從2017年6月15日起，“無敵艦隊”組織向國內(nèi)多家證券金融公司、互聯(lián)網(wǎng)金融公司發(fā)起DDoS比特幣勒索，現(xiàn)已有超過6家金融證券類企業(yè)遭受DDoS攻擊勒索，且其中4家已經(jīng)遭受了大規(guī)模的DDoS攻擊，攻擊流量從2G到20G不等，對企業(yè)網(wǎng)絡(luò)產(chǎn)生了非常嚴重的影響。而“無敵艦隊”組織聲稱如果企業(yè)不按郵件要求定時支付比特幣，將進行持續(xù)的大規(guī)模流量攻擊（該組織聲稱攻擊流量可超過1T），并逐步提高勒索比特幣數(shù)額。

這其實并不是該組織第一次行動了，早在2015年12月，“無敵艦隊（Armada Collective）”就開始對中國境內(nèi)的互聯(lián)網(wǎng)企業(yè)實施同樣手法的DDoS攻擊的勒索。

本次事件收到的勒索郵件內(nèi)容如下：

二、DDOS防護應(yīng)急手段

針對本次DDoS攻擊事件，下文就目前市場上主流的DDoS防護應(yīng)急手段，按其差異性和適用場景做了簡要對比。

常規(guī)的DDoS防護應(yīng)急方式因其選擇的引流技術(shù)差別而在實現(xiàn)上有差別的差異性，主要分成以下三種：

1、當?shù)谼DoS防護設(shè)備；

2、運營商清洗辦事；

3、云清洗辦事。

三種類型的DDoS防護應(yīng)急手段引流方式的原理：

了解引流技術(shù)原理后，簡要闡述各種方式在DDoS應(yīng)急上的優(yōu)劣：

當?shù)谼DoS防護設(shè)備：

當?shù)鼗雷o設(shè)備，增強了用戶監(jiān)控DDoS監(jiān)控能力的同時做到了業(yè)務(wù)安適可控，且設(shè)備具備高度可定制化的策略和辦事，更加適合通過分析攻擊報文，定制策略應(yīng)對多樣化的、針對性的DDoS攻擊類型；但當流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬時，需要借助運營商清洗辦事或者云清洗辦事來完成攻擊流量的清洗。

運營商清洗辦事：

運營商采購安適廠家的DDoS防護設(shè)備并安排在城域網(wǎng)，通過路由方式引流，和Cname引流方式比擬其生效時間更快，運營商通過提清洗辦事方式幫手企業(yè)用戶解決帶寬消耗性的拒絕辦事攻擊；但是運營商清洗辦事多是基于Flow方式檢測DDoS攻擊，且策略的顆粒度較粗，因此針對低流量特征的DDoS攻擊類型檢測效果往往不夠抱負，此外部分攻擊類型受限于防護算法往往會有透傳的攻擊報文，此時對于企業(yè)用戶還需要借助當?shù)谼DoS防護設(shè)備，實現(xiàn)二級清洗。

云清洗辦事：

云清洗辦事使用場景較窄，當使用云清洗辦事做DDoS應(yīng)急時，為了解決攻擊者直接向站點真實IP地址發(fā)起攻擊而繞過了云清洗中心的問題，通常情況下還需要企業(yè)用戶配合做業(yè)務(wù)地址更換、Cname引流等操作配置，尤其是業(yè)務(wù)地址更換導致的實際變換過程可能會出現(xiàn)不能落地的情況。

另一方面對于HTTPS Flood防御，當前云清洗辦事需要用戶上傳HTTPS業(yè)務(wù)私鑰證書，可操作性不強。此外業(yè)務(wù)流量導入到云平臺，對業(yè)務(wù)數(shù)據(jù)安適性也提出了挑戰(zhàn)。

對比了三種方式的差別和適用場景，我們會發(fā)現(xiàn)單一解決方案不能完成所有DDoS攻擊清洗，保舉企業(yè)用戶在實際情況下可以組合當?shù)谼DoS防護設(shè)備+運營商清洗辦事或者當?shù)谼DoS防護設(shè)備+云清洗辦事，實現(xiàn)分層清洗的效果。針對金融行業(yè)，更保舉的組合方案是當?shù)谼DoS防護設(shè)備+運營商清洗辦事。對于選擇云清洗辦事的用戶，如果只是在DDoS攻擊發(fā)生時才選擇將流量導入到云清洗平臺，需要做好備用業(yè)務(wù)地址的更換預配置（新業(yè)務(wù)地址不成泄露，不然一旦被攻擊者獲悉將會失去其意義）。

三、DDOS防護實踐總結(jié)

借鑒DDoS攻防工程師總結(jié)的經(jīng)驗，企業(yè)客戶在DDoS防護體系建設(shè)上通常需要開展的工作有：

應(yīng)用系統(tǒng)開發(fā)過程中持續(xù)消除性能瓶頸，提升性能

通過各類優(yōu)化技術(shù)，提升應(yīng)用系統(tǒng)的并發(fā)、新建以及數(shù)據(jù)庫查詢等能力，減少應(yīng)用型DDOS攻擊類型的潛在危害；

按期掃描和加固自身業(yè)務(wù)設(shè)備

按期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點及主機，清查可能存在的安適漏洞和不規(guī)范的安適配置，對新出現(xiàn)的漏洞及時進行清理，對于需要加強安適配置的參數(shù)進行加固；

確保資源冗余，提升耐打能力

建立多節(jié)點負載均衡，配備多線路高帶寬，配備強大的運算能力，借此“吸收”DDoS攻擊；

辦事最小化，關(guān)停不須要的辦事和端口

關(guān)停不須要的辦事和端口，實現(xiàn)辦事最小化，例如WWW辦事器只開放80而將其它所有端口關(guān)閉或在防火墻上做阻止策略?？纱蟠鬁p少被與辦事不相關(guān)的攻擊所影響的概率；

選擇專業(yè)的產(chǎn)品和辦事

三分產(chǎn)品技術(shù)，七分設(shè)計辦事，除了防護產(chǎn)品自己的功能、性能、不變性，易用性等方面，還需要考慮防護產(chǎn)品廠家的技術(shù)實力，辦事和支持能力，應(yīng)急經(jīng)驗等；

多層監(jiān)控、縱深防御