如何应对常态的Tb级别DDoS攻击

引言

自2018年Github遭遇1.35Tbps的大流量攻击以来，Tb级别攻击首次出现在大众面前。伴随着物联网、智能终端的蓬勃发展，当前Tb级别攻击已越来越普遍。近日，UCloud安全团队协助客户成功防御了多次1.2Tbps的超大流量攻击。下面将就此次攻击事件简单地向大家进行梳理和分析。

事件回顾

12月2日10:56:32 ⾄ 11:49:06，UCloud一个重要的行业客户突然遭受到159G的DDoS攻击，因该用户长期使用UCloud高防产品并对长期遭受攻击已习以为常，就以为和往常一样，只要攻击没有效果，对方就会放弃。

但是，11:54:41 ⾄ 12:11:30第二波361G的攻击到来，迅速引起了UCloud在后台监控的安全人员注意，并提醒客户此次攻击不同以往。

12:56:51 第三波1.16Tbps超大规模的攻击到来，后续攻击黑客已将Tb级别攻击常态化。

不过凭借UCloud超大的防护带宽和安全中心10余年DDoS攻击防护技术的积累，最终UCloud携手该用户成功抵御了这次持续时间很长的超大流量攻击，保障了业务的稳定运行。

那么这么大的攻击是怎么来的，又是如何成功被抵御的呢？

攻击分析

本次攻击黑客手法复杂多变且持续时间长。其中混合型攻击次数占比高达66%，包含了各种Flood攻击、反射攻击以及四层TCP的连接耗尽和七层的连接耗尽攻击。

●攻击类型：

●攻击类型分布：

●持续时间和流量峰值分布：

●异常类型分布TOP10：

攻击来源分布

本次攻击中国境内流量占比高达68.1%，海外流量合计占比31.9%。流量占比TOP10国家和地区如下：

在国内方面，攻击流量主要来源省份：山东省（14.6%）、江苏省（13.9%）、云南省（13.7%）、浙江省（13.6%）。国内攻击流量占比TOP10如下：

在攻击源属性方面，个人PC占比47%，IDC服务器占比32%，值得注意的是，在此次攻击事件中物联网设备占比达到21%，且物联网设备作为攻击源的数量呈明显的增长趋势。物联网设备安全不容忽视。

由此可见，Tb级别的大流量攻击已越来越容易实现，在大流量攻击的同时，黑客还会掺杂着各种连接耗尽攻击，以此增加防御的难度。

防护建议

为有效的防护DDoS攻击，UCloud建议厂商、开发者、运营者提前做好如下事项：

一、评估攻击风险

不同类型的业务在遭受DDoS攻击风险时有很大的区别。所有业务运营者应根据自身行业的特性，以及业务历史上遭受过的DDoS攻击的情况制定应对方案。方案中明确在遭受DDoS攻击时是否需要使用高防进行防护。

二、隐藏源站

目前市面上大多数的高防产品都是采用代理方式，所以在接入高防后，需要避免黑客绕过高防直接攻击源站，必须注意要隐藏源站IP！！！

●接入高防的IP尽量未使用过（使用过的可能已经暴露）

●梳理业务逻辑，确认业务逻辑不会暴露自己IP

●安全扫描，避免服务器被植入后门

三、定制防护策略

以此次攻击为例，黑客在使用大流量攻击时，混杂了用于消耗服务器资源的TCP连接耗尽和HTTP连接耗尽攻击。为了实现更优的防护效果，建议基于业务特性深度定制防护策略。

通常以如下维度定制防护策略：

●减小攻击面：梳理业务协议和端口，封禁非必要的协议和端口。

●CC防护：根据业务特性提前配置好CC防护策略。

●私有协议：提前联系高防服务商对业务流量进行攻击分析，定制防护策略。防止TCP层的连接耗尽攻击。

总结

DDoS作为一个简单粗暴的攻击手法，可以达到直接摧毁目标的目的。相对于其他攻击手段DDoS攻击技术要求和发动攻击成本低，且攻击效果可视。在各种黑色利益的驱使下，越来越多的人参与到DDoS攻击行业并对攻击手段进行升级，致使DDoS在互联网行业愈演愈烈。

因此我们建议厂商、开发者、运营者提前评估业务风险，选择安全可靠、可信赖的云服务商，必要的时候购买高防服务，与专家团队紧密配合，深度定制防护方案，以保障业务的稳定运行。