全球銀行網站成黑客主攻目标 阿裡雲提供安全防禦應急方案

近日，阿裡雲監控發現，匿名者（Anonymous）組織成員正在發起針對全球中央銀行網站的攻擊行動，截止目前，國内有超過2家以上的重要網站被攻擊，攻擊特征主要為DDoS攻擊和CC攻擊。

此次事件中，阿裡雲通過威脅情報發現，該攻擊的主要特征是DDoS和CC攻擊，目前，攻擊已經造成多家網站不間斷的無法通路，阿裡雲安全專家分析本次攻擊有5大特征：

1. 攻擊時間範圍在2018年11月12日淩晨6點13分到2018年12月14日，根據目前的活動情況來看，已經攻擊了1月之久；
2. 分析其中一次攻擊，攻擊請求15423249，提取到攻擊源IP 1439個，攻擊IP分散，攻擊源主要分布在境内，攻擊源分布如下圖：

   

3. 大量資源型檔案（zip、apk、js、png）請求耗盡使用者帶寬資源，使用随機參數繞過防護裝置頻率檢測、cdn裝置緩存，附圖：

   

4. 攻擊者會僞造user-agent、referer字段僞裝攻擊流量；
5. 持續性攻擊，部分受害使用者持續半個月遭受攻擊，攻擊者會根據防護政策變換攻擊手法，具有較強對抗性。

應急方案： DDoS高防IP+WAF 安全防禦應急體系建構

阿裡雲應對此次高危應急事件，采用的是基于DDoS高防IP和Web應用防火牆建構的防禦體系，方案采用域名解析的方式接入，可以适用于雲上系統方案，同時也适用于雲下環境（非阿裡雲）的防護。        

DDoS高防IP是針對網際網路伺服器在遭受大流量的DDoS攻擊後導緻服務不可用的情況下，進行有效抵禦DDoS攻擊的SaaS安全服務，確定源站的穩定可靠。

Web應用防火牆是基于雲安全大資料能力實作，通過防禦SQL注入、XSS跨站腳本、常見Web伺服器插件漏洞、木馬上傳、非授權核心資源通路等OWASP常見攻擊，過濾海量惡意通路，避免網站資産資料洩露，保障網站的安全與可用性。           

雲盾DDoS攻擊防禦特點和優勢：

• 全面覆寫常見DDoS攻擊類型

雲盾DDoS清洗系統可幫助使用者抵禦各類基于網絡層、傳輸層及應用層的各種 DDoS 攻擊(包括 CC、SYN Flood、UDP Flood、UDPDNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood 等所有 DDoS 攻擊方式)，并能實時短信通知使用者網站防禦狀态。

• 快速自動響應，5秒内進入防護狀态

雲盾DDoS清洗系統采用全球領先的檢測和防護技術，可以在5秒鐘内完成攻擊發現、流量牽引和流量清洗全部動作，大大減少了網絡抖動現象。在防護觸發條件上不僅僅依賴流量門檻值，同時還對網絡行為的統計判斷，做到精準識别DDoS攻擊，保障了在遇到DDoS攻擊時客戶業務的可用性。

• 高彈性、高備援的DDoS防禦能力

雲盾DDoS清洗系統每個最小單元支援10Gbps的攻擊流量過濾。得益于雲計算架構的高彈性和大備援特點，DDoS攻擊防禦系統可在雲環境中無縫擴容，實作DDoS攻擊防禦能力的高彈性。

• 雙向防護，避免雲資源被濫用

雲盾DDoS攻擊防禦系統不僅僅能防護來自于雲外的DDoS攻擊，同時還能及時發現雲内資源被濫用的非法行為。一旦發現雲内有伺服器被利用向外發起DDoS攻擊，雲網絡流量監控系統會與主機安全防護系統關聯，限制被濫用的雲伺服器的網絡通路行為，并産生告警，實作對内部主機的有效管控。

雲盾Web應用防火牆特點和優勢：

• 支援協定

支援對網站的HTTP、HTTPS、HTTP2、WebSocket流量進行Web安全防護。

• 常見Web應用攻擊防護

防禦OWASP 常見威脅：SQL注入、XSS跨站、Webshell上傳、後門隔離保護、指令注入、非法HTTP協定請求、常見Web伺服器漏洞攻擊、核心檔案非授權通路、路徑穿越、掃描防護等。

網站隐身：不對攻擊者暴露站點位址、避免繞過Web應用防火牆直接攻擊。0day更新檔定期及時更新：防護規則與淘寶同步，及時更新最新漏洞更新檔、第一時間全球同步下發最新更新檔，對網站進行安全防護。

友好觀察模式：針對網站新上線的業務開啟觀察模式、對于比對中防護規則的疑似攻擊隻告警不阻斷、友善統計業務誤報狀況。

• CC惡意攻擊防護

對單一源IP的通路頻率進行控制、重定向跳轉驗證、人機識别等。針對海量慢速請求攻擊、根據統計響應碼及URL請求分布、異常Referer及User-Agent特征識别，結合網站精準防護規則進行綜合防護。充分利用阿裡雲大資料安全優勢、建立威脅情報與可信通路分析模型、快速識别惡意流量。

• 精準通路控制

提供友好的配置控制台界面，支援IP、URL、Referer、User-Agent等HTTP常見字段的條件組合，打造強大的精準通路控制政策，可支援盜鍊防護、網站背景保護等防護場景。與Web常見攻擊防護、CC防護等安全子產品打造多層綜合保護機制、輕松依據需求，識别可信與惡意流量。

• 虛拟更新檔

在Web應用漏洞更新檔釋出和修複之前，通過調整Web防護政策實作快速防護。

• 攻擊事件管理

支援對攻擊事件、攻擊流量、攻擊規模的集中管理統計。

阿裡雲安全專家建議：

此次攻擊的複雜度和對抗性都比較強，客戶應對的時候需要選擇安全服務廠商和服務人員：

1. 綜上，阿裡雲安全防護産品可以通過CC攻擊防禦功能識别和攔截這類攻擊，雲端優勢可以減少惡意流量回源。
2. 阿裡雲提供海量的威脅情報庫可以實作協同防禦。
3. 阿裡雲安全工程師目前提供7*24小時應急服務分析攻擊變種，更新防護政策。

更多資訊，可以聯系您的阿裡雲客戶經理

或者撥打我們服務熱線：95187-1