2018年DDoS攻击全态势：战胜第一波攻击成“抗D” 关键

2018年，阿里云安全团队监测到云上DDoS攻击发生近百万次，日均攻击2000余次。目前阿里云承载着中国40%网站，为全球上百万客户提供基础安全防御。可以说，阿里云上的攻防态势是整个中国攻防态势的缩影。

基于2018.1.1-12.31阿里云上的DDoS攻击数据，阿里云安全团队从DDoS攻击事件、僵尸网络中控、DDoS肉鸡等多个维度做了统计分析，希望为政府和企业客户提供参考价值。

核心观点

1. TCP类型的攻击在DDoS攻击威胁中占据着更重要的比重。
2. 应用层攻击对抗越来越激烈。
3. 游戏等行业依然是攻击发生最频繁的区域。
4. 攻击峰值已经以T为单位。
5. DDoS攻击中，IoT设备的数量明显提升。

由于篇幅限制，本文仅截取了两个典型攻击案例在此分享，获取完整版报告请点击下方链接：

https://files.alicdn.com/tpsservice/2a83ff6c52d8f1f0b00e3e9dc5ce31fa.pdf?spm=5176.146391.1095956.5.66855e3brC2aOb&file=2a83ff6c52d8f1f0b00e3e9dc5ce31fa.pdf

流量最大案例

2018年9月，阿里云云盾高防产品接入了一个游戏客户。业务上线后不久，该客户就频繁遭到DDoS攻击，平均每天要遭受两次10G左右的DDoS攻击，在阿里云DDoS高防的防护下，对业务并未产生影响。

10月13日，阿里云监测到该客户遭受的攻击峰值流量达到了430Gbps；3天后，攻击者调动了更多资源，希望一次性将业务置于死地；10月16日凌晨，该客户再次遭受DDoS攻击，流量峰值达到1.022Tbps，pps峰值则达到了6.9亿。

收到攻击告警之后，阿里云安全团队检查攻击情况及客户业务状况，云盾高防运行平稳，攻击流量在可控范围内，攻击手法为大流量SYN_flood攻击，含SYN畸形包、SYN小包等，与此同时，大流量攻击还未停止。

后续3天，又发生了几次600G左右攻击，均未对业务造成威胁。

连接最大案例

游戏行业一直是DDoS攻击的重灾区，阿里云上的游戏客户同样面临着大流量攻击和连接耗尽型攻击的威胁。

2018年7月14日11:47，某游戏客户遭受到大规模的四层连接耗尽型攻击，云盾高防通过智能防护模块检测到四层业务攻击并启动自动防护功能，通过高频次肉鸡处置模块和恶意内容检测模块下发处置，CC攻击流量被完全压制，客户业务恢复正常。

收到攻击告警之后，从攻击数据看，黑客动用了20万+的肉鸡资源，攻击手法为建连之后向服务器发起高频率的恶意请求，并带有随机Payload，攻击新建峰值超过了170Wcps。

专家建议

从上述案例可以看出，DDoS攻击防护的形势在发生着变化。一方面是反射源的治理，防护手段的演进；另一方面物联网大军正逐渐加入到DDoS的这个战场，攻击手法也日趋复杂化，攻守双方的势力一直保持着动态平衡。如何打破这种平衡，赢取这场战争的胜利，阿里云安全专家给出的建议如下：

1. 抵抗住第一波攻击，这很重要。从攻防对抗的经验来看，抵抗住黑客的第一波攻击至关重要。如果第一次攻击得手能够给攻击方带来更多信心，反之多次攻占不下，则会使攻击方信心逐渐丧失。通过寻求专业的DDoS防御团队，永远是被攻击者成本最低、最有效的选择。
2. 防守方需要有更成熟的流量调度机制和应对方案。DDoS攻击峰值越来越大，不断地刷新记录，这对于防护方是一个严峻的考验。仅仅依靠单个节点来化解动则上T的攻击已经变得越来越不现实。这时就需要新的应对方案和更成熟的流量调度机制，通过近源清洗、流量压制等技术手段，降低威胁，来力保城门不失。
3. 防守方需要思考如何更快速地恢复业务。防守方是被动的，因为攻击者永远在暗处。也许通过事后溯源追查能够找到幕后真凶，但是在攻防对抗过程中，我们不清楚攻击者会通过何种方式利用服务的何种弱点发起攻击。这时防守方就需要考虑如何扭转这种被动局面。随着大数据技术的发展，机器学习的引入，也许能够给我们带来一些机会。通过对正常业务进行建模，来快速检测异常，以及采用智能化的技术手段，快速识别恶意行为并进行处置。通过一系列自动化、智能化的手段，快速恢复业务，也是防护方努力的方向。

黑客发起DDoS攻击，往往是通过侵害别人的正当利益，来使得自己获益。阿里云DDoS高防团队诞生之初就致力于消灭互联网上的DDoS攻击，只有真正的防御住DDoS攻击，才能消灭互联网的DDoS，这也是我们一直努力追求的目标。

如果您被DDoS攻击勒索，阿里云提供免费的24小时技术支持服务，为用户业务保驾护航。

---

本文作者：云安全专家

原文链接

本文为云栖社区原创内容，未经允许不得转载。