实战分享：如何成功防护1.2T国内已知最大流量DDoS攻击

作者：腾讯云宙斯盾安全团队&腾讯安全平台部

引言：

DDoS攻击势头愈演愈烈，除了攻击手法的多样化发展之外，最直接的还是攻击流量的成倍增长。3月份国内的最大规模DDoS攻击纪录还停留在数百G规模，4月，这个数据已经突破T级，未来不可期，我们唯有保持警惕之心，技术上稳打稳扎，以应对DDoS攻击卷起的血雨腥风。4月8日，腾讯云宙斯盾成功防御了1.2Tbps的超大流量攻击，也是目前国内已知的最大攻击流量，这篇文章就此次攻防事件简单地为大家做一个梳理和分析。

国内已知最大攻击流量来袭

4月8日，清明节后第一个工作日，腾讯云一个重要的棋牌游戏客户突然遭受大流量DDoS攻击，棋牌类游戏遭受攻击习以为常，但是本轮攻击流量峰值竟达到了1.23Tbps，刷新国内DDoS攻击最大流量记录。

不过凭借腾讯云宙斯盾超大防护带宽以及腾讯安全平台部十余年DDoS防护技术积累的支撑下，腾讯云携手该棋牌游戏客户成功防护了这次超大流量攻击，护航客户棋牌业务稳定运行。

那么这么大的攻击怎么来的呢？又是怎么被成功防护的呢？

攻击分析

本次攻击手法主要为拥塞带宽型攻击手法（SSDP反射，攻击原理下文介绍），在总体流量中占比97%，攻击流量达1.2Tbps，和协议缺陷型（SYNFLOOD和ACKFLOOD），在总体流量中占比3%。

SSDP反射

只要对DDoS有一定认知的同学，肯定不会对SSDP反射攻击陌生，作为现网最常见的DDoS攻击手法之一，SSDP反射由于可用的反射终端数量庞大，放大系数可观，而备受攻击者青睐。

在攻击思路上跟其他反射攻击一样，攻击者发起SSDP反射的大致过程为：

• 通过IP地址欺骗方式，攻击者伪造目标服务器IP，向开放SSDP服务的终端发起请求；
• 由于协议设计缺陷，SSDP服务无法判断请求是否伪造，并向目标服务器进行响应。就这样数量极其庞大的SSDP响应报文同时发往被攻击服务器；
• 更可怕的是在特定请求下，一个SSDP请求报文可以触发多个响应报文，而每个响应报文比请求报文体积更大，最终造成攻击流量约为30倍的放大。

来源IP分析

本次攻击共采集到攻击源16.6万个。其中国内占比68%，海外占比32%，TOP 3国家分别是：中国(68%)、俄罗斯(13%)、美国(8%)。

在国内方面，攻击主要来源省份：山东省(40%)、辽宁省(20%)、河北省(16%)等环渤海区域，其次是浙江省(10%)、台湾省(9%)。

国内攻击源的主要运营商来源为中国电信(占比66%)和中国联通(占比24%)。

在攻击源属性方面，主要来自于个人PC，占比57%，IDC服务器占比28%，值得注意的是，物联网设备在此次攻击源中占比达到15%。攻击者在攻击武器方面，物联网设备作为攻击源的数量呈明显增长趋势。眼下物联网设备安全问题不容忽视。

由此可见，公网上开放SSDP服务的终端数量非常庞大，而且分布广泛，为攻击者实施攻击带来便利。

防护方案

为了有效防护DDoS攻击，建议游戏厂商和开发者做好以下几个事项。

(1)预估攻击风险，必要时接入高防

不同类型的业务遭受外部DDoS攻击的风险完全不一样。所以运营者应根据自身行业的攻击威胁态势，以及自己业务历史遭受的DDoS攻击情况，来判断是否会被黑产"盯上"及是否需要接入高防。

而不可不提的是，游戏行业的高利润、行业恶性竞争等因素决定了该行业成为DDoS的高发区。根据腾讯云数据统计表明，超过66%的DDoS和CC攻击均针对游戏业务。所以对于游戏业务运营者来说，更需预估攻击威胁，必要时接入高防，方能保障业务稳定运行。

(2)接入高防后，切勿暴露源站

接入高防后，腾讯云会分配专门的高防代理IP，而为了避免黑客直接攻击源站，此时必须要注意：隐藏源站IP！

• 接入高防前的源站IP不能再使用(已经暴露)；
• 梳理游戏逻辑，确认游戏逻辑不会暴露源站IP；
• 对服务器做安全扫描，避免被植入后门。

(3)基于业务特性，定制防护策略

接入高防后可以通过高防IP的超大带宽抵抗大流量DDoS攻击，但是黑客往往会在大流量攻击同时混杂着消耗服务器资源的小流量攻击，如本轮攻击除了SSDP反射和SYNFLOOD还夹杂着CC攻击。故为了达到更优的防护效果，可以咨询腾讯云游戏安全团队：基于业务特性，深度定制防护策略。策略定制常见的维度包括：

• 梳理业务协议和端口情况，封禁非必要协议和端口，减少被攻击面
• 对HTTP业务，可在控制台上根据实际情况配置CC防护，提前防备CC攻击。
• 如果是私有协议，可以让腾讯云宙斯盾安全团队介入。团队可对业务流量进行统计分析，并深度定制防护策略，以有效解决各种疑难杂症。例如该客户历史还遭受过四层CC攻击，腾讯云宙斯盾安全团队深度定制策略，有效防护，业务稳定运行！

备注：四层CC攻击是指黑客控制肉鸡对目的服务器建立TCP连接后模拟业务流量发起攻击，耗尽服务器资源的攻击手法。

总结

只要有利益的地方就竞争，只要有互联网的地方就会有DDoS攻击。我们建议游戏厂商和开发者提前评估业务风险、选择可信赖的云服务商，必要情况下购买高防服务，与专家团队深度定制防护方案，有力保障好游戏安全生命线。

腾讯云限时推出宙斯盾产品优惠，现购买一个月及以上任何档位高防产品，可免费获赠一个月的使用时长。点击链接，立即申请产品优惠！

链接：https://wj.qq.com/s/2023496/3223

问答

如何防范DDos攻击？

相关阅读

【观点】“云”时代：网络安全的中国式突围

让子弹多飞一会 | 论如何优化DDoS

深入浅出DDoS攻击防御

此文已由作者授权腾讯云+社区发布，原文链接：https://cloud.tencent.com/developer/article/1100719?fromSource=waitui