UEWAF成功防御QPS超200万的CC攻击

百家 作者:Ucloud 2017-07-12 10:47:28


网络空间的攻防是没有硝烟的战场。作为UCloud自主研发的一款云端企业级Web防护服务产品,UEWAF基于云安全大数据能力,可以过滤海量恶意访问,避免网站资产数据泄露,保障网站的安全性与可用性。

近日,UEWAF成功防御黑客针对UCloud云上某游戏客户发起的超大规模CC(Challenge Collapsar)攻击。攻击者从7月7日20点11分左右开始发起攻击,攻击峰值出现在20点24分左右,QPS(每秒查询率)超过200万。

(QPS 趋势图)

7月7日20点15分,UEWAF安全运营团队接到客户紧急求助,客户反馈其多个域名遭到CC攻击,业务已全部中断。

UEWAF安全运营团队立即启动紧急预案。但鉴于攻击规模较大,已经触发过UEWAF集群自动扩容,为保障集群上其他客户的业务不受影响,所以UEWAF安全运营团队第一时间将该客户流量牵引至Anti CC隔离集群。

通过分析,发现受攻击的域名主要是作为API(应用程序编程接口)为手机客户端提供服务,常规的防御方式无法在短时间内将攻击流量压制,随后UEWAF安全运营团队为客户启用紧急防御模式。在该模式下,UEWAF会结合使用UCloud安全中心积累多年的IP信誉库和机器学习等技术,计算来源IP的恶意度,迅速将被黑客利用的绝大部分“肉鸡”IP封杀在网络层。

截至当日20点25分,黑客“肉鸡”已被全部封杀,QPS迅速回落,客户业务恢复正常。攻击者因没有更多可以利用的“肉鸡”,只能偃旗息鼓,鸣金收兵。

通过大数据安全分析,本次攻击的特征如下:

一. 攻击针对游戏客户端API接口;

二. 黑客做了充足准备,分析了该游戏客户端的业务逻辑,攻击请求与客户端真实请求相似度极高。

基于以上特征,黑客能高度模仿真实用户的行为,这对企业的防御手段提出了巨大挑战。传统的CC防御将重心放到了伪装网民(主要是浏览器)访问的识别上,但对于API接口来说,正常的访问请求很大可能不是来自浏览器,而是来自机器。因此,要从这些机器中识别出哪些是真正的用户、哪些是黑客控制的“肉鸡”成为难题。

UEWAF结合企业业务类型、访问频率以及基于机器学习的行为分析技术,实现了高效的源站保护模型,在创新信息熵检测机制与精准IP信誉库的协助下,大幅提升了攻击来源识别的准确率,可有效防御针对API接口的CC攻击。

UEWAF基于反向代理实现了“替身式”防御,攻击流量全部在UEWAF Worker节点上拦截掉,不允许攻击流量透传到源站。为了实现高可用,内部采用L4 switch报文转发,通过多个节点建立集群去分担流量,保证了服务的高可用性和拓展的灵活性。

在集群整体性能不足或某个节点故障时,UEWAF可自动屏蔽故障节点并开启备用节点,保障业务继续开展。同时,针对日益频繁的CC攻击,UEWAF特别建立了Anti CC隔离集群,在应对规模较大的CC攻击时,遭受攻击的域名流量会被牵引至Anti CC隔离集群,避免造成其他正常客户业务的波动。

(UEWAF 高可用架构示意图)

在CC攻击防御中,客户源站为第一保护对象,UEWAF会首先保证源站业务正常。其次在识别和清洗攻击流量过程中,会对部分攻击IP实施网络层封堵,以保证UEWAF Worker节点有足够的端口及带宽为正常用户提供服务。在网络层IP封堵实现上,UEWAF定制了Linux内核,能够以极低的性能损失为代价封堵百万级别的IP地址,保障UEWAF Worker节点的性能。

当前,CC攻击已经成为游戏、金融、电商等行业常用的攻击手段。为保证线上业务系统的正常运行,企业应高度重视,加强安全防范措施。UEWAF作为UCloud云安全解决方案-天罡旗下核心产品,基于UCloud云平台强大的计算资源及自身领先的技术能力,在用户业务遭遇CC攻击或者业务突发时,能够进行自身服务的快速扩展,不存在性能瓶颈等问题。与此同时,利用强大的云端情报收集能力并结合其他情报厂商的信息,UEWAF可以过滤海量的恶意访问,守护网络安全。





点击“阅读原文”,了解更多UEWAF产品内容。


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接