不是空头勒索,聚焦真实对抗

从2017年6月15日起,“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发出DDoS攻击比特币勒索邮件。该组织通过收集相关公司的后缀和员工邮箱,采取广撒网的方式发送勒索邮件,威胁客户需在约定的日期向指定的账号支付10比特币,否则的话将进行持续的大流量攻击,并逐步提高勒索比特币数额。

1、狼真的来了吗?

攻击者约定的攻击日期到了,真的会被攻击吗?强者从不报侥幸心理,绿盟科技在6月16日就第一时间发布紧急安全威胁预警通告,帮助国内各大金融企业制定完备且严密的紧急防护措施,只等“无敌舰队”来犯。朋友来了有好酒,若是豺狼来了,迎接它的只有猎枪

初次交锋

随着部分金融机构约定付款日期到来,还真有DDoS攻击如期而至。不过均未能凑效,全部铩羽而归。其中一个金融机构的DDoS真实对抗情况如下:

该金融机构遭受攻击的总流量为9.0GB,峰值为2.3Gbps,大部分为SYN Flood小包攻击,夹带UDP Flood攻击。

攻击分布如下:

其中攻击的流量主要类型为SYN Flood,UDP Flood。

攻击流量抓包截图:

可以看出大部分是SYN Flood小包攻击,并夹杂着DNS反射和分片攻击。需要注意的是,反射攻击在近期的DDoS勒索攻击事件中频频露面。

3、后续应对

敌我双方均已亮剑,前期受挫的“无敌舰队”预计还会有后招。最大的可能预计有三种:提升攻击流量规模(勒索邮件宣称可以到1Tbps); 强化应用层攻击将攻击流量复杂化;调整攻击目标。为了应对后续攻击,绿盟科技将通过组合拳的方式主动迎击:

  • 云端清洗资源+本地ADS实现多层清洗,加大防御纵深;
  • 结合ADS可管理安全服务,绿盟安全攻防专家全程参与监控、运维和攻击响应;
  • 第一波次攻击所产生的IP信誉信息(威胁情报)将用于后续协防,提高清洗效率。

云端清洗资源擅长抵御简单粗暴的大流量攻击,本地ADS具备灵活的自定义防护策略,更加适合抵御有针对性的应用层攻击。两种资源的有效组合,将大流量和应用层攻击轻松化解;ADS可管理安全服务除了可以提供7X24的实时监控和预警,还能通过攻防专家将云端清洗资源和本地清洗资源有机协同起来,最大化利用;威胁情报的合理利用,将提升所有客户的清洗效率或攻击者的攻击成本(攻击者需要更频繁换攻击资源)。

实战是检验实力的唯一标准。此次勒索事件,绿盟科技在DDoS攻击防护方面,将带宽资源(云端清洗)和攻防技术(清洗设备和安全专家)灵活组合,并辅以多项有效手段,让客户手里不仅有猎枪,还有飞机大炮,以及协同作战的智能指挥中心,必能将入侵的豺狼打退。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment