魔扣科技

                              一、事件背景
从2017年6月15日起，“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发起DDoS比特币勒索，现已有超过6家金融证券类企业遭受DDoS攻击勒索，且其中4家已经遭受了大规模的DDoS攻击，攻击流量从2G到20G不等，对企业网络产生了非常严重的影响。而“无敌舰队”组织声称如果企业不按邮件要求按时支付比特币，将进行持续的大规模流量攻击（该组织声称攻击流量可超过1T），并逐步提高勒索比特币数额。
这其实并不是该组织第一次行动了，早在2015年12月，“无敌舰队（Armada Collective）”就开始对中国境内的互联网企业实施同样手法的DDoS攻击的勒索。
本次事件收到的勒索邮件内容如下：

二、DDOS防护应急手段
针对本次DDoS攻击事件，下文就目前市场上主流的DDoS防护应急手段，按其差异性和适用场景做了简要对比。
常规的DDoS防护应急方式因其选择的引流技术不同而在实现上有不同的差异性，主要分成以下三种：
1、本地DDoS防护设备；
2、运营商清洗服务；
3、云清洗服务。
三种类型的DDoS防护应急手段引流方式的原理：

了解引流技术原理后，简要阐述各种方式在DDoS应急上的优劣：
本地DDoS防护设备：
本地化防护设备，增强了用户监控DDoS监控能力的同时做到了业务安全可控，且设备具备高度可定制化的策略和服务，更加适合通过分析攻击报文，定制策略应对多样化的、针对性的DDoS攻击类型；但当流量型攻击的攻击流量超出互联网链路带宽时，需要借助运营商清洗服务或者云清洗服务来完成攻击流量的清洗。
运营商清洗服务：
运营商采购安全厂家的DDoS防护设备并部署在城域网，通过路由方式引流，和Cname引流方式相比其生效时间更快，运营商通过提清洗服务方式帮助企业用户解决带宽消耗性的拒绝服务攻击；但是运营商清洗服务多是基于Flow方式检测DDoS攻击，且策略的颗粒度较粗，因此针对低流量特征的DDoS攻击类型检测效果往往不够理想，此外部分攻击类型受限于防护算法往往会有透传的攻击报文，此时对于企业用户还需要借助本地DDoS防护设备，实现二级清洗。
云清洗服务：
云清洗服务使用场景较窄，当使用云清洗服务做DDoS应急时，为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题，通常情况下还需要企业用户配合做业务地址更换、Cname引流等操作配置，尤其是业务地址更换导致的实际变更过程可能会出现不能落地的情况。
另一方面对于HTTPS Flood防御，当前云清洗服务需要用户上传HTTPS业务私钥证书，可操作性不强。此外业务流量导入到云平台，对业务数据安全性也提出了挑战。
对比了三种方式的不同和适用场景，我们会发现单一解决方案不能完成所有DDoS攻击清洗，推荐企业用户在实际情况下可以组合本地DDoS防护设备+运营商清洗服务或者本地DDoS防护设备+云清洗服务，实现分层清洗的效果。针对金融行业，更推荐的组合方案是本地DDoS防护设备+运营商清洗服务。对于选择云清洗服务的用户，如果只是在DDoS攻击发生时才选择将流量导入到云清洗平台，需要做好备用业务地址的更换预配置（新业务地址不可泄露，否则一旦被攻击者获悉将会失去其意义）。
三、DDOS防护实践总结
借鉴DDoS攻防工程师总结的经验，企业客户在DDoS防护体系建设上通常需要开展的工作有：
应用系统开发过程中持续消除性能瓶颈，提升性能
通过各类优化技术，提升应用系统的并发、新建以及数据库查询等能力，减少应用型DDOS攻击类型的潜在危害；
定期扫描和加固自身业务设备
定期扫描现有的网络主节点及主机，清查可能存在的安全漏洞和不规范的安全配置，对新出现的漏洞及时进行清理，对于需要加强安全配置的参数进行加固；
确保资源冗余，提升耐打能力
建立多节点负载均衡，配备多线路高带宽，配备强大的运算能力，借此“吸收”DDoS攻击；
服务最小化，关停不必要的服务和端口
关停不必要的服务和端口，实现服务最小化，例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率；
选择专业的产品和服务
三分产品技术，七分设计服务，除了防护产品本身的功能、性能、稳定性，易用性等方面，还需要考虑防护产品厂家的技术实力，服务和支持能力，应急经验等；
多层监控、纵深防御
从骨干网络、IDC入口网络的BPS、PPS、协议分布，负载均衡层的新建连接数、并发连接数、BPS、PPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态，到业务层的业务处理量、业务连通性等多个点部署监控系统。即使一个监控点失效，其他监控点也能够及时给出报警信息。多个点信息结合，准确判断被攻击目标和攻击手法；
完备的防御组织
囊括到足够全面的人员，至少包含监控部门、运维部门、网络部门、安全部门、客服部门、业务部门等，所有人员都需要2-3个备份
明确并执行应急流程
提前演练，应急流程启动后，除了人工处理，还应该包含一定的自动处理、半自动处理能力。例如自动化的攻击分析，确定攻击类型，自动化、半自动化的防御策略，在安全人员到位之前，最先发现攻击的部门可以做一些缓解措施。
总结
针对DDoS防御，主要的工作是幕后积累，在没有充分的资源准备，没有足够的应急演练，没有丰富的处理经验，DDoS攻击将会造成灾难性的后果。
                              

SSSZzZaC

垃圾内容，路过为证。

gcvigmc

这个世界上我只相信两个人，一个是我，另一个不是你-魔扣源码论坛。

kHNSOnOE

是网络空间让我们相识，空间有你而多彩，空间里淡淡的祝福来自朋友真诚的心，我愿天下最美好的事都属于你，魔扣源码论坛幸福快乐时光永远陪伴随着你。

马云的老婆们

真是被感动的痛哭流涕……无法表达我对魔扣源码论坛的感谢！

58同城网

向楼主学习

时间都去哪了

叶子的离开，是因为风的追求还是树的不挽留？-魔扣源码论坛　  

bikeboy

思念是一种感觉。是那种：静静地、悄悄地、默默地、苦苦地、痴痴地去想一个人的感觉！思念也是一种美丽的孤独。只有在你一个人思念他的时候，那种孤独才显得特别美丽！一旦这种孤独到了极至，魔扣源码论坛的思念也就扩展成了一种幸福的忧伤，成了一种甜蜜的惆怅，成了一种温馨的痛苦！　　思念是对昨日悠长的缅怀。思念无处不在，无处没有。当你们手牵手的散步，他随手采摘一朵路边菊，为你插在头上的那种浪漫——思念就在朗月下；当你们肩并肩观日出日落，对光阴似箭，岁月如歌大发感慨——思念就在黄昏里；当你们轻拥着过走艰难的人生，那些酸甜苦辣，还记忆犹新——思念就在秋雨中。

芝麻开门40大盗

没人回帖。。。我来个吧

widewingfeng

有一种祝福不只是在网上，而是在心里；没曾见面，却在心里留下了一个身影；没有擦肩，却留下了瞬间的感动；不知对方姓甚名谁，却在心上久久停留，淡淡地牵挂、默默地关注魔扣源码论坛、遥遥的祝福；即使一切是短暂的，也将定格成我永恒的回忆，成为我一生中最美丽的风景。让我们互牵友情之温柔的手，齐攀人生的友情之巅吧！来吧，亲爱的伙伴，亲爱的您！让我们共筑博客空间美好梦境！