如何对抗千亿级别网络黑产攻击?
浩瀚无垠的太空中,璀璨的星河带给了人们无穷的想象空间,经推论,肉眼所能观察到的物质仅为4%,占比超过96%的暗物质和暗能量从来未曾出现在我们的视野;巧合的是,在包罗万象的网络世界,我们所能浏览的所有表层网络如新闻网站、论坛等内容也仅占全部互联网的4%左右,96%的内容隐藏在“暗网”深处,成为迷一样的存在。那里,也是网络黑产发起攻击的源头。
近年来,随着云计算、物联网等的技术快速发展,资源的获取更加便捷简单,也让网络黑产的攻击门槛愈发降低,据测算,网络黑产从业人员已超过150万,市场规模达到千亿级别,如何有效应对愈演愈烈的黑产攻击,成为各大企业必须应对的共同难题。在6月28日举办的全球云计算和域名大会上,金山云安珀实验室负责人李泷从实践出发,讲述了金山云在云时代与网络黑产的对抗攻防,并分享了通过溯源追踪成功破获一起控制75万台“肉鸡”的黑产团伙的案例。
金山云安珀实验室负责人李泷发表“云时代的网络黑产对抗”演讲
四大维度全方位对抗网络黑产
黑客渗透、DDoS攻击、刷流量、薅羊毛这些近年来的热门关键词,都指向一个共同的对象——网络黑产。当一台主机或一个应用暴露在外网后,会遭受数不清的攻击尝试,稍有不慎,即可能成为黑产控制的肉鸡。金山云基于对SSH爆破攻击的监控数据显示,在短短24小时之内,总共有高达243万次攻击尝试,黑产攻击之猖獗,可见一斑。
“云计算时代的黑产对抗与传统模式是完全不同的,对此,金山云从漏洞对抗、业务安全对抗、虚拟化安全对抗和DDoS对抗四个维度来进行布局,提供了完善的产品和解决方案,来帮助用户快速建立自己的安全体系,提升自身安全水平,”李泷讲到。
在漏洞对抗方面,金山云通过第一时间提供系统补丁、更新yum源等服务,并通过帮助用户建立自定义安全组拒绝非信任来源的访问请求,提醒用户主动开启安全扫描监测自身业务漏洞等手段,有效杜绝因为系统漏洞带来的黑产入侵。
在业务安全对抗方面,主要包括恶意刷单对抗和帐号安全防护。恶意刷单也就是俗称的薅羊毛,企业用来回馈用户的奖品、优惠券、奖金等,一旦被黑产盯上,将造成巨大损失,金山云通过帮助用户接入API并及时进行防御策略,提供包括威胁情报预警、手机黑卡识别等服务,来进行防御。帐号安全防护上,通过提供IAM、异地登陆提醒、多因素认证等,并结合后台的风控API进行实时的识别和拦截,保证帐号不被劫持。
在虚拟化安全对抗方面,金山云通过主机层隔离、租户内网络隔离、租户间网络隔、主机监控和网络监控等方式,来有效应对虚拟化安全问题。以网络监控为例,通过智能化监控系统,可以实时查看网络占用情况,帮助用户判断机器是否存在异常,比如被入侵后植入木马,可能造成主机或网络的异常,从而及时应对。
两种手段抵御低1.2Tbps DDoS攻击
近年来,DDoS攻击势头愈演愈烈,除了攻击类型更加多样化,攻击流量更是成指数型增长,不同于过往几个G或者几十G的常规攻击规模,最新的数据显示,DDoS攻击最高已经达到T级别,在与黑产对抗过程中,金山云高防节点曾遭遇最高1.2Tbps的超大规模流量攻击。面向日益严重的DDoS攻击,金山云通过被动防御和主动防御两种手段,帮助用户化解因为DDoS攻击给业务带来的不良影响。
在被动防御方面,通过流量清洗和高防IP来进行应对。流量清洗主要通过防御算法将识别为攻击流量的请求过滤掉,将过滤后的流量转发给后端服务器;高防IP则是利用高防节点足够大的带宽,保证入口不被占满,同时借助流量清洗,将真实流量回源。
在主动防御方面,金山云通过主动出击,综合运用溯源追踪、DDoS预警等手段,来提前作出应对策略。金山云安珀实验室数月前破获一起利用大规模僵尸网络进行大流量DDoS攻击的有组织活动,该组织掌握的肉鸡最多高达75万台,通过综合运用多种技术手段,成功发现了黑客使用的控制服务器,及时进行了追踪防护,有效避免了损失的发生。
此外,金山云也在积极进行新型DDoS防御的探索实践。利用多种渠道取得大量的僵尸网络木马样本,然后对样本进行逆向分析,通过培养伪木马的方式加入僵尸网络中,当C&C控制端下发控制指令时,伪木马端可以实时报警。同样,也可以在报警时联动其他被动防御系统,进行相应的清洗或拦截等操作。“目前我们已掌握了十个左右流行的僵尸网络家族,并建立起了攻击预警体系,希望可以为打击网络黑产做一些有意义的探索和实践,”李泷讲到。
-FIN-