编者按

数字化浪潮蓬勃衰亡,企业面临的平安挑战亦日益严厉。

腾讯平安近期将复盘2022年典型的攻打事件,帮忙企业深刻理解攻打手法和应答措施,欠缺本身平安进攻体系。

本篇是第八期,讲述了某餐饮巨头遭逢黑客多轮次攻打、全国点餐零碎解体后,与腾讯平安并肩作战,在“致命”的48小工夫胜利击退黑客的故事。

“你们看到告警信息了吗?一个云上客户被黑客打了!攻打流量超过了10个G!”

11月30日早晨9:44,腾讯大厦22楼的办公室传来一声大喊。

在线经营事件预警系统第一工夫把事件推送到企业微信,值班的专家Zly急忙摇人,此时UDP攻打的流量曾经达到13229Mbps,触发了业务封堵策略。

零碎通过被攻打的三个IP迅速定位了租户信息,是国内某餐饮巨头——X公司,而被攻打便是X公司的点餐零碎!

一场蓄谋已久的偷袭

“点餐零碎解体的话,X公司作为知名度极高的餐饮巨头,可能很快就会上热搜,所以在攻打产生一小时内是最为要害的。”值班专家Leo急迫地说。

Leo的放心不无道理,从9:44被攻打开始,X公司全国多个餐饮门店便陆续有客人反馈无奈进行线上点餐。不过,在X公司的用户大面积投诉之前,腾讯平安就通过预警系统的安全事件信息迅速告诉了X公司具体的黑客攻击状况及点餐零碎无奈应用的起因,并为客户做紧急解封解决。

与此同时,几个腾讯平安专家也正通过腾讯会议切磋残缺的防护计划。

UDP攻打是近年来黑客罕用的攻击方式,属于DDoS攻打的一种,也被称为UDP洪水攻打。顾名思义,攻击者会利用大量伪造源IP地址的UDP小包,像供水一样冲击服务器,造成指标主机无奈为用户提供服务,甚至导致系统解体,给企业造成无法挽回的经济损失。

而且从攻打手法和趋势剖析,这很可能是一场蓄谋已久的偷袭。

第一,黑客的攻打工夫抉择在早晨九点多,是上班高峰期,此时间段发动攻打,攻打指标和云厂商可能无奈疾速响应。

第二,X公司尽管是餐饮巨头,但线上销售的比例远远低于线下,所以点餐零碎的平安防护是依照最小化准则进行配置的,只接入了根底的WAF防护。黑客可能通过了长时间的试探和摸排,才精准找到这一弱点。

第三,X公司点餐零碎的其余几个IP部署在另外一家云厂商上,也同时蒙受到了UDP攻打,显然黑客目标明确——搞垮X公司的点餐零碎。

黑客来势汹汹,进攻必须争分夺秒。在短短十几分钟的会议上,几位腾讯平安专家依据攻打数据分析报告,制订出了残缺的防护计划,第一步先接入腾讯DDoS高防包。X公司的平安运维团队也壁垒森严、疾速响应,在早晨22:05就实现了腾讯DDoS高防包的接入,业务拜访的QPS逐步恢复正常。

腾讯DDoS高防包是一款基于腾讯二十多年抗DDoS的成功实践开发的产品,具备业内当先的T级超大防护带宽、反对弹性扩容,并且具备当先的流量荡涤能力,成功率超过99.995%。接入腾讯DDoS高防包后,X公司的点餐零碎就像筑起了一座大坝,无效拦住了攻打的流量洪水,同时又可能保障失常用户的拜访流量。

从攻打产生到接入进攻,在单方的高效配合之下,只花了近20分钟。

预判了黑客的预判

第一波攻打胜利拦挡后,Dary和Leo并没有放松警觉,“目前的攻打流量可能只是个爬坡流量,是黑客大举进攻前的‘开胃菜’,他们必定还有后手,应该还会发动更大流量的UDP攻打,或者其余类型的攻打……”Dary判断。

对于蓄谋已久的偷袭,防护策略须要更加齐备。Dary猜想黑客后续可能采纳CC攻打和BOT流量攻打,于是胜利拦挡第一波攻打后,在防护计划中补充了WAF的CC策略及WAF-BOT的防护,为X公司建设起了四到七层的立体化DDoS防护计划。因为不分明黑客的实力以及实在用意,为了帮忙客户节省成本,优先配置了轻量版的计划。

防护配置实现后,已是凌晨1点多了。“没啥问题了,大家能够安心劳动了。”Dary对X公司的平安运维人员说,“DDoS高防包的接入就是一个转折点,UDP攻打曾经防住了,黑客无论发动多少波、多大量的UDP攻打,咱们的DDoS高防包都能抵挡。后续的防护就是依据攻打的状态和特色做了一个防护策略适配性的扭转。”

第二天(12月1日)早上7点,正如Dary的预判,监测平台显示,黑客对其中一个IP开展了超大量级的流量攻打,攻打峰值超过了300Gbps。显然,黑客的攻打目的性更强,开始集中火力攻打一个指标。


(腾讯云DDoS流量荡涤成果比照图)

不仅如此,黑客还发动了CC攻打和BOT流量攻打。依据腾讯云WAF的剖析数据,两天内拜访日志2.65亿条,攻打日志就达2300多万条,有超过177万个IP对网站进行了拜访,其中的72万个IP对网站发动了攻打。

腾讯云WAF具备云原生弹性伸缩的个性,面对激增的攻打流量能够实现秒级扩容,X公司的轻量版计划也疾速降级了配置,胜利防住了黑客发动的第二轮攻打。

精准的进攻离不开精准的预判,“这种简单攻打可能对于X公司来说是第一次遇见,然而咱们曾经经验过很屡次了,咱们帮忙很多家批发企业胜利反抗了黑灰产的攻打,积攒了丰盛的教训,所以咱们可能预判到黑客下一步的动作。”Dary说。

跑赢了隐形的对手

12月2日,黑客的攻打流量逐步退去。

从11月30日-12月2日的三天间,腾讯平安帮忙X公司胜利拦挡了黑客的六次攻打,阻挡住了30%的歹意BOT流量,总荡涤攻打流量高达6.34TB,胜利守护了X公司的用餐体验和品牌形象。

“其实过后我还做了一个应答网络层攻打的防护计划,认为黑客会有更新一轮的攻打,没想到他就间接放弃了,感觉这个黑客也不太业余。不过黑客攻击也是须要老本的,可能发现屡次攻打有效,思考到老本就放弃了。”Dary说。

因为X公司点餐零碎的其余几个IP部署在另外一家云厂商上,所以,对于腾讯平安团队来说,还有一个隐形的对手。

在此次攻打事件中,腾讯平安团队的响应速度和防护成果都跑赢了隐形对手。“响应快”、“防护快”是X公司对此次应急事件的评估:响应机制快,从黑客发动攻打到告诉到客户,前后不超过五分钟;团队专业性高,从攻打到制订防护计划,只花了十几分钟;腾讯云WAF配置简略、接入快、性能高。

此事件后,X公司也意识到了线上系统安全防护的重要性。实际上,X公司的问题是批发行业的通病,因为线上销售的比例远远低于线下,所以零碎的平安防护往往采取最小化准则,尤其是在数字化转型的初期。

然而,网络安全自身存在着显著的木桶效应,一个企业的整体平安程度往往由安全级别最低的局部所决定,任何一方面存在短板,就可能被入侵。

因而,真正的网络安全是须要全方位的防护。

UDP攻打、CC攻打、BOT流量攻打等日益猖狂,如需帮忙或征询,欢送扫码分割腾讯平安专家: