Google Project Shield如何抵御DDoS攻击?这个案例可以初探端倪

安全 黑客攻防
我们必须有正确的问题导向,必须去做一些调查研究,也必须主动去质疑一些假设。这种道理与DDoS防御是相似的,我们不能总看到眼前的攻击,还需更加积极、更加冒险地去应对或挑战一些未知的攻击。”

对安全专家Brian Krebs来说,去年9月的第三个星期可以算是一段暗无天日的时光,大量持续不断的DoS攻击波涌向其个人网站KrebsOnSecurity,峰值攻击曾流量超过每秒 620Gbps,最终,CDN服务商Akamai也无防护之计可施,选择将Krebs网站下线。然而,仅在三天之后,KrebsOnSecurity就在谷歌Project Shield(护盾项目)的保护下,正常上线“重生”了。今天就让我们随着FreeBuf来一起了解下谷歌Project Shield的这桩“壮举”。

Project Shield是谷歌最早在2013年推出的,保护第三方网站的免费抗D服务,它利用谷歌基础设施技术来重定向和缓解DDoS攻击流量,以抵御各类DDoS攻击。Project Shield保护网站主要为那些没专业能力部署安全防护的体量较小网站,并优先为记者、媒体、选举和人权相关网站提供保护。

据谷歌安全工程师Damian Menscher在最近的Enigma安全会议上透露,在Krebs向Project Shield提出网站保护请求之后,谷歌安全团队经过一番风险权衡后同意了这项服务。Menscher回忆了当时团队的讨论情景:

“如果这些僵尸网络对google.com发起攻击后果将会怎样?会让我们的努力白费吗?这种可能不能完全排除。但如果类似的攻击可以击溃我们,那么任何时候它对我们来说都是一种潜在风险,所以,从这个角度上来说,我们不存在任何损失,应该积极去应对。”

经过一个小时的讨论后,Menscher的团队迅速达成了帮助Krebs的决定。然而,前期却经历了冗长的流程。首先一点就是,网站所有人必须证明其对网站的控制权,而此时Krebs网站正处于下线状态,而且域名管理系统为防止域名劫持攻击,把其域名(krebsonsecurity.com)又设置为锁定状态。

最终,当Project Shield为KrebsOnSecurity提供上线保护之后的14分钟,新一轮DDoS攻击开始了。第一波攻击是足可以瘫痪大量网站的每秒1亿3000万的SYN洪水包,但面对谷歌的基础设施,这算是九牛一毛;一分钟后,攻击强度增加,来自145,000个不同IP发起了每秒250,000次HTTP请求,毫无疑问,这是Mirai僵尸网络的特征;随后,攻击者以多种方式发起了攻击,包括140Gbps的DNS放大攻击和每秒400万syn-ack包的syn-acka洪水攻击。

在攻击开始后的第四个小时,KrebsOnSecurity经历了更强的攻击流量,175,000个不同IP发起了每秒450,000次HTTP请求,好在有Project Shield的保护,这也没能对KrebsOnSecurity造成直接影响。

攻击在开始的两个星期最为强烈,随后,攻击者加入了一系列新型攻击技术,包括一种名为WordPress pingback的攻击,该攻击会发起对目标网站的大量内容请求,导致网站瘫痪。由于该攻击方式的每个内容请求包内,包含了一个带有“WordPress pingback”的用户代理广播字段,所以,Google有效地对这些请求作出了阻止。另外的Cache-Busting攻击也同样被Project Shield成功阻挡。

WordPress的Pingback功能中文解释是“引用”,当你的文章有引用别人的内容时(通常内容里有加上对方的超链接),一旦文章发表后,就会自动启动Pingback功能,这功能会发送一个Ping给对方,会以评论的方式呈现。WordPress的pingback服务可被DDoS攻击利用,这个漏洞早有披露,但至今仍有大量网站存在此问题。由于这种DDoS攻击中流量来自数千个不同IP,基于网络的防火墙也无法识别和拦截,只能限制每个IP地址的访问频率。

即使在今天,对KrebsOnSecurity网站的DDoS攻击也依然存在,最坏的结果只是引起一些短暂的中断,并没有导致长时间的宕机下线。Menscher同时也把此次事件的经验向会议观众作了分享:

由于我在谷歌的多年一直是致力于保护大型网站系统的安全运行,成千上万次的查询请求或攻击对谷歌来说影响非常微小,然而,突然面对一个小型网站的保护,我显得有点措手不及。由于Krebs的网站原先最多只能承受每秒20次的请求,但这次攻击峰值却达到了每秒450,000次请求。面对这种情况,作为安全工程师的你会怎么处理?这确实有点棘手。但首先你可以识别和限制攻击流量,然后通过缓存分散正常流量,这样一方面可以给服务器减负,另外在服务器出现故障时,还能为浏览用户正常提供缓存内容,形成一个暂时的“在线”状态。

当问道在DDoS防护商Akamai宣布停止为KrebsOnSecurity提供无偿保护之后,为什么Google愿意免费提供这项网站保护服务?Menscher给出了解释:

“我们暂且不提规模经济方面的考虑。因为谷歌具备很多方面的技术实力,通过这些技术基础设施的共同发挥,完全有能力构建一个有效DDoS后备防御体系。我想Akamai也希望具备这样的能力,但在同一时间两次强大的DoS攻击面前,攻击者发起的各种类型的攻击占了上风,转而慢慢蚕食了他们的防御能力。”

对Menscher来说,最终的体会是,像Google这样运行着至关重要的业务,一年离线状态不会超过5分钟的公司,有必要作出一些冒险和挑战的尝试。

他进一步解释,“我是一个唯物论者,在现实中我们总尝试去分辨世界是如何运转的,但基于此,我们必须有正确的问题导向,必须去做一些调查研究,也必须主动去质疑一些假设。这种道理与DDoS防御是相似的,我们不能总看到眼前的攻击,还需更加积极、更加冒险地去应对或挑战一些未知的攻击。”

责任编辑:武晓燕 来源: FreeBuf
相关推荐

2019-02-15 15:24:07

2017-01-17 16:21:41

2017-02-08 17:10:32

2013-02-26 10:08:21

2015-04-02 16:32:01

2015-09-23 15:33:44

2018-06-10 15:30:36

2022-01-18 09:45:15

PoW-ShieldDDoS邮件攻击

2021-03-21 11:23:51

DDoS攻击网络犯罪威胁勒索

2013-03-13 10:47:40

2013-06-20 13:38:30

2021-10-22 08:57:39

僵尸网络IoTDDoS攻击

2022-07-28 16:50:54

安全DevOpsAPI

2010-09-17 11:04:00

2010-09-16 21:20:02

2013-02-18 09:32:28

2013-10-22 09:20:20

2013-10-22 10:36:49

2023-03-24 10:32:31

2019-11-22 16:48:09

网络安全电子商务脚本语言
点赞
收藏

51CTO技术栈公众号