QPS超200万的CC攻击要如何防御？QPS超200万的CC攻击要如何防御？UCloud云计算百家号前言网络空间的攻防是没有硝烟的战场。作为UCloud自主研发的一款云端企业级Web防护服务产品，UEWAF基于云安全大数据能力，可以过滤海量恶意访问，避免网站资产数据泄露，保障网站的安全性与可用性。近日，UEWAF成功防御黑客针对UCloud云上某游戏客户发起的超大规模CC（Challenge Collapsar）攻击。攻击者从7月7日20点11分左右开始发起攻击，攻击峰值出现在20点24分左右，QPS（每秒查询率）超过200万。（QPS 趋势图）背景7月7日20点15分，UEWAF安全运营团队接到客户紧急求助，客户反馈其多个域名遭到CC攻击，业务全部中断。UEWAF 安全运营团队立即启动紧急预案。但鉴于攻击规模较大，已经触发过UEWAF集群自动扩容，为保障集群上其他客户的业务不受影响，所以 UEWAF 安全运营团队第一时间将该客户流量牵引至Anti CC隔离集群。发现问题通过分析，发现受攻击的域名主要是作为API（应用程序编程接口）为手机客户端提供服务，常规的防御方式无法在短时间内将攻击流量压制，随后UEWAF安全运营团队为客户启用紧急防御模式。在该模式下，UEWAF会结合使用UCloud安全中心积累多年的IP信誉库和机器学习等技术，计算来源IP的恶意度，迅速将被黑客利用的绝大部分“肉鸡”IP封杀在网络层。截至当日20点25分，黑客“肉鸡”已被全部封杀，QPS迅速回落，客户业务恢复正常。攻击者因没有更多可以利用的“肉鸡”，只能偃旗息鼓，鸣金收兵。通过大数据安全分析，本次攻击的特征如下：（1）攻击针对游戏客户端API接口；（2）黑客做了充足准备，分析了该游戏客户端的业务逻辑，攻击请求与客户端真实请求相似度极高。基于以上特征，黑客能高度模仿真实用户的行为，这对企业的防御手段提出了巨大挑战。传统的CC防御将重心放到了伪装网民（主要是浏览器）访问的识别上，但对于API接口来说，正常的访问请求很大可能不是来自浏览器，而是来自机器。因此，要从这些机器中识别出哪些是真正的用户、哪些是黑客控制的“肉鸡”成为难题。解决方案结合企业业务类型、访问频率以及基于机器学习的行为分析技术，UEWAF实现了高效的源站保护模型，在创新信息熵检测机制与精准IP信誉库的协助下，大幅提升了攻击来源识别的准确率，可有效防御针对API接口的CC攻击。基于反向代理实现了“替身式”防御，攻击流量全部在UEWAF Worker节点上拦截掉，攻击流量将禁止传到源站。为了实现高可用，内部采用L4 switch报文转发，通过多个节点建立集群去分担流量，保证了服务的高可用性和拓展的灵活性。在集群整体性能不足或某个节点故障时，UEWAF可自动屏蔽故障节点并开启备用节点，保障业务继续开展。同时，针对日益频繁的CC攻击，UEWAF特别建立了Anti CC隔离集群，在应对规模较大的CC攻击时，遭受攻击的域名流量会被牵引至Anti CC隔离集群，避免造成其他正常客户业务的波动。（UEWAF高可用架构示意图）总结在CC攻击防御中，客户源站为第一保护对象，UEWAF会首先保证源站业务正常。其次在识别和清洗攻击流量过程中，会对部分攻击IP实施网络层封堵，以保证UEWAF Worker节点有足够的端口及带宽为正常用户提供服务。在网络层IP封堵实现上，UEWAF定制了Linux内核，能够以极低的性能损失为代价封堵百万级别的IP地址，保障UEWAF Worker节点的性能。当前，CC攻击已经成为游戏、金融、电商等行业常用的攻击手段。为保证线上业务系统的正常运行，企业应高度重视，加强安全防范措施。UEWAF作为UCloud云安全解决方案-天罡旗下核心产品，基于UCloud云平台强大的计算资源及自身领先的技术能力，在用户业务遭遇CC攻击或者业务突发时，能够进行自身服务的快速扩展，不存在性能瓶颈等问题。与此同时，利用强大的云端情报收集能力并结合其他情报厂商的信息，UEWAF可以过滤海量的恶意访问，守护网络安全。本文由『UCloud安全团队』原创，未经允许不得私自转载，比心~本文由百家号作者上传并发布，百家号仅提供信息发布平台。文章仅代表作者个人观点，不代表百度立场。未经作者许可，不得转载。UCloud云计算百家号最近更新：简介:UCloud云计算技术团队官方号作者最新文章相关文章6添加评论分享收藏感谢收起关于 ucloud 主机的禁用端口列表参考 · Ruby China
在使用samba的时候，发现无论怎么配置都无法telnet到对应端口，咨询官方的结果是，部分端口被禁止了。于是，换端口。
以下端口对于ucloud都是禁止的，不管防火墙是否设置开启
使用ucloud的同学可以看下，当心踩到这些坑，仅供参考
# DCE endpoint resolution
# DCE endpoint resolution
# PROFILE Naming System
# PROFILE Naming System
microsoft-ds
microsoft-ds
# Microsoft-SQL-Server
# Microsoft-SQL-Server
# Microsoft-SQL-Monitor
# Microsoft-SQL-Monitor
# Kerberos 5 to 4 ticket xlator
# Kerberos 5 to 4 ticket xlator
sgi-esphttp
# SGI ESP HTTP
sgi-esphttp
# SGI ESP HTTP
afs3-fileserver 7000/tcp
# file server itself
afs3-fileserver 7000/udp
# file server itself
afs3-callback
# callbacks to cache managers
afs3-callback
# callbacks to cache managers
我去 , 太坑了！我感觉 ucloud 还有严重的 traffic shaping
后方可回复, 如果你还没有账号请点击这里 。
共收到 1 条回复又被阿里云恶心到了!!!! 真真正正的恶心到了. - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
已注册用户请 &
Recommended Services
又被阿里云恶心到了!!!! 真真正正的恶心到了.
17:52:58 +08:00 · 25111 次点击
网站被 DDOS 攻击了...
由于之前没有假设 CDN ,源 IP 地址 直接暴露了...
现在想上 CDN 来防御....
结果阿里云不给更换源 IP ,除非~~~除非~~~除非 买他们的 DDOS 防御,才给换源 IP......
55 回复 &| &直到
14:47:21 +08:00
& & 17:56:35 +08:00
哈哈哈，趁早，撤出阿里云，讲真！腾讯云有弹性 IP ，随时想换就换！
& & 18:02:15 +08:00 via iPhone
你的云盾阈值多少？ 5G 吗？现在攻击流量是多少？上 SlB 通过内网 ip 与 SLB 传输数据，用 SLB 的公网 ip ，然后再上 CDN ，看下是否可行？ CDN 不要用阿里云的，那遇上大流量攻击会没房子的…
& & 18:07:08 +08:00
我觉得应该是发换个机房 而不是换个 IP 。
& & 18:12:20 +08:00
我就看到了 阀值 ……
& & 18:22:13 +08:00
阈值是 1.25G 攻击 3G 所以,根本用不着他们的高防业务...
你说的这个情况我考虑过, 但原先公网 IP 没法停止.
照样可以通过 DDOS 攻击原先的 IP 从而达到目的.
& & 18:29:16 +08:00
撤了吧，前段时间阿里自己换机房不是连 ip 都不能保证了吗，早搬早轻松，谁知道以后又有什么奇葩情况。
& & 18:32:18 +08:00 via iPhone
还 DDoS 防御呢??好了伤疤忘了痛，上次吃的那 400G 还没消化完吧
& & 18:32:19 +08:00
开 CDN ， IPtables 封禁 CDN 之外的所有 IP 。买啥自行车
& & 18:32:43 +08:00
不能加 ip 么？加一个 ip ，老 ip 解绑
& & 18:36:41 +08:00
刚刚看了一下，以前设的 refer 白名单居然没了
& & 18:40:03 +08:00 via Android
腾讯云随便换，两家都用过腾讯更良心。
& & 18:44:21 +08:00
@ 原先是直接分配的 IP 无法解绑的.
& & 18:51:54 +08:00
@ 没用 没用 遇到的是基于 NTP 漏洞的反射型攻击.封 IP 没用,
我封了全部 UDP 协议都没有用
& & 18:56:35 +08:00
他们说的没错啊 换了 IP 你还是会被 d 啊
& & 19:21:27 +08:00
@ 换了 IP 可以在外部假设 CDN ,来进防御.
我的攻击流量 1-3G外面便宜一点的 一个月 200
搞定.用阿里云的一个月 1W+
& & 19:32:10 +08:00
讲真 阿里云的虚拟机并不灵活，公司用的话还不能买纯内网机... IP 各种事儿... 其它不了解 不提
& & 19:37:10 +08:00 via Android
ㄟ( ▔, ▔ )ㄏ我买的那个时候阿里的私有网络功能还收费，现在不收了好像，你要是买服务器的时候选私有网络设置一通路由啥的后续就可以自行更换 IP 了，和 TX 的弹性差不多。。然而已经买了的好像不能改
& & 19:41:05 +08:00
@ 试试重新买个 SLB ？
& & 19:46:13 +08:00
@ 没用, 原来的 IP 已经暴露. 原来的 IP 不能解绑.即使买了 SLB ,还是可以通过攻击原来的 IP 达到目的
& & 20:10:13 +08:00 via Android
和我以前遇到的情况一样，被攻击之后想更换 IP 被客服告知不买高防 IP 不给换，最后我撤出了阿里云。换 IP 都做不到也敢号称「云」（没有 1kw ）
& & 20:12:20 +08:00
我曾经也用过 slb 还是会暴露源 ip 的，不知道是阿里云的问题还是我网站的问题，当时被 D 的生活不能自理。而且还有很多入侵的。
向楼主这样估计只能上 sbl 转内网连接了。或者弹性安全 ip-slb-源
& & 20:14:16 +08:00
我都半年没用过阿里云了
& & 20:21:47 +08:00
我一直用的阿里云香港搭梯子用，速度挺快的，对主机也不太了解，有人推荐个香港速度 OK 的主机商吗。。。
& & 20:25:03 +08:00
求推荐云服务器
& & 20:32:21 +08:00
LZ 准备好 1000 万了吗。。。
& & 20:35:44 +08:00 via iPhone
我之前用的时候他家的内核是 2.632 的，谁能告诉我阿里究竟是什么类型的云？
& & 20:36:07 +08:00 via Android
弹性公网 IP 可以解绑（不能是在购买 ECS 界面开通的那种）
& & 20:38:44 +08:00
使用 SLB 回源是不走公网 ，即使原 ip 被 Null route ， SLB 也是可以正常访问到的
& & 21:06:20 +08:00
& & 21:20:22 +08:00
一个多小时前我的阿里云也被攻击了。。。
& & 21:34:38 +08:00 via iPhone
其实我一直想吐槽阿里云管阈值叫阀值。。。
& & 21:39:38 +08:00
没钱玩什么阿里云，分分钟叫你破产做人。
& & 21:42:57 +08:00
遇到过这样的情况，先把快照创建一个镜像。让后新开一个 vps 使用刚刚创建过的镜像就可以自助换 ip ， ip 换了后直接上 cdn 应该可以解决大部分的攻击。注意原来的服务器暂时别删除，因为有时快照会不是很好用。等一切正常后再删除。
& & 22:41:18 +08:00
@ 好好笑的一个槽点，阈 (yu) 和阀 (fa) 拼音和务必都差太远了吧 ...难道他们并未意识到，是本来就要打“阀”这个字？.... hhhh
& & 22:49:38 +08:00
我觉得吧，其实阿里云这边做的已经蛮好了，毕竟现在防 ddos 成本那么高。而且换 IP 是有成本的，要么你去换个 ECS,或者用 VPC 环境试试，可以单独购买 IP 。据我所知，腾讯云那边也是不能更换 ip 的。我看你截图里的那个工程师其实也没说错，高防给你换 ip 主要还是为了帮您隐藏真实服务器。
& & 22:49:51 +08:00
@ 你难道是拿 ECS 绑的公网 IP 对外提供服务啊…………
& & 23:21:19 +08:00
其实我很好奇楼主为啥直接上 ECS 公网 IP 对外服务
& & 23:34:04 +08:00
ecs 的 IP 直接封掉，业务重新解析一个域名到 lb 上不行么。这么大的量，回源加个 CF 或者百度云加速呗，多重 CDN 让他们 D 去。
& & 23:41:55 +08:00
怎么今天都是阿里云的服务器被 ddos 的？
& & 23:44:16 +08:00
@ 很多人直到被人指出之前都会把这个字读错 / 写错。吐槽一下就行了，大家都有写错字认错字的时候。
& & 23:54:34 +08:00
& & 00:10:27 +08:00
吐槽之前，有没有考虑过自己的问题，你要是在 IDC 机房，只能等着被关机断网了吧下面说点有用的，从你的描述来看，基本可以确认两点1 、你直接使用了 ECS 公网 IP 对外提供服务2 、你使用的并非弹性公网 IP在经典网络下（非 VPC 网络环境），公网 IP 是在创建 ECS 时候就分配好的，是绑定在 ECS 上，所以不可更换，哪家都是如此还有楼上哪些人云亦云的，真是醉了有时间多学习一下，不要把云就就理解成只有 ECS ，要不然，只能等着被喂饭才能活解决方法：1 、换一个 ECS ，指标不治本，搭配 CDN 倒是可以2 、不换 ECS ，前面加上 SLB ， ECS 公网只允许你的 IP 可以连接，其它一律拒绝，通过 iptables 或者安全组来实现； SLB 本身提供 5Gb 的 ddos 防御能力，应该是够用了。PS ：运营商没有义务为你提供安全防护，尤其是 DDOS 。除非有协议或者购买安全产品。
& & 02:28:40 +08:00 via Android
@ 1000w 妥妥的
& & 08:35:31 +08:00
某宝 高防 CDN
& & 10:54:12 +08:00
@ 换 IP 都做不到也敢号称「云」（有 1kw 也不给马云）
& & 11:52:18 +08:00
正是我要说的
& & 11:52:30 +08:00
如果，阿里和黑产有利益往来会不会很可怕
& & 11:56:46 +08:00
@ 换 IP 要看哪种情况，如果是 VPC 下的弹性公网 IP （ EIP ）可以随时更换，但是在经典网络下（非 VPC 网络环境），公网 IP 是在创建 ECS 时候就分配好的，是绑定在 ECS 上，所以不可更换，哪家都是如此
& & 11:59:24 +08:00
看看热帖也是可以的
& & 13:56:19 +08:00
问题是除了阿里云 还能用什么
& & 14:58:36 +08:00
@ 个人用户用阿里挺好的，攻击就攻击呗，反正便宜。
& & 19:19:32 +08:00
你可以不用, 试试 Qcloud, Qingcloud, Ucloud, 或者 Linkcloud 看看哪家免费给你防御的.
& & 14:42:12 +08:00
@ 纯技术探讨，“@odoooo 没用 没用 遇到的是基于 NTP 漏洞的反射型攻击.封 IP 没用, 我封了全部 UDP 协议都没有用”请问现象是什么呢？封了全部 udp 后， ECS 的对外提供的 tcp 服务变得不稳定，甚至不能访问？
& & 14:42:54 +08:00
@ 听说美国 azure 提供免费的
& & 14:47:21 +08:00
我们可以通过高防服务器及高带宽的部署来防护攻击，同样价格上阿里防不住，但我们可以，具体可以沟通哈，网宿科技
& · & 3176 人在线 & 最高记录 3762 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 18ms · UTC 03:04 · PVG 11:04 · LAX 20:04 · JFK 23:04? Do have faith in what you're doing.UCloud入选2018年中国互联网企业100强
7月27日，中国互联网协会、工业和信息化部信息中心在2018年中国互联网企业100强发布会暨百强企业高峰论坛上联合发布了2018年中国互联网企业100强榜单。国内领先中立云计算服务商UCloud凭借快速高效的发展、雄厚的技术实力以及持续的创新能力，首次跻身中国互联网企业100强榜单。
中国互联网企业100强研究工作自2013年开始，每年发布一次，旨在梳理国内资产规模较大、社会影响力突出、具有良好发展潜力和较强社会责任感的互联网企业。为全面贯彻党的十九大精神，积极落实网络强国和制造强国战略，推动互联网、大数据、人工智能和实体经济深度融合，中国互联网协会与工业和信息化部信息中心于今年4月组织开展2018年中国互联网企业100强工作。
工业和信息化部信息化和软件司司长谢少锋在发布会上致辞时表示，互联网作为推动新一轮科技革命和产业变革的有利助推器，不仅是夯实国家创新发展战略的重要载体，也是推进制造强国、数字中国、智慧社会等国家战略实施的关键和支撑。同时，对互联网企业发展提出四点指导意见：一是要加大关键技术开发力度，坚持创新驱动发展，加快云计算、大数据、人工智能等前沿技术的研发和商用；二是深化互联网和实体经济的融合，大力发展工业互联网，加快信息化、工业化融合发展的进程；三是促进开放融合发展的格局，坚持技术开放、平台开放、产业开放，促进大中小企业共同发展；四是提升网络安全的治理水平，切实推动企业承担主体责任，落实网络安全各项法律法规。
&中国互联网企业100强&是具有公正性和权威性的互联网企业评价榜单，评价指标综合考量企业的资产、收入、利润、研发费用、研发人数等指标，同时也将创新能力、业务与传统产业融合的&互联网+&能力纳入了企业业务情况的考察。UCloud凭借快速增长的企业规模、良好的社会影响、巨大的发展潜力和积极履行社会责任，入选中国互联网企业100强。
自2012年成立以来，UCloud坚持中立，不涉足客户业务领域，致力于打造一个安全、可信赖的云计算服务平台。今年6月，UCloud获得中国移动投资公司E轮投资，双方将在资源、生态、技术、产品和投资层面达成全面战略合作，促进云计算技术在企业级应用场景的深度实践和产品推广，共同打造国际领先的中国云。这是继2017年3月接受由元禾重元、中金甲子领投的D轮9.6亿元人民币投资之后，再一次获得资本市场青睐。
在创新能力方面，UCloud自主研发IaaS、PaaS、AI服务平台、大数据流通平台等一系列云计算产品，并深入了解互联网、传统企业不同场景下的业务需求，提供公有云、私有云、混合云、专有云在内的综合性行业解决方案。由UCloud自主研发的大数据流通平台&安全屋&也已应用于智慧城市建设，对覆盖某地市60%人口(约450万)的LBS信息进行大规模分析，输出城市规划统计报告，协助政府部门优化城市规划。
与此同时，UCloud也积极实践国家&互联网+&战略，深入研究传统产业&上云&需求，并推出相关解决方案。以教育行业为例，今年5月，UCloud正式推出&启慧&教育云解决方案体系，运用云计算、大数据、移动互联网、人工智能等新的信息技术手段来对传统教育信息系统进行重构，通过公有云、 私有云、混合云 、安全、多媒体教室、校园云课堂、校园智能监控等七大解决方案，打造教育信息化云端供给站，促进传统教学结构性变革，推动教育现代化进程。
上海市电化教育馆（简称&上海电教馆&）就是利用UCloud&启慧&教育云解决方案实现云端布局的实例。随着教育信息化程度提高，IT业务量日益增长，IT设备规模也不断扩大，高能耗、空间紧张、IT预算有限等问题，逐渐困扰上海电教馆数据中心的拓展步伐，急需采用新技术进行突破。在此形势下，上海电教馆引进了UCloud&启慧&教育私有云解决方案体系，采用虚拟化技术打造教育私有云，解决各类存储设备的整合及容灾备份、数据安全稳定性保障等问题，同时将物理硬件资源集中在一起，形成一个共享虚拟资源池，实现服务器虚拟化，有效提升了IT业务能力。
未来，UCloud将继续以中立的市场定位，进一步提升技术实力与客户服务能力，深入探索云计算、大数据、人工智能等技术，将自身打造成为云计算、大数据领域的领军企业。
您可能也感兴趣:
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
Copyright (C)
All rights reserved. 京ICP证060517号/京ICP备号 京公网安备76号
TechWeb公众号
机情秀公众号