受到(dào)DDoS攻擊的(de)感覺如(rú)何–記錄一(yε→ī)次DDoS攻擊的(de)真實案例

對(duì)于網絡或系統管理(lǐ)↕€←★員(yuán)來(lái)說(shuō)，公司的(de)基♦≤礎設施受到(dào)攻擊并不(bù)總是(shì)顯而易見(jiàn)的(de‌₽)。事(shì)實上(shàng)，攻擊通(tōng)常開(σ₩kāi)始得(de)很(hěn)慢(màn)，隻有(yǒu)随著(¥↕≥σzhe)攻擊的(de)進行(xíng)，Ω™ ♦才會(huì)有(yǒu)人(rén)注意到(dào)。但(>★ dàn)是(shì)DDoS攻擊從(cóng)內(nèi)部看(kàn)是(shì≈§β♣)什(shén)麽樣子(zǐ)的(de)呢(ne)？有(•♠∞yǒu)什(shén)麽預警信号？誰是(sh♣ §πì)主要(yào)參與者？采取了(le)哪些(x₽Ω‌iē)措施來(lái)減輕攻擊？攻擊會(huì)在企業(yè)的€★(de)各個(gè)層面産生(shēng)什(shén)麽樣的(de)緊張和(±>₩ hé)情緒反應？在下(xià)面的(de)帖子(zǐ)中，∞↑¶一(yī)家(jiā)銀(yín)行(xíng)的(de)系統管理(lǐβ©₽)員(yuán)提供了(le)對(duì)DDoS攻擊的(de)早期階段進行(xíng)實時(shí)分(₹<fēn)析的(de)詳細信息。

對(duì)于網絡或系統管理(lǐ)員(yuán)來(l↕Ωái)說(shuō)，公司的(de)基礎設施受到(dào)攻擊并♣™÷π不(bù)總是(shì)顯而易見(jiàn)的(de)。事(shì)實上÷♥™≥(shàng)，攻擊通(tōng)常開(kāi)始得₩₩∏(de)很(hěn)慢(màn)，隻有(yǒu)随著(zhe)攻擊的(de)進∏↑€±行(xíng)，才會(huì)有(yǒu)人(rén)注β$≤意到(dào)。但(dàn)是(shì)DDoS攻擊從(cóng)內(nèi)<σβ¥部看(kàn)是(shì)什(shén)麽樣子(zǐ)的(de)呢(ne∏≤↕)？有(yǒu)什(shén)麽預警信号δ↑×γ？誰是(shì)主要(yào)參與者？采取了(le)哪些(₹♥↑βxiē)措施來(lái)減輕攻擊？攻擊會(huì)在企業© (yè)的(de)各個(gè)層面産生(shēng∞≤δ)什(shén)麽樣的(de)緊張和(hé)情緒反應？

一(yī)家(jiā)銀(yín)行(xíng)的ε♣$σ(de)系統管理(lǐ)員(yuán)提★π'‌供了(le)對(duì)DDoS攻擊的(de)早期階段進行(xíng)實時(s✔α♦↕hí)分(fēn)析的(de)詳細信息。
上(shàng)午5：30。我被手機(jī)裡(lǐ)傳來(lái)的∞€♣←(de)短(duǎn)信聲吵醒了(le)。這(zhè)個(gè™≥♣)消息是(shì)由我們新的(de)服務♠≥∞ε器(qì)監控工(gōng)具發送的(de)自(zì)動通(tōng)知(±↓♣zhī)，上(shàng)面寫著(zhe)："警告，φ↓Mainapp服務器(qì)的(de)最大(¥€dà)負載為(wèi)30%。"Mainapp是(sΩ₹♦hì)處理(lǐ)客戶請(qǐng)求的(de)主要(yào↔σ£δ)在線銀(yín)行(xíng)應用(yòng) ♣δ'程序web服務器(qì)。自(zì)從(cóng)我們 ®Ω的(de)首席執行(xíng)官戰略性地(dì)決定推廣網上÷λ(shàng)銀(yín)行(xíng)業(yè)務以≠$≠來(lái)，銀(yín)行(xíng)投入了(lλ♠e)大(dà)量資金(jīn)來(lái)确保Maina→♣pp銀(yín)行(xíng)應用(yòng)程序web服務器(qì)的(de©<™↔)健壯性、可(kě)擴展性和(hé)高(gāo)可(k쀩)用(yòng)性。到(dào)目前為(wεσ™èi)止，它有(yǒu)足夠的(de)處理(lǐ>←★ )能(néng)力和(hé)內(nèi)存來(•≤lái)處理(lǐ)當前的(de)流量水(shuǐ)平。上(shàng)個♠'$(gè)月(yuè)的(de)統計(jì)數(shù)據顯示服÷₩÷務器(qì)負載不(bù)超過15%，收到(dào)服務σ₹器(qì)負載為(wèi)30%的(de)消息令人(rén)擔α>憂，但(dàn)并不(bù)嚴重。在這(zhè)一(yγα÷ī)點上(shàng)，我認為(wèi)有( £∏yǒu)可(kě)能(néng)是(shì)監控工(gōng)具的π∑★≤(de)警報(bào)阈值參數(shù)設置不(≈&bù)正确，但(dàn)我可(kě)以等≤®₹一(yī)會(huì)到(dào)辦公室時(shí)再 ☆↓<檢查。
上(shàng)午6：00。半小(xiǎo)時(shí)後Ωε，另一(yī)條短(duǎn)信到(dào)達。上(shàng)面寫著♦π(zhe)"警告，Mainapp服務器(qì)的( ♦de)最大(dà)負載為(wèi)50%"肯定是(shì)出↓φ®了(le)問(wèn)題。但(dàn)是(shì)由£≥于我沒有(yǒu)配置對(duì)健康監控工(gōng)具的(de)Ω✘遠(yuǎn)程訪問(wèn)，所以在我到(dào)達辦公室之前©₽，我不(bù)能(néng)查看(kàn)它的(de)α∞日(rì)志(zhì)。在匆忙趕到(dào)辦公室調查的(de)同時(s↔βhí)，我仔細分(fēn)析了(le)服務器" α≈(qì)負載如(rú)此之高(gāo)的(de)可(kě)能(néng)原≥¥γ因。我試圖向自(zì)己保證這(zhè)可(kě)能(néng)是(©→≤↓shì)一(yī)個(gè)簡單的(de)配置錯(cu®♦✘¶ò)誤，但(dàn)我開(kāi)始擔心了(le)。

上(shàng)午7：00。值班的(de)客服經理(lǐ)打電(diàn)§Ω≠話(huà)給我反映，很(hěn)多(duō)客戶都(d£♥®♥ōu)在抱怨網銀(yín)網站(zhàn)速度明(míng)顯¶σ慢(màn)于平時(shí)。他(tā)說(sh≈£uō)，其中一(yī)位客戶非常憤怒，因為(wèi₹≥‍)他(tā)無法像往常一(yī)樣快(kuài)速地(dì)進行★÷(xíng)時(shí)間(jiān)敏感型的(de)轉賬。β ∏最後我到(dào)了(le)辦公室，沖向服務器(€¥qì)終端屏幕。Mainapp的(de)負©₩₹γ載已達到(dào)70%，幾乎達到(dào)最大(dà)容量。在快(k"±uài)速檢查運行(xíng)狀況監視(shì)工(gōng∑♦≠)具日(rì)志(zhì)後，我發現(xiàn)警報(bào​≤Ω✔)阈值設置正确。然而，網上(shàng)銀(yí≥≠n)行(xíng)的(de)流量似乎仍然異常高(gāo)。數(shù)千個₩β♥(gè)連接已經打開(kāi)到(dào)服務器(qì)，要(yào)求在≈Ω'↓網上(shàng)銀(yín)行(xíng)網站( ↑δ¶zhàn)上(shàng)的(de)不(bù)同頁面。我盡量不₩☆♠∑(bù)驚慌，額頭上(shàng)滴下(xià)α♣π≠了(le)幾滴汗珠。如(rú)此龐大(dà)的(de)網絡∑∞☆≤流量一(yī)定來(lái)自(zì)惡意來(lái₩'∏)源，但(dàn)為(wèi)什(shén)麽呢(ne)？幕後黑(α☆hēi)手是(shì)誰？我突然想起了(le)上(shàng)周報(bà&>o)紙(zhǐ)的(de)頭條新聞，詳細描述了(le)金(jīn)融服務機β→(jī)構遭受的(de)網絡攻擊浪潮。我開(kāi)始看(k∞☆àn)到(dào)我們的(de)服務器(qì)所經曆的(de)和(hé)我♦‍在報(bào)紙(zhǐ)上(shàng)讀(dú)到(dào)的(de)<₹相(xiàng)似之處。我擔心我們的(de)服務α♣器(qì)正成為(wèi)拒絕服務（DoS）攻擊的(de)目标。
上(shàng)午8：00。假設是(shì)最壞的(δ≤•de)情況，我嘗試确定惡意流量的(de)性質和(hé)來(lái)源 ↑₩÷。首先，我檢查連接的(de)來(lái)源，并嘗試隔離(lí)攻擊☆₹ε 者的(de)IP地(dì)址，以便區(q£←≠ū)分(fēn)合法流量和(hé)惡意流量。同時π↕↑(shí)，我的(de)電(diàn)話αδ(huà)一(yī)直響個(gè)不(bù)停。首席信息官打電£∑(diàn)話(huà)想知(zhī)道(dào)發生(shēng)®£₽↓了(le)什(shén)麽事(shì)。我告訴他(tā)，我正試圖δ≥解決這(zhè)個(gè)問(wèn)題，但(dàn)我們可(®↓←♦kě)能(néng)遇到(dào)了(le∏©)一(yī)個(gè)拒絕服務攻擊，它耗盡了(le)我們服務器(qì)的¥α(de)資源。他(tā)的(de)回應是(shì)，在首席✘★執行(xíng)官介入之前，問(wèn)題需要(yào)迅速解決。我不(bù★↑∞)知(zhī)道(dào)如(rú)何阻止攻擊，我甚至π™↓不(bù)确定它是(shì)否真的(de★​÷✔)是(shì)DoS。我所知(zhī)道(dào≥£βα)的(de)是(shì)，在我的(de)整個(gè)職業(yè)生÷​(shēng)涯中，我從(cóng)未見(jiàn)過這(zhè)樣→₩✘的(de)事(shì)情。我對(duì)這(zhè)ε‍®→個(gè)問(wèn)題的(de)唯一(yī)了(le)解來(lái)自(zìδ♦λ)于我參加了(le)上(shàng)個(gè)月(yuè)的(de)安全研‍✘•討(tǎo)會(huì)後在網上(shàng)讀(dú)的(d÷≠δ∞e)一(yī)些(xiē)東(dōng)西(xī)。從(có ♣ng)IP跟蹤來(lái)看(kàn)，惡意連接似乎來(lái)‌→自(zì)不(bù)同的(de)來(láiβε)源。每個(gè)IP都(dōu)在為(wèi)各種網上(shàn™♦£ g)銀(yín)行(xíng)頁面重複發送HTTPλ£GET請(qǐng)求。這(zhè)一(yī)行(xíng)為(wèi)占用‍♦∏©(yòng)了(le)Mainapp的(de)§☆™ε所有(yǒu)資源，使得(de)合法用(yòng"§♥)戶的(de)網上(shàng)銀(yín)行(xíng)頁面變慢(m§☆àn)。對(duì)發生(shēng)的(de)事(shì)情↑←有(yǒu)所了(le)解後，我決定制(zhì)定一(yī)個(gè)短(du∏‌ǎn)期行(xíng)動計(jì)劃，并召開(k×εāi)緊急小(xiǎo)組會(huì)議(yì₹↔)。8： 上(shàng)午30點。情況沒有(yǒu)好(hǎo) ±¶轉。攻擊的(de)速度一(yī)直很(hě↑☆β∞n)快(kuài)，但(dàn)是(shì)現(xiàn)在Mainapp幾​≠乎沒有(yǒu)響應任何請(qǐng)求。我辦×€β公室的(de)客戶支持經理(lǐ)很(hěn)不(bù)高(gāo→>←)興，因為(wèi)他(tā)的(de)所有(yǒu)員(yuáα↕♦>n)工(gōng)都(dōu)被支持電(diàn)話≠€ ☆(huà)壓得(de)喘不(bù)過氣來(lái)。顧客不(bù)高≥€&↕(gāo)興，很(hěn)生(shēng)氣，但↑©♣(dàn)他(tā)能(néng)告訴他(tā)們什(shén)麽呢™γ(ne)？我告訴他(tā)，我認為(wèi)我們正受到(dào)一(yī)個<​♣(gè)或多(duō)個(gè)黑(hēi)客∞§®♣的(de)攻擊，我們不(bù)應指望很(hěn)快(kuài)恢複正常服務， ​γ♠我們可(kě)能(néng)會(huì)在不(bù♠↕)久的(de)将來(lái)發布一(yī)份關于停機(jī)時(shí↓β₩)間(jiān)的(de)正式聲明(míng)。

上(shàng)午9：00。現(xiàn)在情況是(shì)災難性的(de)。♣♣₽消息傳得(de)沸沸揚揚，全體(tǐ)員(yuán)工(gōng)都(dō₹&u)驚慌失措。我召集的(de)緊急會(huì)議(yì)召 δ開(kāi)了(le)。它由CIO、CTO、網絡管理(lǐ)員(yuán)₩ 、安全經理(lǐ)、應用(yòng)程序經∞​₹£理(lǐ)和(hé)系統管理(lǐ)員(& >yuán)組成。抛開(kāi)緊張局勢不(b£∞ù)談，我們都(dōu)明(míng)白(bái)向客戶發布官✔<•方信息的(de)重要(yào)性，并決定一(y>£Ωī)個(gè)應對(duì)攻擊的(de)行(xí✔>ng)動計(jì)劃。我給每個(gè)人(rén)看(kàn÷₩)日(rì)志(zhì)，幾分(fēn)鐘(z♣φ‌hōng)後，安全經理(lǐ)發現(xiàn)一(yī)些(x♠≈iē)惡意請(qǐng)求來(lái)自(zì)俄羅斯​ γ©。很(hěn)快(kuài)，我在mainappweb服務器§&  (qì)上(shàng)定義了(le)一(β ₩yī)個(gè)規則，拒絕來(lái)自(z§±ì)俄羅斯的(de)所有(yǒu)請(qǐng)求，認為(w∏δèi)這(zhè)可(kě)能(néng)←β$‌會(huì)減緩攻擊。不(bù)幸的(de)是(shì)，這(zhè)沒用↔§(yòng)。在激活我的(de)新過濾器(qì)後，我↑≤發現(xiàn)惡意流量沒有(yǒu)減少(s£¥"hǎo)。在短(duǎn)暫的(de)一(yī)段™©時(shí)間(jiān)沒有(yǒu)新的(d★×'e)連接之後，更多(duō)的(de)連接開(kāi)始來(lái)自✘∑(zì)十幾個(gè)不(bù)同的(de)國(guó)家(jiā↑$☆)，包括我們的(de)國(guó)家(jiā)！

上(shàng)午9：30。服務器(qì)仍然負載過重。根據地(dì)理¥♣₩£(lǐ)區(qū)域封鎖IP沒有(yǒu)幫助，所以我δ→們必須尋找另一(yī)種解決方案。由于我們沒有(yǒu)準備好(hǎo)處理'¶'$(lǐ)這(zhè)種攻擊，因此有(yǒu)必要(yào)更好↕£'₽(hǎo)地(dì)了(le)解如(rú)何防止和(hé)減輕DoS攻擊×←​λ。

上(shàng)午10：00。Mainapp Ω±₽≤web服務器(qì)完全被淹沒，在線銀(yín)行( γβΩxíng)網站(zhàn)處于離(lí)線狀态。聽(tīngφ§)到(dào)這(zhè)個(gè)消息γ≠£☆，首席執行(xíng)官決定參與進來(lái)。她(tā)強調，宣∞✔₽布這(zhè)樣的(de)攻擊對(duì)銀(yín)行(xíng)的(d≤λ©e)聲譽有(yǒu)多(duō)壞，她(tā)想知(zhī)道∏γ'¥(dào)這(zhè)将使銀(yín)行(xíng)在收入損失和(β₩€hé)客戶不(bù)滿方面損失多(duō)少(s≤≥​<hǎo)。她(tā)擔心，如(rú)果這(zhè)次襲擊的(de←≥‌)細節洩露給媒體(tǐ)，可(kě)能(  néng)會(huì)引起銀(yín)行(xíng)客戶的(de)恐慌，并®≠£重申必須盡快(kuài)減輕攻擊——無論采取→‍Ω∑何種必要(yào)手段。

上(shàng)午10：15。我現(xià€©δ♥n)在很(hěn)清楚，我們正面臨著(zhe)一(yī)個(g↓<¥è)協調良好(hǎo)的(de)分(fēn)布★©•∑式拒絕服務（DDoS）攻擊，而我們目前的(de)安¥≈Ω全工(gōng)具無法抵禦這(zhè)種攻擊。盡管DDoS≤ 是(shì)一(yī)種日(rì)益嚴重$¥ 的(de)安全威脅，但(dàn)我們在組織內(nèi)沒有(yǒu☆∏ε‍)适當的(de)專業(yè)知(zhī)識來(lái)處'↓σ理(lǐ)這(zhè)種規模的(de)事(shì)件(jiàn ♣↑×)。