对网络安全有一定了解的用户一定听说过DDoS,DDoS攻击是目前最大的网络安全威胁之一,主要是通过将巨大流量引向目标来达到压垮和瘫痪网站的目的。就在12月11号,一名疑似黑客组织成员Lorian Synaro在推特上号召所有网络黑客一起针对全球中央银行网站发起DDOS攻击,攻击名单中多个国内银行也在其中。
其实针对银行发起持续的DDOS攻击已不是第一次,早在2016年代号为“OpIcarus”的攻击事件就主要是针对全球的金融机构的。攻击手段包括TCP Flood/UDP Flood,HTTP/HTTPS Flood,及针对HTTP协议的大量POST请求以及针应用系统的SQL注入漏洞等。在今年8月份,西班牙银行也曾遭受了DDoS攻击,导致网站间歇性下线。
在该推特信息发布后的第三天晚上,12月13日夜间,国内多家银行的HTTP、HTTPS在线业务受到了来自以海外地址为主的攻击。从本次DDOS攻击中抓取的数据分析来看:攻击属于混合型攻击,主要由NTP反射放大攻击、针对80端口和443端口的CC攻击等组成。从攻击信息来看,本次CC攻击中包含SYN、ACK、RST、Fin、TCP连接、HTTP Get、HTTPS应用攻击(有密钥交换报文),而攻击源分散甚广:美国、加拿大、巴西、印度尼西亚、乌拉圭、厄瓜多尔、希腊、俄罗斯、南非、捷克、泰国、中国香港等。
对于此次针对80端口及443端口的CC攻击,运营商在国际口进行了封堵,有效地保护了被攻击金融客户的链路,之后约几十M的CC攻击进一步被运营商过滤,至此仍有十几M的CC则透到金融客户的数据中心,导致其对外的WEB服务器CPU使用率大幅提升,响应速度降低,明显影响了国内用户的正常访问。本次攻击流量中NTP类攻击不到40Gbps,但是,由于国内金融企业数据中心带宽一般都在20Gbps及以下,40Gbps的攻击力也足以对金融企业造成强悍的冲击。
对于已经部署了DDoS防御设备的金融客户,墨者安全建议采用如下的防御策略:
1、鉴于攻击以海外为主,优先选择开启地理位置过滤策略对海外的攻击流量进行屏蔽;
2、鉴于金融业务通常都会采用CDN加速,建议对CDN IP使用白名单功能,防止防御策略配置过严影响正常业务;
3、鉴于金融业务没有UDP流量,建议配置UDP限速功能对带宽实现高效防护;
4、鉴于此次CC攻击种类繁多,建议开启以下会话层防御策略:SYN flood正确序列号源认证、ACK及FIN、TCP新建及并发会话限速类;同时开启以下应用层攻击防御策略:HTTP开启302重定向、HTTPS会话完整性检查(大多数攻击并未建立完整的SSL会话)。
金融行业面对DDoS攻击,除了靠DDoS高防进行流量清洗外,银行金融机构也应不断提升系统安防等级,更新安防措施,抵御各类不法入侵,维护金融秩序和储户安全。广大市民群众在使用金融服务时也要提高自我保护意识,在使用互联网时应注意保护个人隐私,防止个人信息被不法分子盗取。