一、缘起
前面写了一系列关于应急响应的文章,好久没有更新了,欠了一些文章,准备这段时间来补一个系列的文章。那么就从这篇文章开始吧,这篇文章大概两年前就写好了,但是因为某些原因一直没有发出来。正好这段时间进行完善并作为这一系列文章的开篇。
二、DDOS
关于DDOS攻击,大家在日常的安全工作中肯定会多多少少遇到过一些。关于DDOS相关的技术,网络有大佬的总结,对于DDOS不太了解的童鞋,大家可以从网上找找相关系列文章自己学习学习。关于DDOS攻击主要有以下几种方式:
2.1 以量取胜
这个很好理解,你的带宽为500Mbps,攻击者打个600Mbps的量,肯定你的出口都拥堵了,这种攻击需要手上有各种肉鸡资源,这些对于专业的DDOS团伙来说都不是事。各种Iot设备、云平台,一个漏洞就很多资源上线。网上看到1Tbps的攻击量都有。常见的攻击技术有UDP Flood
2.2 以巧取胜
比较典型的就是慢速攻击,如Slowloris攻击、Hash冲突攻击等,需要特定环境机缘巧合下才能出现。
2.3 混合攻击
这种攻击一方面利用协议、系统和设备的漏洞与缺陷,另一方面以具备海量的流量,比较典型的攻击方式有DNS Query Flood攻击。
三、实战
3.1 第一波攻击
当时用户第一次遇到的时候,刚开始很慌,网站被打的几乎是瘫痪状态。通过日志和流量来看,的确很猛。一图胜千言,大家感受一下。入网流量3.49Mbps,出网流量5643Mbps。
看一下日志,访问了哪些资源。
主要访问了mp4、zip、doc等大流量的资源,怪不得出网流量这么大。
看了一下,访问都是相关的zip文件名,不过后面还有?随机数字,看来攻击者还是很聪明的,加个?随机数据来强制刷新缓存。这样的话即使访问的是同一个zip文件,加个?随机数字以后还是会强制从源服务器取数据,以达到DDOS最大化的效果。
攻击IP和频率看了一下,一是攻击源很多是同一IP,二是其访问很高的。用户那边由于前期部署了云防护产品,临时开个抗DDOS,本地还有硬件抗DDOS,云端和本地策略调整一段时间,封了大量IP,最终效果还不错,流量基本上下来了。
3.2 第二波攻击
本来以为这样就结束了。没想到安静不到几天,用户又反馈攻击流量又上来了,网站基本上又瘫痪状态了。难道是云防护没有生效,当时看了一下流量,下行流量的确很大,通过平台看了一下日志,这个时候攻击者不像前面那样,一个IP地址访问大量的资源了,这个时候的攻击者改变了攻击方式,同一个IP每次仅攻击1-2次,然后就不攻击了。并且IP的地理位置没有任何规律、国内外,各个国家和省份都有。