金融机构被扎心了!黑客“匿名者”发动DDoS攻击
今年可谓多事之秋,勒索病毒纵横全球、英国议会电邮系统遭大规模网络攻击、比特币市场遭大规模网络攻击等等,网络攻击肆虐网络世界,让各行各业甚至私人用户皆人心惶惶。
近日,金融机构不幸再遭新一轮的DDos攻击,全球超过 140 个金融机构深受其害。此次攻击是由黑客组织“匿名者(Anonymous)”发起,代号为Opicarus2017。匿名者组织发起的OpIcarus行动是为了抗议全球金融巨头们的腐败行为。匿名者组织于2016年4月30 日发布黑客宣言称将要对全球金融机构给予沉重打击。
其实早于2015年,“匿名者”曾攻击过多家土耳其银行,破坏用户信用卡交易系统,导致土耳其大量公民无法使用信用卡业务。此外,在2016年曾攻击过香港汇丰银行,希腊银行网站,塞浦路斯、约旦、韩国以及摩纳哥等央视银行,世界各地银行因此陷入瘫痪,银行系统无法正常运行。
匿名者此次攻击,除了保留 DDoS 致使网站瘫痪不可用的前提下,还将针对性的寻找金融机构的数据库注入攻击点,以达到窃取敏感数据的目的,对企业组织数据安全有一定的威胁。
据本次行动公开的工具分析,本次发起的DDoS攻击类型包括:TCP Flood、UDP Flood、HTTP(HTTPS) Flood,同时可能还会有SQL注入等类型的web攻击。
安全舆情监测平台显示,目前有超过9家金融机构已经被黑客进行数据库注入攻击,亚洲开发银行和卡纳塔克邦格莱明银行的数据敏感信息被黑客窃取,此外部分金融机构受到DDoS攻击而导致网站服务不可用,目前攻击正在进行中。
亚洲开发银行被窃取数据
存在数据库注入点的网站
腾正科技-防C盾是一款基于云计算和CDN的网站安全防护的专业产品,通过多地域分布式部署,全面智能的监控系统及多盾联动混合节点防御技术,毫秒级的防御响应时间,高效彻底解决CC攻击带来的安全和响应速度问题,真正达到在岗1分钟,安全60秒的防御效果。旨在为金融,游戏,政府,军工,电商,企业等多种行业,提供专属的安全解决方案。
SYN Flood防护
结合了syn Cookie、syn proxy、safereset、syn重传等算法,并引入了IP信誉机制,当来自某个源IP的第一个syn包到达时,如果该IP的信誉值较高,则采用syncookie算法;而对于信誉值较低的源IP,则基于协议栈行为模式,如果syn包得到验证,则对该连接进入syncookie校验,一旦该IP的连接得到验证则提高其信誉值。
ACK Flood防护
利用对称性判断来分析出是否有攻击存在,所谓对称型判断,就是收包异常大于发包,因为攻击者通常会采用大量ACK包,并且为了提高攻击速度,一般采用内容基本一致的小包发送。这可以作为判断是否发生ACK Flood的依据。
UDP Flood防护
UDP协议与TCP 协议不同,是无连接状态的协议,并且UDP应用协议五花八门,差异极大,因此针对UDP Flood的防护非常困难。其防护要根据具体情况对待:判断包大小,如果是大包攻击则使用防止UDP碎片方法:根据攻击包大小设定包碎片重组大小,通常不小于1500。在极端情况下,可以考虑丢弃所有UDP碎片。攻击端口为业务端口:根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。
ICMP防护
ICMP Flood 的攻击原理和ACK Flood原理类似,属于流量型的攻击方式,也是利用大的流量给服务器带来较大的负载,影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文, 因此ICMP Flood出现的频度较低。其防御方法主要是直接过滤ICMP报文。
Connection Flood防护
Connection Flood是典型的并且非常的有效的利用小流量冲击大带宽网络服务的攻击方式,这种攻击方式目前已经越来越猖獗。这种攻击的原理是利用真实的IP地址向服 务器发起大量的连接,并且建立连接之后很长时间不释放,占用服务器的资源,造成服务器服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无 法响应其他客户所发起的连接。解决方法是:主动清除残余连接;对恶意连接的IP进行封禁;限制每个源IP的连接数;对特定的URL进行防护;反查Proxy后面发起HTTP Get Flood的源。
HTTP Get防护
对是否HTTP Get的判断,要统计到达每个服务器的每秒钟的GET 请求数,如果远远超过正常值,就要对HTTP协议解码,找出HTTP Get及其参数(例如URL等)。然后判断某个GET 请求是来自代理服务器还是恶意请求。并回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求,这样HTTP Get请求就无法到达服务器,达到防护的效果。
相关阅读