V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wxxshu
V2EX  ›  推广

不交“赎金”就打爆!出海游戏企业如何应对 DDoS 勒索

  •  
  •   wxxshu · 2020-03-11 13:48:47 +08:00 · 3805 次点击
    这是一个创建于 1729 天前的主题,其中的信息可能已经有所发展或是发生改变。

    近年来,中国互联网出海已成燎原之势,游戏出海,网络先行。但是,DDoS 攻击却始终是环绕在出海游戏企业头顶的噩梦。

    近期,UCloud 安全中心就接到一例关于 DDoS 勒索攻击的求助,最终经过完备的云上安全防护,成功逼退黑客。

    不交“赎金”就打爆!

    2019 年 12 月下旬,某游戏公司突然遭到 70G 流量的 DDoS 攻击,并基于前期购买的 UCloud 高防服务抵抗住了这一波攻击。游戏公司负责人 G 先生本以为这就是一次小打小闹,黑客方应该已经知难而退。

    没有料到的是,这仅仅是一次攻击的前奏曲。

    当天晚上,G 先生便收到了来自黑客组织的勒索消息。黑客方声称来自 A 记,A 记是一个臭名昭著的国际黑客组织,从 2018 年起便陆续被各大安全厂商曝光 DDoS 勒索的行径。

    图:黑客勒索的沟通截图

    在 G 先生与黑客的沟通过程中,黑客声称第一次的 70G DDoS 攻击只是一个引子,如若 G 先生不妥协,将持续发动更大规模的攻击。

    这也是 A 记黑客组织一贯的攻击套路,通常先进行小规模攻击试探,并威胁企业支付“赎金”,如果被拒便会发起更为猛烈的大流量攻击,以此胁迫企业就范。可以看出来,黑客应该已有多次勒索成功经历,似乎笃定了这次 G 先生也会妥协,言辞之间非常狂妄嚣张。

    图:黑客态度非常狂妄

    妥协 or 拒绝?

    可能有很多人不太理解,为什么黑客组织会有勒索成功的经历,以下稍作说明。

    DDoS 攻击与其他黑客攻击的区别在于,DDoS 没有太多花样,不像钓鱼链接、后门等需要伪装潜伏的攻击手段,DDoS 攻击非常简单粗暴,就是以攻击量取胜

    这也便导致了 2 个问题:

    1、防御成本远远高于攻击成本;

    2、大流量攻击下出海游戏企业难以抵御。

    什么意思呢?对于游戏企业来讲,网络稳定性至关重要,访问中断几小时或者几天,便足够毁掉一个企业。正因如此,不少黑客瞄准了受害者的心理,出海游戏企业便成为了 DDoS 受害的重灾区。此外,当发生上百 G 甚至更高的大流量攻击时,通常需要多集群防护与足够的带宽资源,这也对提供抗 DDoS 服务的安全企业提出了较高的要求。

    由于缺钱缺资源、攻击紧迫性又非常高,不少企业出于“花钱买平安”的心态,便会屈服于黑客的勒索之下。

    此时,摆在 G 先生面前也是同样一个问题:妥协 or  拒绝?

    毫无疑问,G 先生果断拒绝。

    成功化解 300G 大流量攻击

    黑客与 G 先生谈崩以后,恼羞成怒,摈弃之前小规模的试探,在当天下午 2 点钟左右便开始发动猛烈的攻势。如下图,攻击流量瞬时达到了近 300G 的峰值

    图:攻击流量监控图

    可能有读者无法直观体会 300G 大流量攻击的威力,来看近期发生的一个案例:2 月 28 日,加密货币交易所 OKEx 先是遭到 300G 流量攻击,致使网络宕机 1 分钟左右,之后又遭到 400G 流量攻击,直接导致 OKEx 暂停相关交易 40 分钟。

    在本次针对游戏企业的攻击过程中,除了超大流量外,黑客还发动了多种攻击手段,先是DNS 反射与 LDAP 反射齐飞,接着又陆续发动TCP SYN FloodACK Flood以及各种IP 层报文的混合攻击……总攻击时长持续73 分钟,累计攻击流量39PB

    图:各类攻击手段数据统计

    可以看到,黑客几乎拿出了所有看家本领。但是,在 UCloud 的协助布防下,这次攻击对用户网络丝毫无影响,在此期间,游戏业务正常稳定运行。

    图:与用户确认业务是否受影响

    在游戏公司遭受第一波小规模 DDoS 攻击时,UCloud 安全中心便已介入了解该事件。在了解到勒索情况后,由于无法预估黑客具体的攻击数字,UCloud 和用户沟通后建议采用弹性防护措施布防,并先后采取高防 IP 分配、特殊转发规则配置、精细化防护策略添加等手段,实现隐藏用户源站 IP 的效果。

    当黑客开始攻击时,所有的攻击量及攻击手段全部被转移至 UCloud 云端高防 IP 站点,该高防站点设置攻击上限为 1T,可轻松实现 300G 的攻击量抵御。最终,成功逼退 A 记黑客组织。

    黑客攻击手段分析

    此次事件并不是个例,在 UCloud 安全中心的监测历史中,DDoS 攻击的发生频率非常高,我们也帮助用户做了不少防御。

    我们注意到,黑客的攻击手段在不断进化,除了常规的的 Syn Flood 攻击、CC 攻击等,近几年更为流行的是反射放大型攻击,也是本次攻击过程中黑客使用较多的一类手段:攻击者只需要付出少量的代价,即可对需要攻击的目标产生巨大的流量,对网络带宽资源、连接资源和计算机资源造成巨大的压力。

    常规 DDoS 攻击的缺点是耗时长且隐蔽度不够,黑客很可能出现伤敌一千、自损八百的情况,而反射放大型攻击则充分实现了四两拨千斤的效果。

    图:反射放大攻击示意

    以 DNS 反射放大型攻击原理为例,网络上有大量的开放 DNS 解析服务器,它们会响应来自任何地址的解析请求。通常发出很小的解析请求长度后,便会收到大量的结果,尤其是查询某一域名所有类型的 DNS 记录时,返回的数据量就更大了。攻击者利用被控制的机器发起伪造的解析请求,然后将放大数倍的解析结果返回给被攻击目标,以此达成反射放大攻击的目的。

    公有云抗 DDoS 指南

    针对公有云 DDoS 防护问题,除了常规的高防服务以外,我们还自研了 Anycast 全球清洗技术,充分利用 UCloud 覆盖全球多地域节点的 BGP 宣告能力及节点间的专线资源,帮助海外公有云用户实现 DDoS 的无忧防护。

    Anycast 清洗技术主要针对部分海外业务场景中网络复杂、基础设施保障不稳定的情况,如下图,基于强大的检测集群、清洗集群及上联带宽资源,AnycastClean 可从横向扩充清洗节点的角度完成大流量 DDoS 清洗。

    图:攻击流量被引至法兰克福 /华盛顿 /台北节点分散清洗

    同时 Anycast 清洗能力不设上限,集合海外多个地域节点的清洗能力,可帮助用户全力进行抗攻击保障。换句话讲,AnycastClean 能够将海量集中的攻击源分散至多处 UCloud 海外节点,将原本巨大的攻击流一一化解,从而达到以柔克刚的效果

    结语

    在面临黑客 DDoS 攻击和恶意勒索时,相信没有一个公司愿意屈服。事实上这是一场决心和能力的博弈,如果有坚强的决心,加上完善的技术手段、足够的资源和运营经验来应对,来自外部的攻击是可以化解的。UCloud 作为业界领先的云服务商,也一直在完善我们的能力,为客户的业务提供全方位的防护。

    MinQ
        1
    MinQ  
       2020-03-11 15:11:04 +08:00
    广告太硬,咯牙
    server
        2
    server  
       2020-03-11 15:15:33 +08:00
    看着 看着 看着,突然回味,这个硬广
    lqf96
        3
    lqf96  
       2020-03-11 15:19:07 +08:00
    恕我直言,还不是国内电信运营商垄断不能搞 Anycast 防御,国外就一个 cloudflare 的事
    PbCopy111
        4
    PbCopy111  
       2020-03-11 15:20:40 +08:00   ❤️ 5
    出海企业被勒索,起码用 Email 跟英文吧。。。微信这玩意沟通,还不分分钟就结束战斗了?
    就这么几次攻击就完了啊,故事没有高潮,没有爱恨,没有无间道,没有江湖的血雨腥风,不漏腿,不放图,哎。。
    白带着板凳过来了。
    drush
        5
    drush  
       2020-03-11 15:29:16 +08:00
    臭名昭著的国际黑客组织 A 记用微信勒索,,,,你的 A 记是指 Alibaba ?
    xmge
        6
    xmge  
       2020-03-11 15:37:13 +08:00
    额。
    wxxshu
        7
    wxxshu  
    OP
       2020-03-11 15:37:33 +08:00
    @PbCopy111 先邮件再微信的啦……
    lastisee
        8
    lastisee  
       2020-03-11 15:39:41 +08:00
    @drush ali cloud (自带滑稽)
    lovedebug
        9
    lovedebug  
       2020-03-11 15:40:58 +08:00
    @wxxshu 微信直接网警伺候啊~~ 好奇
    mashirozx
        10
    mashirozx  
       2020-03-11 15:44:34 +08:00 via Android
    一定要用微信吗🤣
    spadger
        11
    spadger  
       2020-03-11 15:47:28 +08:00
    看了几段感觉就是很硬的广告了。黑客的流量不花钱么???
    Livid
        12
    Livid  
    MOD
       2020-03-11 15:48:34 +08:00   ❤️ 1
    请不要再把推广软文发到 /go/promotions 以外的节点。

    之前已经向你们留言解释过很多次。

    这个主题会被移动及下沉,你们的账号会被降权。
    justin2018
        13
    justin2018  
       2020-03-11 15:49:30 +08:00
    国际黑客组织 A 记 这是哪个 全名是啥 😅
    isukkaw
        14
    isukkaw  
       2020-03-11 15:50:35 +08:00
    才 300G 峰值就敢来勒索?新来的吧?
    yujiang
        15
    yujiang  
       2020-03-11 15:51:44 +08:00 via Android
    你就把案例搬上来就好了。。。这种科普广告文章还是在知乎更受众点,再加点起伏啥的百万播放量不是问题 /doge
    netChen
        16
    netChen  
       2020-03-11 15:51:52 +08:00
    怎么说呢,还是一楼大佬的话贴心,广告太硬,咯牙
    henvm
        17
    henvm  
       2020-03-11 16:03:09 +08:00
    让我想起了卖高防的机房运营商时不时伪装“DDOS 黑客”来敲诈自己的客户或者同行运营商客户来加钱升级加防或者抢客户。为什么我这么说呢?你做游戏的同行竞争对手攻击你,根本不知道你买了多少防护吧。
    比如你买了 10G 防护,这时候攻击来了,恰当好处攻击刚好超过了 10G,加钱加防护,没过几天又来攻击了,峰值差不多超过 10G,这时候加钱升级 50G,过不了几天又被攻击。最后防护值加到了机房运营商宣称的最高峰值 200G 硬防。然后就没有攻击了。静悄悄的,这时候觉得没有攻击了,下个月把防护降下来不交这么多钱。没过多久又有攻击。
    细品就知道了。
    henvm
        18
    henvm  
       2020-03-11 16:06:24 +08:00
    @isukkaw 有时候不是竞争对手盯上了,是合作商盯上了。你和某机房合作,某机房说他们有 1000G 防护。10G 是免费的。只要合作了,就享受每月要加到 1000G 防护吧,价格不菲哦。
    wxxshu
        19
    wxxshu  
    OP
       2020-03-11 16:13:01 +08:00
    @henvm 老板怎么知道这么多?没经历过的我还真不知道有这样的操作,或者可以看一下这个帖子? https://www.douban.com/group/topic/140880474/?type=rec
    crab
        20
    crab  
       2020-03-11 16:45:38 +08:00
    10 多年前的 sf 黑吃黑就是这样。
    wafm
        21
    wafm  
       2020-03-12 00:08:31 +08:00
    看到微信就假
    Mutoo
        22
    Mutoo  
       2020-03-12 05:26:40 +08:00 via iPhone   ❤️ 1
    累计流量明明是 TB 级的 咋能算成 PB……这是敲诈啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3786 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 10:27 · PVG 18:27 · LAX 02:27 · JFK 05:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.