文),而攻擊源分散甚廣:美國、加拿大、巴西、印度尼西亞、烏拉圭、厄瓜多爾、希臘、俄羅斯、南非、捷克、泰國、香港等。
對于已經(jīng)部署了DDoS防御設(shè)備的金融客戶,建議采用如下的防御策略:
- 鑒于攻擊以海外為主,優(yōu)先選擇開啟地理位置過濾策略對海外的攻擊流量進(jìn)行屏蔽;
- 鑒于金融業(yè)務(wù)通常都會采用CDN加速,建議對CDN IP使用白名單功能,防止防御策略配置過嚴(yán)影響正常業(yè)務(wù);
- 鑒于金融業(yè)務(wù)沒有UDP流量,建議配置UDP限速功能對帶寬實(shí)現(xiàn)高效防護(hù);
- 鑒于此次CC攻擊種類繁多,建議開啟以下會話層防御策略:SYN flood正確序列號源認(rèn)證、ACK及FIN、TCP新建及并發(fā)會話限速類;同時開啟以下應(yīng)用層攻擊防御策略:HTTP開啟302重定向、HTTPS會話完整性檢查(大多數(shù)攻擊并未建立完整的SSL會話)。
另外,本次攻擊數(shù)據(jù)顯示,攻擊流量中NTP類攻擊不到40Gbps。根據(jù)以往Anonymous攻擊事件統(tǒng)計分析,該黑客組織慣用不大的攻擊流量對金融制造業(yè)造成恐慌,從而達(dá)到其宣泄政治主張的目的。在其2015年對土耳其發(fā)起的大規(guī)模網(wǎng)絡(luò)中,攻擊的最大流量峰值也僅有40多Gbps。但是,由于國內(nèi)金融企業(yè)數(shù)據(jù)中心帶寬一般都在20Gbps及以下,40Gbps的攻擊力也足以對金融企業(yè)造成強(qiáng)悍的沖擊。
因此,面對這次針對金融企業(yè)的DDoS攻擊,華為建議依靠分層防御方案實(shí)現(xiàn)“分層清洗,精準(zhǔn)防護(hù)”。
首先,依靠云清洗在上游對大流量攻擊進(jìn)行有效過濾,從而保障金融企業(yè)帶寬可用性;
然后,依靠金融企業(yè)數(shù)據(jù)中心邊界部署的DDoS防御系統(tǒng)重點(diǎn)提供小流量的CC防御,保障了整個金融在線業(yè)務(wù)系統(tǒng)可用性。
華為AntiDDoS產(chǎn)品2015年在土耳其電信網(wǎng)絡(luò)成功對抗了Anonymous。針對此次針對國內(nèi)金融機(jī)構(gòu)的DDoS攻擊,從12月13日起,華為AntiDDoS產(chǎn)品團(tuán)隊(duì)成功協(xié)助國內(nèi)多個金融客戶抵御了到目前為止的OpIcarus攻擊。華為AntiDDoS產(chǎn)品團(tuán)隊(duì)從抵御本次攻擊的實(shí)戰(zhàn)經(jīng)驗(yàn)出發(fā),給出了行之有效的防范策略推薦,建議金融企業(yè)參考并實(shí)時關(guān)注攻擊預(yù)警和攻擊流量波動。
