1.事件背景

從2017年6月15日起，“無敵艦隊”組織向國內多家證券金融公司、互聯網金融公司發起DDoS比特幣勒索，現已有超過6家金融證券類企業遭受DDoS攻擊勒索，且其中4家已經遭受了大規模的DDoS攻擊，攻擊流量從2G到20G不等，對企業網絡產生了非常嚴重的影響。而“無敵艦隊”組織聲稱如果企業不按郵件要求按時支付比特幣，將進行持續的大規模流量攻擊（該組織聲稱攻擊流量可超過1T），并逐步提高勒索比特幣數額。

這其實并不是該組織第一次行動了，早在2015年12月，“無敵艦隊（Armada Collective）”就開始對中國境內的互聯網企業實施同樣手法的DDoS攻擊的勒索。

本次事件收到的勒索郵件內容如下：

　　2.DDOS防護應急手段

針對本次DDoS攻擊事件，下文就目前市場上主流的DDoS防護應急手段，按其差異性和適用場景做了簡要對比。

常規的DDoS防護應急方式因其選擇的引流技術不同而在實現上有不同的差異性，主要分成以下三種：

1. 本地DDoS防護設備；

2. 運營商清洗服務；

3. 云清洗服務。

三種類型的DDoS防護應急手段引流方式的原理：

　　了解引流技術原理后，簡要闡述各種方式在DDoS應急上的優劣：

本地DDoS防護設備：

本地化防護設備，增強了用戶監控DDoS監控能力的同時做到了業務安全可控，且設備具備高度可定制化的策略和服務，更加適合通過分析攻擊報文，定制策略應對多樣化的、針對性的DDoS攻擊類型；但當流量型攻擊的攻擊流量超出互聯網鏈路帶寬時，需要借助運營商清洗服務或者云清洗服務來完成攻擊流量的清洗。

運營商清洗服務：

運營商采購安全廠家的DDoS防護設備并部署在城域網，通過路由方式引流，和Cname引流方式相比其生效時間更快，運營商通過提清洗服務方式幫助企業用戶解決帶寬消耗性的拒絕服務攻擊；但是運營商清洗服務多是基于Flow方式檢測DDoS攻擊，且策略的顆粒度較粗，因此針對低流量特征的DDoS攻擊類型檢測效果往往不夠理想，此外部分攻擊類型受限于防護算法往往會有透傳的攻擊報文，此時對于企業用戶還需要借助本地DDoS防護設備，實現二級清洗。

云清洗服務：

云清洗服務使用場景較窄，當使用云清洗服務做DDoS應急時，為了解決攻擊者直接向站點真實IP地址發起攻擊而繞過了云清洗中心的問題，通常情況下還需要企業用戶配合做業務地址更換、Cname引流等操作配置，尤其是業務地址更換導致的實際變更過程可能會出現不能落地的情況。另一方面對于HTTPS Flood防御，當前云清洗服務需要用戶上傳HTTPS業務私鑰證書，可操作性不強。此外業務流量導入到云平臺，對業務數據安全性也提出了挑戰。

對比了三種方式的不同和適用場景，我們會發現單一解決方案不能完成所有DDoS攻擊清洗，推薦企業用戶在實際情況下可以組合本地DDoS防護設備+運營商清洗服務或者本地DDoS防護設備+云清洗服務，實現分層清洗的效果。針對金融行業，更推薦的組合方案是本地DDoS防護設備+運營商清洗服務。對于選擇云清洗服務的用戶，如果只是在DDoS攻擊發生時才選擇將流量導入到云清洗平臺，需要做好備用業務地址的更換預配置（新業務地址不可泄露，否則一旦被攻擊者獲悉將會失去其意義）。

3.DDOS防護實踐總結

借鑒DDoS攻防工程師總結的經驗，企業客戶在DDoS防護體系建設上通常需要開展的工作有：

應用系統開發過程中持續消除性能瓶頸，提升性能

通過各類優化技術，提升應用系統的并發、新建以及數據庫查詢等能力，減少應用型DDOS攻擊類型的潛在危害；

定期掃描和加固自身業務設備

定期掃描現有的網絡主節點及主機，清查可能存在的安全漏洞和不規范的安全配置，對新出現的漏洞及時進行清理，對于需要加強安全配置的參數進行加固；

確保資源冗余，提升耐打能力

建立多節點負載均衡，配備多線路高帶寬，配備強大的運算能力，借此“吸收”DDoS攻擊；

服務最小化，關停不必要的服務和端口

關停不必要的服務和端口，實現服務最小化，例如WWW服務器只開放80而將其它所有端口關閉或在防火墻上做阻止策略。可大大減少被與服務不相關的攻擊所影響的概率；

選擇專業的產品和服務

三分產品技術，七分設計服務，除了防護產品本身的功能、性能、穩定性，易用性等方面，還需要考慮防護產品廠家的技術實力，服務和支持能力，應急經驗等；

多層監控、縱深防御

從骨干網絡、IDC入口網絡的BPS、PPS、協議分布，負載均衡層的新建連接數、并發連接數、BPS、PPS到主機層的CPU狀態、TCP新建連接數狀態、TCP并發連接數狀態，到業務層的業務處理量、業務連通性等多個點部署監控系統。即使一個監控點失效，其他監控點也能夠及時給出報警信息。多個點信息結合，準確判斷被攻擊目標和攻擊手法；

完備的防御組織

囊括到足夠全面的人員，至少包含監控部門、運維部門、網絡部門、安全部門、客服部門、業務部門等，所有人員都需要2-3個備份

明確并執行應急流程

提前演練，應急流程啟動后，除了人工處理，還應該包含一定的自動處理、半自動處理能力。例如自動化的攻擊分析，確定攻擊類型，自動化、半自動化的防御策略，在安全人員到位之前，最先發現攻擊的部門可以做一些緩解措施。

總結

針對DDoS防御，主要的工作是幕后積累，在沒有充分的資源準備，沒有足夠的應急演練，沒有豐富的處理經驗，DDoS攻擊將會造成災難性的后果。