網絡空間的攻防是沒有硝煙的戰場。作爲UCloud自主研發的一款雲端企業級Web防護服務產品,UEWAF基於雲安全大數據能力,可以過濾海量惡意訪問,避免網站資產數據泄露,保障網站的安全性與可用性。
近日,UEWAF成功防禦黑客針對UCloud雲上某遊戲客戶發起的超大規模CC(Challenge Collapsar)攻擊。攻擊者從7月7日20點11分左右開始發起攻擊,攻擊峯值出現在20點24分左右,QPS(每秒查詢率)超過200萬。
(QPS 趨勢圖)
7月7日20點15分,UEWAF安全運營團隊接到客戶緊急求助,客戶反饋其多個域名遭到CC攻擊,業務已全部中斷。
通過分析,發現受攻擊的域名主要是作爲API(應用程序編程接口)爲手機客戶端提供服務,常規的防禦方式無法在短時間內將攻擊流量壓制,隨後UEWAF安全運營團隊爲客戶啓用緊急防禦模式。在該模式下,UEWAF會結合使用UCloud安全中心積累多年的IP信譽庫和機器學習等技術,計算來源IP的惡意度,迅速將被黑客利用的絕大部分“肉雞”IP封殺在網絡層。
通過大數據安全分析,本次攻擊的特徵如下:
(1)攻擊針對遊戲客戶端API接口;
(2)黑客做了充足準備,分析了該遊戲客戶端的業務邏輯,攻擊請求與客戶端真實請求相似度極高。
基於以上特徵,黑客能高度模仿真實用戶的行爲,這對企業的防禦手段提出了巨大挑戰。傳統的CC防禦將重心放到了僞裝網民(主要是瀏覽器)訪問的識別上,但對於API接口來說,正常的訪問請求很大可能不是來自瀏覽器,而是來自機器。因此,要從這些機器中識別出哪些是真正的用戶、哪些是黑客控制的“肉雞”成爲難題。
UEWAF基於反向代理實現了“替身式”防禦,攻擊流量全部在UEWAF Worker節點上攔截掉,不允許攻擊流量透傳到源站。爲了實現高可用,內部採用L4 switch報文轉發,通過多個節點建立集羣去分擔流量,保證了服務的高可用性和拓展的靈活性。
(UEWAF高可用架構示意圖)
在CC攻擊防禦中,客戶源站爲第一保護對象,UEWAF會首先保證源站業務正常。其次在識別和清洗攻擊流量過程中,會對部分攻擊IP實施網絡層封堵,以保證UEWAF Worker節點有足夠的端口及帶寬爲正常用戶提供服務。在網絡層IP封堵實現上,UEWAF定製了Linux內核,能夠以極低的性能損失爲代價封堵百萬級別的IP地址,保障UEWAF Worker節點的性能。
當前,CC攻擊已經成爲遊戲、金融、電商等行業常用的攻擊手段。爲保證線上業務系統的正常運行,企業應高度重視,加強安全防範措施。UEWAF作爲UCloud雲安全解決方案-天罡旗下核心產品,基於UCloud雲平臺強大的計算資源及自身領先的技術能力,在用戶業務遭遇CC攻擊或者業務突發時,能夠進行自身服務的快速擴展,不存在性能瓶頸等問題。與此同時,利用強大的雲端情報收集能力並結合其他情報廠商的信息,UEWAF可以過濾海量的惡意訪問,守護網絡安全。