288G带宽 160万次请求 2000阿里云再遭巨型DDoS攻击
中国IDC圈6月23日报道,阿里云用户遭受多次超大流量DDoS攻击,攻击峰值接近300Gbps。
此次被攻击的阿里云用户多属于电商行业,而之前6月15日也刚刚发生过一次攻击,针对的则是贵金属行业。根据阿里云发来的资料显示,超过200G以上的攻击共有4次,攻击峰值流量288.7Gbps。攻击期间,阿里云云盾系统实现秒级响应,用户业务未受影响。
从攻击类型上来看,超过一半的攻击为UDP Flood,如下图:
攻击过程
在这次对抗过程中,某电商用户遭受的攻击峰值超过了正常时流量的10倍,在10分钟内黑客共发起160多万次web请求。其使用的僵尸网络,肉鸡数量约为2000台。
从17:00开始,该用户一直在遭受大流量攻击:
19:18
攻击者发现大流量攻击无效,转变攻击方式,增加了CC攻击,用户的电商网站收到超过了高于白天10倍以上的HTTP请求,在排除掉用户可能做在线活动的可能性后,阿里云云盾启动了CC攻击应急响应。
攻击者主要攻击手段为不断用肉鸡请求首页的图片和静态页面,针对这种攻击特点,云盾立即收紧CC防御策略,拦截掉第一波攻击。
19:20
攻击者开始调整攻击行为,改变攻击的URL,同时还伪造了http请求的字段试图绕过防御系统的策略。
19:23
由于攻击无果,攻击者继续改变攻击方式,并增加了肉鸡数量,肉鸡数从开始的1000台,增加到了2000台左右。云盾采取相应防护策略,使攻击效果如泥牛入海。
19:28
在继续变化攻击的url之后,仍无效果。攻击者无奈放弃,攻击停止。
从攻防对抗过程可以看出,攻击者始终在关注攻击效果,并及时调整攻击策略,这种现象颇具代表性。重要的是,被攻击的电商网站是阿里云DDoS高防专家服务用户,事件中用户自己并没有参与攻防,对抗过程完全由阿里云云盾安全运营团队操作。
攻击源
本次攻击共捕获到2000左右的肉鸡,其中来源主要是国内,分布范围非常广泛。
总结
这是继6月15日阿里云贵金属行业用户遭DDoS后,又一起针对特定行业用户的集体DDoS攻击事件。在6.15期间,数十个阿里云贵金属用户遭到不明黑客的攻击,最大流量约50Gbps(相关阅读:一次对阿里云贵金属行业客户的DDoS攻击)。
安全牛认为,短短几天之内发生了两起针对行业进行的集体攻击,有可能是一种DDoS攻击从单一攻击转向产业化和集团式作战的趋势,值得业内人士的关注。另外,去年圣诞节前,阿里云成功抵御互联网史上最大的一次DDoS攻击。攻击时长14个小时,峰值流量达到每秒453.8Gb。阿里云已经经过多次的大规模DDoS攻击考验,表现令人满意。
另据最新消息,阿里云昨天正式面向全行业推出高防DDoS专家服务。该服务通过结合用户实际需求定制防御策略,能在7×24小时最大限度保障用户业务在DDoS持续攻击状态下的可用性。