网络空间的攻防是没有硝烟的战场。作为UCloud自主研发的一款云端企业级Web防护服务产品,UEWAF基于云安全大数据能力,可以过滤海量恶意访问,避免网站资产数据泄露,保障网站的安全性与可用性。
近日,UEWAF成功防御黑客针对UCloud云上某游戏客户发起的超大规模CC(Challenge Collapsar)攻击。攻击者从7月7日20点11分左右开始发起攻击,攻击峰值出现在20点24分左右,QPS(每秒查询率)超过200万。
(QPS 趋势图)
7月7日20点15分,UEWAF安全运营团队接到客户紧急求助,客户反馈其多个域名遭到CC攻击,业务已全部中断。
通过分析,发现受攻击的域名主要是作为API(应用程序编程接口)为手机客户端提供服务,常规的防御方式无法在短时间内将攻击流量压制,随后UEWAF安全运营团队为客户启用紧急防御模式。在该模式下,UEWAF会结合使用UCloud安全中心积累多年的IP信誉库和机器学习等技术,计算来源IP的恶意度,迅速将被黑客利用的绝大部分“肉鸡”IP封杀在网络层。
通过大数据安全分析,本次攻击的特征如下:
(1)攻击针对游戏客户端API接口;
(2)黑客做了充足准备,分析了该游戏客户端的业务逻辑,攻击请求与客户端真实请求相似度极高。
基于以上特征,黑客能高度模仿真实用户的行为,这对企业的防御手段提出了巨大挑战。传统的CC防御将重心放到了伪装网民(主要是浏览器)访问的识别上,但对于API接口来说,正常的访问请求很大可能不是来自浏览器,而是来自机器。因此,要从这些机器中识别出哪些是真正的用户、哪些是黑客控制的“肉鸡”成为难题。
UEWAF基于反向代理实现了“替身式”防御,攻击流量全部在UEWAF Worker节点上拦截掉,不允许攻击流量透传到源站。为了实现高可用,内部采用L4 switch报文转发,通过多个节点建立集群去分担流量,保证了服务的高可用性和拓展的灵活性。
(UEWAF高可用架构示意图)
在CC攻击防御中,客户源站为第一保护对象,UEWAF会首先保证源站业务正常。其次在识别和清洗攻击流量过程中,会对部分攻击IP实施网络层封堵,以保证UEWAF Worker节点有足够的端口及带宽为正常用户提供服务。在网络层IP封堵实现上,UEWAF定制了Linux内核,能够以极低的性能损失为代价封堵百万级别的IP地址,保障UEWAF Worker节点的性能。
当前,CC攻击已经成为游戏、金融、电商等行业常用的攻击手段。为保证线上业务系统的正常运行,企业应高度重视,加强安全防范措施。UEWAF作为UCloud云安全解决方案-天罡旗下核心产品,基于UCloud云平台强大的计算资源及自身领先的技术能力,在用户业务遭遇CC攻击或者业务突发时,能够进行自身服务的快速扩展,不存在性能瓶颈等问题。与此同时,利用强大的云端情报收集能力并结合其他情报厂商的信息,UEWAF可以过滤海量的恶意访问,守护网络安全。
2933
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
