引言

DDoS攻击势头愈演愈烈，除了攻击手法的多样化发展之外，最直接的还是攻击流量的成倍增长。3月份国内的最大规模DDoS攻击纪录还停留在数百G规模，4月，这个数据已经突破T级，未来不可期，我们唯有保持警惕之心，技术上稳打稳扎，以应对DDoS攻击卷起的血雨腥风。6月8日，腾达互联立体式防御成功防御了1.3Tbps的超大流量攻击，也是目前国内已知的最大攻击流量，这篇文章就此次攻防事件简单地为大家做一个梳理和分析。

国内已知最大攻击流量来袭

6月8日，腾达互联网络一个重要的棋牌游戏客户突然遭受大流量DDoS攻击，棋牌类游戏遭受攻击习以为常，但是本轮攻击流量峰值竟达到了1.3Tbps，刷新国内DDoS攻击最大流量记录。

不过凭借腾达互联立体式防御超大防护带宽以及阿里云安全平台部十余年DDoS防护技术积累的支撑下，腾达互联网络携手该棋牌游戏客户成功防护了这次超大流量攻击，护航客户棋牌业务稳定运行。

那么这么大的攻击怎么来的呢？又是怎么被成功防护的呢？

攻击分析

本次攻击手法主要为拥塞带宽型攻击手法（SSDP反射，攻击原理下文介绍），在总体流量中占比97%，攻击流量达1.3Tbps，和协议缺陷型（SYNFLOOD和ACKFLOOD），在总体流量中占比3%。

SSDP反射

只要对DDoS有一定认知的同学，肯定不会对SSDP反射攻击陌生，作为现网最常见的DDoS攻击手法之一，SSDP反射由于可用的反射终端数量庞大，放大系数可观，而备受攻击者青睐。

在攻击思路上跟其他反射攻击一样，攻击者发起SSDP反射的大致过程为：

• 通过IP地址欺骗方式，攻击者伪造目标服务器IP，向开放SSDP服务的终端发起请求；

• 由于协议设计缺陷，SSDP服务无法判断请求是否伪造，并向目标服务器进行响应。就这样数量极其庞大的SSDP响应报文同时发往被攻击服务器；

• 更可怕的是在特定请求下，一个SSDP请求报文可以触发多个响应报文，而每个响应报文比请求报文体积更大，最终造成攻击流量约为30倍的放大。

来源IP分析

本次攻击共采集到攻击源16.6万个。其中国内占比68%，海外占比32%，TOP 3国家分别是：中国(68%)、俄罗斯(13%)、美国(8%)。

在国内方面，攻击主要来源省份：山东省(40%)、辽宁省(20%)、河北省(16%)等环渤海区域，其次是浙江省(10%)、台湾省(9%)。

国内攻击源的主要运营商来源为中国电信(占比66%)和中国联通(占比24%)。

在攻击源属性方面，主要来自于个人PC，占比57%，IDC服务器占比28%，值得注意的是，物联网设备在此次攻击源中占比达到15%。攻击者在攻击武器方面，物联网设备作为攻击源的数量呈明显增长趋势。眼下物联网设备安全问题不容忽视。

由此可见，公网上开放SSDP服务的终端数量非常庞大，而且分布广泛，为攻击者实施攻击带来便利。

防护方案

传统的防御方法有限，成本过高

自Memached爆发以来，众多安全厂商纷纷给出了防御方案，防御的攻击流量峰值不断被刷新，人心惶惶的同时，安全厂商的作用似乎逐渐突显。然而，这对企业来说意味什么呢？意味着不可预知的更高攻击峰值，无法预测的防御效果，以及不可控的高额防御成本！

为什么这么说？让我们先看看传统的DDoS防御方案是怎么防御DDoS攻击的。目前比较普遍的方案主要是两种：高防机房和IP跳变方案。

首先来说高防机房，这个大家都知道，最为传统的DDoS防御方案，通过在机房部署DDoS防护设备，对访问服务器的流量进行清洗来实现防御。无论现在市场上的高防机房有什么样的优化与改进，这种方案总摆脱不了几个致命的缺陷：1、通过特征规则过滤或行为分析来识别威胁，属于事后的解决方法，永远无法解决不断变化的攻击手段；2、通过大带宽来清洗，带宽资源池必须大于攻击带宽，因此对于超大流量攻击略显乏力，同时企业的防护成本完全不可控。

再来说IP跳变的方案，这种方案相比较高防机房进阶了不少，通过分布式防护节点分流，可以灵活调度，智能防御。可是缺点是什么呢？1、资源是有限的，企业的防护能力受限于购买的防护节点数，也就是说超过所购买的防护节点防御能力的攻击，是防不住的，所以企业可能面临高额的防护费用，以及甚至不知道应该购买多少才能抵御未知的威胁的问题；2、必须通过调度中心进行调度，这就给攻击者提供了明确的攻击点，无论安全厂商如何宣称调度中心的安全性，与众多的安全事件一样，这都是无法预知的风险点。

颠覆式创新解决方案

使用我们的立体式防御系统，可隐藏客户真实服务器的IP地址，每个结点都会成为客户服务器的盾机被攻击的只能是结点，而且由于有多个结点做盾机，就算攻击是个强度非常大，而且持续非常久的话，哪怕还有一个结点服务器是活的，那么攻击就打不到客户真实的服务器上，而且还有很多备用节点，一旦哪个节点宕机，宕机监测系统便会马上启动备用节点，这样就保证了游戏和网站不会挂掉。

您是否收到过这样的困扰？曾每月花费过数千上万元租用高防服务器，游戏端口依然被DDOS/CC打满游戏超卡，服务器IP被攻击打封玩家无法登陆 ，

         大网波动频繁稳定性无法保证，服务器宕机无法预料......那么您需要腾达互联盾游戏云防护给您带来全新的游戏服务器使用体验 。

         您可以自行到阿里云官方网站购买适合您使用的配置、宽带(建议选择华东区)作为游戏源服务器，权限只有您自己知道，保证数据安全。

        然后使用我们的腾达互联盾云防护封装登陆器，隐藏游戏真实IP,进行ddos/cc攻击防护,游戏加速防护，玩家在我们云防护内网畅玩，从而使您的服务器达到无视任何攻击，BGP云节点

腾达互联盾是一款专门解决 ddos 攻击 cc攻击的安全防护引擎。当您的应用程序与腾达互联盾集成后，腾达互联盾即刻进入运行状态，我们会为每个用户分配一个不同的ip，千人千面、一人一ip。当黑客发起攻击时，只有他自己受到影响，同时腾达互联盾能够精准识别黑客，并直接拉入黑名单。如此一来黑客就无法得到新的ip，只能重新更换手机或电脑。这个原理既能够清除掉黑客，又能无视其攻击，还不影响其它用户。这正是，一次集成，终身受益。此之，网站防护，高防服务器，特价服务器，服务器运维 都是我们的专长，  www.tdaidc.com （ 腾达互联网络技术有限公司 ）快快联系我们吧QQ：613366960