前言
網(wǎng)絡(luò)空間的攻防是沒有硝煙的戰(zhàn)場。作為UCloud自主研發(fā)的一款云端企業(yè)級Web防護服務(wù)產(chǎn)品茬贵,UEWAF基于云安全大數(shù)據(jù)能力簿透,可以過濾海量惡意訪問,避免網(wǎng)站資產(chǎn)數(shù)據(jù)泄露解藻,保障網(wǎng)站的安全性與可用性老充。
近日,UEWAF成功防御黑客針對UCloud云上某游戲客戶發(fā)起的超大規(guī)模CC(Challenge Collapsar)攻擊螟左。攻擊者從7月7日20點11分左右開始發(fā)起攻擊啡浊,攻擊峰值出現(xiàn)在20點24分左右觅够,QPS(每秒查詢率)超過200萬。
(QPS 趨勢圖)
背景
7月7日20點15分巷嚣,UEWAF安全運營團隊接到客戶緊急求助喘先,客戶反饋其多個域名遭到CC攻擊,業(yè)務(wù)全部中斷廷粒。
UEWAF 安全運營團隊立即啟動緊急預(yù)案窘拯。但鑒于攻擊規(guī)模較大,已經(jīng)觸發(fā)過UEWAF集群自動擴容评雌,為保障集群上其他客戶的業(yè)務(wù)不受影響树枫,所以 UEWAF 安全運營團隊第一時間將該客戶流量牽引至Anti CC隔離集群。
發(fā)現(xiàn)問題
通過分析景东,發(fā)現(xiàn)受攻擊的域名主要是作為API(應(yīng)用程序編程接口)為手機客戶端提供服務(wù),常規(guī)的防御方式無法在短時間內(nèi)將攻擊流量壓制奔誓,隨后UEWAF安全運營團隊為客戶啟用緊急防御模式斤吐。在該模式下,UEWAF會結(jié)合使用UCloud安全中心積累多年的IP信譽庫和機器學(xué)習(xí)等技術(shù)厨喂,計算來源IP的惡意度和措,迅速將被黑客利用的絕大部分“肉雞”IP封殺在網(wǎng)絡(luò)層。
截至當(dāng)日20點25分蜕煌,黑客“肉雞”已被全部封殺派阱,QPS迅速回落,客戶業(yè)務(wù)恢復(fù)正常斜纪。攻擊者因沒有更多可以利用的“肉雞”贫母,只能偃旗息鼓,鳴金收兵盒刚。
通過大數(shù)據(jù)安全分析腺劣,本次攻擊的特征如下:
(1)攻擊針對游戲客戶端API接口;
(2)黑客做了充足準(zhǔn)備因块,分析了該游戲客戶端的業(yè)務(wù)邏輯橘原,攻擊請求與客戶端真實請求相似度極高。
基于以上特征涡上,黑客能高度模仿真實用戶的行為趾断,這對企業(yè)的防御手段提出了巨大挑戰(zhàn)。傳統(tǒng)的CC防御將重心放到了偽裝網(wǎng)民(主要是瀏覽器)訪問的識別上吩愧,但對于API接口來說芋酌,正常的訪問請求很大可能不是來自瀏覽器,而是來自機器耻警。因此隔嫡,要從這些機器中識別出哪些是真正的用戶甸怕、哪些是黑客控制的“肉雞”成為難題。
解決方案
結(jié)合企業(yè)業(yè)務(wù)類型腮恩、訪問頻率以及基于機器學(xué)習(xí)的行為分析技術(shù)梢杭,UEWAF實現(xiàn)了高效的源站保護模型,在創(chuàng)新信息熵檢測機制與精準(zhǔn)IP信譽庫的協(xié)助下秸滴,大幅提升了攻擊來源識別的準(zhǔn)確率武契,可有效防御針對API接口的CC攻擊。
基于反向代理實現(xiàn)了“替身式”防御荡含,攻擊流量全部在UEWAF Worker節(jié)點上攔截掉咒唆,攻擊流量將禁止傳到源站。為了實現(xiàn)高可用释液,內(nèi)部采用L4 switch報文轉(zhuǎn)發(fā)全释,通過多個節(jié)點建立集群去分擔(dān)流量,保證了服務(wù)的高可用性和拓展的靈活性误债。
在集群整體性能不足或某個節(jié)點故障時浸船,UEWAF可自動屏蔽故障節(jié)點并開啟備用節(jié)點,保障業(yè)務(wù)繼續(xù)開展寝蹈。同時李命,針對日益頻繁的CC攻擊,UEWAF特別建立了Anti CC隔離集群箫老,在應(yīng)對規(guī)模較大的CC攻擊時封字,遭受攻擊的域名流量會被牽引至Anti CC隔離集群,避免造成其他正乘w蓿客戶業(yè)務(wù)的波動阔籽。
(UEWAF高可用架構(gòu)示意圖)
總結(jié)
在CC攻擊防御中,客戶源站為第一保護對象界斜,UEWAF會首先保證源站業(yè)務(wù)正常仿耽。其次在識別和清洗攻擊流量過程中,會對部分攻擊IP實施網(wǎng)絡(luò)層封堵各薇,以保證UEWAF Worker節(jié)點有足夠的端口及帶寬為正常用戶提供服務(wù)项贺。
在網(wǎng)絡(luò)層IP封堵實現(xiàn)上,UEWAF定制了Linux內(nèi)核峭判,能夠以極低的性能損失為代價封堵百萬級別的IP地址开缎,保障UEWAF Worker節(jié)點的性能。
當(dāng)前林螃,CC攻擊已經(jīng)成為游戲奕删、金融、電商等行業(yè)常用的攻擊手段疗认。為保證線上業(yè)務(wù)系統(tǒng)的正常運行完残,企業(yè)應(yīng)高度重視伏钠,加強安全防范措施。
UEWAF作為UCloud云安全解決方案-天罡旗下核心產(chǎn)品谨设,基于UCloud云平臺強大的計算資源及自身領(lǐng)先的技術(shù)能力熟掂,在用戶業(yè)務(wù)遭遇CC攻擊或者業(yè)務(wù)突發(fā)時,能夠進(jìn)行自身服務(wù)的快速擴展扎拣,不存在性能瓶頸等問題赴肚。與此同時,利用強大的云端情報收集能力并結(jié)合其他情報廠商的信息二蓝,UEWAF可以過濾海量的惡意訪問誉券,守護網(wǎng)絡(luò)安全。
本文由『UCloud安全團隊』原創(chuàng)刊愚,未經(jīng)允許不得私自轉(zhuǎn)載踊跟,比心~
