每個網站都會受到網絡攻擊,區別在于你如何提前計劃以及你的基礎設施如何應對。
我們很難知道網絡攻擊響應和恢復的真實情況,因為企業都不愿意透露詳細信息,畢竟這可能帶來負面的財務后果。然而,如果企業不分享自己的故事,其他企業可能會盲目地走上相同的道路。企業應該分享自己的真實經驗,并成為提高威脅情報的貢獻者。
我們是為中型和大型企業提供Web內容管理的基于SaaS的供應商。我們的客戶在全球范圍管理著醫藥和金融服務等行業數百甚至數千個網站。本文中的客戶不愿意透露真實名字,他們是一家大型公共醫療服務機構,專注于幫助供應商提高財務和運營業績。該公司的客戶包括數千家醫院和醫療服務提供者,管理著數十億沒有的開支。
該公司遭受的DDoS攻擊的規模非常大,在攻擊高峰期,8600萬同時在線的用戶從全球10萬臺主機點擊器網站。在攻擊39小時后,該公司成功安裝了防御措施。下面讓我們看看這個攻擊過程。
初始攻擊向量
在該公司年度會議的前夕,我們收到了一個令人不安的警報。該公司的Web服務器在接收巨量的流量,該公司是內容和分析SaaS提供商,這種流量可能會顯著影響服務可用性及該公司的聲譽。對此,時間非常緊迫。
在初始攻擊向量方面:
· 所有請求都是100%合法的網址,所以我們不能輕易地過濾掉惡意流量
· 攻擊來自世界各地,包括朝鮮、愛沙尼亞、立陶宛、中國、俄羅斯和南美
· 其中60%的流量來自美國內部
· 該攻擊取消引用DNS,直接攻擊IP地址
通過進入到亞馬遜的Route 53,重新進行一些調整以及迅速切斷到這些IP地址的流量,我們能夠成功抵御這些初始攻擊向量。一切都恢復正常,我們如釋重負,但事實證明這只是第一波攻擊,接下來才是真正的攻擊。
那天晚上,攻擊者又卷土重來,通過DNS名稱來攻擊網站,這意味著我們不能使用之前采用的相同的IP封鎖做法。流量再次大幅度增加。
在這樣的時刻你會問自己這樣的問題,“我們是等死,還是加強防御?”隨后我們與客戶首席信息官進行了交談,我們決定聯手加強防御。作為SaaS公司,我們必須提供持續的可靠的服務,這關系到我們的聲譽。我們同意與客戶共同分擔成本(這可能是幾萬美元)來對抗攻擊。
面對第二波攻擊,我們意識到我們可以立即部署一些緩解措施:
窗體底端
* 這個公司只有美國客戶,但很多流量來自國外。我們迅速部署了一些防火墻規則,只允許美國的流量,這立即阻止了40%的流量。
* 我們在AWS Route 53配置背后插入了Web應用防火墻,并調整了一些HA代理服務器,它會為FBI來收集大量日志信息以事后進行分析。
* 第三,我們特意打破了我們的自動縮放配置。自動縮放具有擴展和縮小的觸發器,我們改變了這個觸發器,讓縮小觸發器比擴展觸發器更高。這意味著隨著更多的流量進來,系統將適當地擴展,但永遠不會達到縮小的閾值。其結果是,每個實例都將永久留在服務中,完整保留其日志信息,可提供給FBI。
此時已經是凌晨1點鐘,“軍備競賽”已經開始。
DDoS攻擊第二天
我們的攻擊者已經在擴展,亞馬遜云計算服務也在擴展,而攻擊者又擴展一些,AWS也擴展一些。這一直持續到第二天。我們向客戶的董事會提供每小時更新。
面對這個DDoS攻擊,我們有18個非常大型的計算密集型HA代理服務器,以及約40臺Web服務器。Web服務器群非常大,盡管我們已經排除了非美國的流量部分,還有來自美國內部的60%的合法網址,其中大部分都在訪問無法被緩存的動態服務。我們的Web服務器群部署在HA代理防火墻/負載均衡器配置背后,這又位于CloudFront(AWS全球分布式內容分發網絡)背后,其本身部署在Route 53(AWS的全球冗余DNS平臺)背后。
大約到了晚上7點鐘,事情有所轉變。我們繼續擴展,而攻擊者并沒有再擴大規模。此時,我們正維持來自全球10萬多臺主機的8600萬并發連接。我們對流量進行了測量,震驚地發現,我們在通過AWS基礎設施每秒處理20千兆持續流量。這相當于2014年DDoS攻擊中觀察到的行業中值的40倍。
攻擊者最終放棄了攻擊。最后,該公司的首席信息官告訴我們,如果他們在自己的數據中心托管該網站,他們會在攻擊的8小時候就無法響應。對于成功應對這個攻擊長達36小時,在亞馬遜云服務的總成本不到1500美元。
如何應對DDoS攻擊
我們成功抵御了這次攻擊,因為我們提前有所準備,但這樣的經歷讓我們更加了解如何應對大規模DDoS攻擊。下面是保護你的數據中心和企業網站的一些做法:
1. 設計、配置和測試你的基礎設施來抵御DDoS攻擊。利用托管服務提供商的知識以及他們的協助來設置這些測試。
2. 知道你環境中的正常情況是什么樣,當不正常時設置報警。
3. 對于面向公眾的域名,在內部域使用其別名。這將讓你非常迅速地做出反應,實時做出DNS變更,而不需要依賴第三方服務提供商。
4. 了解在可能有挑戰性的情況中如何有效管理DNS變化。
5. 對于來自數百個攻擊源的大量多線程請求(以快速耗盡服務器資源),應該進行流量測試。每個測試運行至少三個小時以維持你的響應時間,然后測試之間保持一定的時間。在進行這些測試之前,應獲得明確的許可,因為這可能造成服務的終止或取消。
6. 在構建自動擴展配置時,不要使用CPU負載作為指標。DDoS的最好證據是入站HTTP請求數量的增加,所以最好設置的警報是“進入網絡”觸發。
7. 快速擴展,但緩慢縮小,擴展和縮小的閾值比率應該為4:1或者2:1。這可以讓你快速響應初始攻擊,并減小再次擴展的可能性。
8. 如果使用AWS彈性負載均衡,激活“跨區域負載均衡”選項。這是分配流量的最好選擇,并顯著減少對DNS基礎設施的負載。
作為一個行業,我們應該聯手合作來更好地了解敵人的戰術、技術和程序,以保持領先于壞人。