37
紧急救援48小时, 一次真实的AntiDDoS防御纪实

121319:01】攻击开始

突然发现本银行的HTTPS业务受到不明来源的DDoS攻击,业务访问迟缓。小马与客户就应对策略展开讨论。客户直接提出先使用腾达互联立体防御产品来搞定大流量的网络层DDoS攻击。攻击面对面开始……摩拳擦掌,先救火再说!其中重要原则:要最大限度的保障客户的正常主业务。那么,如何尽快解决客户的燃眉之急?

和后方服务团队简短沟通后,开动!

动作一:先救火!攻击多来自海外,那就先用地理位置过滤把海外的攻击拦截住。

动作二:既然客户用到了CDN加速,那拦截海外攻击的同时,最简单有效的就是——先把客户的CDN IP加到白名单里做保护。

动作三:客户的策略都是条条记录在册,不能随随便便配置,除了救火大招之外,第一波方案都是走稳的基础防范。

·         SYN的正确序列号检查;

·         ACK的严格模式检查;

·         还有防御FIN RST的会话检测;

·         UDP反射放大过滤以及UDP限速。

这一波救火大招之后,攻击大面积的被缓解了,业务逐步恢复起来了!ddos防御初见成效,客户长出了一口气!小马也悄悄擦了把汗。

121514:00

客户办公室

经过一晚上加一个上午的观察,第一波攻击已经防住,证明了昨晚的部署策略有效。


不过,防御的第一波只是扑灭大范围的明火,更多细小的暗火还待灭掉。与此同时,按原计划,客户业务组网中的现网设备WAF设备将部署在AntiDDoS设备后面实现应用层的攻击过滤。然而,关键时刻现网设备WAF产生了误防,客户当机立断决定撤掉现网WAF,直接让腾达互联立体防御来面对攻击!

好吧,我们上,这才是精细化攻防战!

121514:30】精细化攻防战

客户机房

既然已经决定进行更细致的基于应用的DdoS防御。那么,原有的基于地理位置过滤的粗粒度过滤就没必要了。考虑到客户也确实存在部分真实客户的海外业务,地理位置过滤也会使他们的正常访问受到影响。


紧急连线服务团队,定方案,撤掉地理位置过滤,打应用层防护组合拳:

动作一:先开启HTTPS Flood认证防御功能,使用源统计,对流量大的可疑源进行认证,这样可以阻断一部分的攻击。这很考验设备的性能和识别准确率,不过,小马很有信心,手上敲击键盘的动作一点也没有停顿(——也是小编猜的)。

动作二:开启TCP Connection将攻击源加黑名单。

好戏开始了!

管理平台上,黑名单的数量暴增,峰值一度达到了3700+

小马验证了一下,看是否有正常业务受影响,并随机抽取攻击源IP,发现攻击来自印尼、秘鲁、泰国、蒙古、埃及、印度……OK,没问题,证明被禁止的IP非正常业务,都是来自业务不相关国家的攻击源。

121611:00】最后一击

客户机房

终于到了决战的时刻。经过前面的防堵经验,后端同时也反馈数据分析结果,结合现场的数据表明,现网发现有大量针对手机网银的HTTP GET Flood,并超过了平时银行的在线业务量。很明显,这就是异常的来源。小马跟后方团队做了简短的沟通后决定使用终极杀手锏——HTTP302重定向功能。

121612:00】向客户汇报

经过客户的审批后,该防御策略率先在XX站点做了试点。

121615:35】策略上线

开心,如大家所预测!客户之前没有解决的攻击被腾达互联立体防御产品彻底防住了!经过一段时间的稳定测试发现:未实施该策略的站点服务器5分钟出现一次故障,实施该策略的站点业务正常。(此处应该有掌声)。

OK,就是它!小马这才松了口气。


121620:00】观察

客户机房

经过将近两天的连续奋战,腾达互联立体防御上线即发挥作用,但防御不仅仅满足于此,一步步由谨慎布局,攻与防的相互试探,针对客户现网的DDoS攻击不但进行了彻底的封堵,而且因为策略配置得当,所有后续攻击都被精准防范。

 


这条帮助是否解决了您的问题? 已解决 未解决

提交成功!非常感谢您的反馈,我们会继续努力做到更好! 很抱歉未能解决您的疑问。我们已收到您的反馈意见,同时会及时作出反馈处理!