据悉,OpIcarus攻击首次发起于2016年,主要针对全球金融机构(银行)进行持续的(DDoS)拒绝服务攻击,攻击手段包括TCP Flood/UDP Flood,HTTP/HTTPS Flood,及针对HTTP协议的大量POST请求以及针应用系统的SQL注入漏洞等。
自12月13日夜间开始,国内多家银行的HTTP、HTTPS在线业务受到了来自以海外地址为主的攻击。从本次OpIcarus攻击中抓取的数据分析来看:攻击属于混合型攻击,主要由NTP反射放大攻击、针对80端口和443端口的CC攻击等组成。
对于此次针对80端口及443端口的CC攻击,运营商在国际口进行了封堵,有效地保护了被攻击金融客户的链路,之后约几十M的CC攻击进一步在城域网被运营商过滤,至此仍有十几M的CC则透到金融客户的数据中心,导致其对外的WEB服务器CPU使用率大幅提升,响应速度降低,明显影响了国内用户的正常访问。从攻击信息来看,本次CC攻击中包含SYN、ACK、RST、Fin、TCP连接、HTTP Get、HTTPS应用攻击(有密钥交换报文),而攻击源分散甚广:美国、加拿大、巴西、印度尼西亚、乌拉圭、厄瓜多尔、希腊、俄罗斯、南非、捷克、泰国、香港等。
对于已经部署了DDoS防御设备的金融客户,建议采用如下的防御策略:
- 鉴于攻击以海外为主,优先选择开启地理位置过滤策略对海外的攻击流量进行屏蔽;
- 鉴于金融业务通常都会采用CDN加速,建议对CDN IP使用白名单功能,防止防御策略配置过严影响正常业务;
- 鉴于金融业务没有UDP流量,建议配置UDP限速功能对带宽实现高效防护;
- 鉴于此次CC攻击种类繁多,建议开启以下会话层防御策略:SYN flood正确序列号源认证、ACK及FIN、TCP新建及并发会话限速类;同时开启以下应用层攻击防御策略:HTTP开启302重定向、HTTPS会话完整性检查(大多数攻击并未建立完整的SSL会话)。
另外,本次攻击数据显示,攻击流量中NTP类攻击不到40Gbps。根据以往Anonymous攻击事件统计分析,该黑客组织惯用不大的攻击流量对金融制造业造成恐慌,从而达到其宣泄政治主张的目的。在其2015年对土耳其发起的大规模网络中,攻击的最大流量峰值也仅有40多Gbps。但是,由于国内金融企业数据中心带宽一般都在20Gbps及以下,40Gbps的攻击力也足以对金融企业造成强悍的冲击。
因此,面对这次针对金融企业的DDoS攻击,华为建议依靠分层防御方案实现“分层清洗,精准防护”。
首先,依靠云清洗在上游对大流量攻击进行有效过滤,从而保障金融企业带宽可用性;
然后,依靠金融企业数据中心边界部署的DDoS防御系统重点提供小流量的CC防御,保障了整个金融在线业务系统可用性。
华为AntiDDoS产品2015年在土耳其电信网络成功对抗了Anonymous。针对此次针对国内金融机构的DDoS攻击,从12月13日起,华为AntiDDoS产品团队成功协助国内多个金融客户抵御了到目前为止的OpIcarus攻击。华为AntiDDoS产品团队从抵御本次攻击的实战经验出发,给出了行之有效的防范策略推荐,建议金融企业参考并实时关注攻击预警和攻击流量波动。
