DDOS三连击

尊敬的 UCloud 用户,您好:

我们监控发现 2020-02-15 16:xx:xx,您的帐号 xxx 数据中心外网 IP:xxx 资源名称:xxx 项目名称:xxx 被大流量 DDoS 攻击,目前攻击流量为 28.9 G,根据 UCloud 安全中心攻击防护规则,该 IP 短时间内将被黑洞、冻结,24 小时后自动解封,请您知悉。

去年两次,没想到春节刚完疫情还没结束,有的人却已经开工了……

云时代的DDOS措施简单多了: 0. 先检查链路明确要改哪一层级 ,比如:client–>高防–>WAF–>LB–>App,或是client–>高防–>LB–>App这里以第二种为例:

  1. 停止该IP流量,一般运营商会很贴心的主动帮你把该IP封掉的。。
  2. 新建随机IP,尽可能与该IP网段不同
  3. 关联新IP与业务,即将新IP绑定到源IP所在LB上,在高防层面用新IP替换旧IP
  4. 检查DNS:确保新、旧IP都没有在公网dns上暴露,公网dns相关记录应都指向高防的地址(IPA记录或CNAME记录)
  5. 关联新IP与高防,将高防中的源地址改为新的IP

为啥做了高防依然还会被攻击,仨可能:

  1. 源IP被暴露,木马后门等有可能侵入系统,分析抓包等操作获取LB等业务直接上联的公网IP
  2. 该IP做防护了,但没完全隐藏好自己,比如在公网DNS中依然有相关IP记录,未必是A记录也可能是CNAME,MX @等
  3. 随机攻击,就是针对IP来的,不过可能性很低。

经查,此次被攻击的,之前已做过防御,奈何有一个业务暴露了IP……

又来,看着趋势…… 改过IP了为啥还会被发现?梳理链路,有个应用走了CDN,CDN回源IP写的是真实IP而非高防的。 再改!

留着被攻击的IP解绑关键业务,看看对方是否有耐心和毅力,结果到了晚上9点多又开始了……勤劳,给您一个大大的赞👍

说明是被盯上了,彻底下线IP。

以前拼命做安全的厂商肯能怎么都没想到,自己的安全业务被做云计算的给吞噬了。有云就是好哇~