前言
網(wǎng)絡(luò)空間的攻防是沒有硝煙的戰(zhàn)場。作為UCloud自主研發(fā)的一款云端企業(yè)級Web防護服務(wù)產(chǎn)品,UEWAF基于云安全大數(shù)據(jù)能力,可以過濾海量惡意訪問,避免網(wǎng)站資產(chǎn)數(shù)據(jù)泄露,保障網(wǎng)站的安全性與可用性。
近日,UEWAF成功防御黑客針對UCloud云上某游戲客戶發(fā)起的超大規(guī)模CC(Challenge Collapsar)攻擊。攻擊者從7月7日20點11分左右開始發(fā)起攻擊,攻擊峰值出現(xiàn)在20點24分左右,QPS(每秒查詢率)超過200萬。
(QPS 趨勢圖)
背景
7月7日20點15分,UEWAF安全運營團隊接到客戶緊急求助,客戶反饋其多個域名遭到CC攻擊,業(yè)務(wù)全部中斷。
UEWAF 安全運營團隊立即啟動緊急預(yù)案。但鑒于攻擊規(guī)模較大,已經(jīng)觸發(fā)過UEWAF集群自動擴容,為保障集群上其他客戶的業(yè)務(wù)不受影響,所以 UEWAF 安全運營團隊第一時間將該客戶流量牽引至Anti CC隔離集群。
發(fā)現(xiàn)問題
通過分析,發(fā)現(xiàn)受攻擊的域名主要是作為API(應(yīng)用程序編程接口)為手機客戶端提供服務(wù),常規(guī)的防御方式無法在短時間內(nèi)將攻擊流量壓制,隨后UEWAF安全運營團隊為客戶啟用緊急防御模式。在該模式下,UEWAF會結(jié)合使用UCloud安全中心積累多年的IP信譽庫和機器學(xué)習(xí)等技術(shù),計算來源IP的惡意度,迅速將被黑客利用的絕大部分“肉雞”IP封殺在網(wǎng)絡(luò)層。
截至當(dāng)日20點25分,黑客“肉雞”已被全部封殺,QPS迅速回落,客戶業(yè)務(wù)恢復(fù)正常。攻擊者因沒有更多可以利用的“肉雞”,只能偃旗息鼓,鳴金收兵。
通過大數(shù)據(jù)安全分析,本次攻擊的特征如下:
(1)攻擊針對游戲客戶端API接口;
(2)黑客做了充足準備,分析了該游戲客戶端的業(yè)務(wù)邏輯,攻擊請求與客戶端真實請求相似度極高。
基于以上特征,黑客能高度模仿真實用戶的行為,這對企業(yè)的防御手段提出了巨大挑戰(zhàn)。傳統(tǒng)的CC防御將重心放到了偽裝網(wǎng)民(主要是瀏覽器)訪問的識別上,但對于API接口來說,正常的訪問請求很大可能不是來自瀏覽器,而是來自機器。因此,要從這些機器中識別出哪些是真正的用戶、哪些是黑客控制的“肉雞”成為難題。
解決方案
結(jié)合企業(yè)業(yè)務(wù)類型、訪問頻率以及基于機器學(xué)習(xí)的行為分析技術(shù),UEWAF實現(xiàn)了高效的源站保護模型,在創(chuàng)新信息熵檢測機制與精準IP信譽庫的協(xié)助下,大幅提升了攻擊來源識別的準確率,可有效防御針對API接口的CC攻擊。
基于反向代理實現(xiàn)了“替身式”防御,攻擊流量全部在UEWAF Worker節(jié)點上攔截掉,攻擊流量將禁止傳到源站。為了實現(xiàn)高可用,內(nèi)部采用L4 switch報文轉(zhuǎn)發(fā),通過多個節(jié)點建立集群去分擔(dān)流量,保證了服務(wù)的高可用性和拓展的靈活性。
在集群整體性能不足或某個節(jié)點故障時,UEWAF可自動屏蔽故障節(jié)點并開啟備用節(jié)點,保障業(yè)務(wù)繼續(xù)開展。同時,針對日益頻繁的CC攻擊,UEWAF特別建立了Anti CC隔離集群,在應(yīng)對規(guī)模較大的CC攻擊時,遭受攻擊的域名流量會被牽引至Anti CC隔離集群,避免造成其他正常客戶業(yè)務(wù)的波動。
(UEWAF高可用架構(gòu)示意圖)
總結(jié)
在CC攻擊防御中,客戶源站為第一保護對象,UEWAF會首先保證源站業(yè)務(wù)正常。其次在識別和清洗攻擊流量過程中,會對部分攻擊IP實施網(wǎng)絡(luò)層封堵,以保證UEWAF Worker節(jié)點有足夠的端口及帶寬為正常用戶提供服務(wù)。
在網(wǎng)絡(luò)層IP封堵實現(xiàn)上,UEWAF定制了Linux內(nèi)核,能夠以極低的性能損失為代價封堵百萬級別的IP地址,保障UEWAF Worker節(jié)點的性能。
當(dāng)前,CC攻擊已經(jīng)成為游戲、金融、電商等行業(yè)常用的攻擊手段。為保證線上業(yè)務(wù)系統(tǒng)的正常運行,企業(yè)應(yīng)高度重視,加強安全防范措施。
UEWAF作為UCloud云安全解決方案-天罡旗下核心產(chǎn)品,基于UCloud云平臺強大的計算資源及自身領(lǐng)先的技術(shù)能力,在用戶業(yè)務(wù)遭遇CC攻擊或者業(yè)務(wù)突發(fā)時,能夠進行自身服務(wù)的快速擴展,不存在性能瓶頸等問題。與此同時,利用強大的云端情報收集能力并結(jié)合其他情報廠商的信息,UEWAF可以過濾海量的惡意訪問,守護網(wǎng)絡(luò)安全。
本文由『UCloud安全團隊』原創(chuàng),未經(jīng)允許不得私自轉(zhuǎn)載,比心~
