Anonymous攻击国内金融机构： 紧急抗D48小时纪实

世界是平的，网络世界更是。

一次全球性的网络攻击行动，除了在CNN、 BBC等海外新闻媒体上看到之外，也真真切切地发生在我们的身边……

正所谓“武功再高，也怕菜刀；衣服再diao，一砖撂倒”。DDoS攻击，作为网络攻击中的常青树，素来有“网络板砖”的美誉：唾手可得，送货到家，一击致命。

让我们一起来看看，跨国DDoS攻击是如何展开的？我们是如何防护的？

【12月11日，Twitter网站】前奏

疑似匿名者（以下称Anonymous）的黑客组织成员Lorian Synaro突然发推，鼓动对全球中央银行网站，发起代号为“OpIcarus 2018” 攻击。

说到Anonymous，在网络安全界无人不知、谁人不晓。他们是遍布在全球范围的一群年轻人， 拥有高超的网络安全知识， 不从属于任何国家和政府， 为了表达自己的立场、发表自己的观点， 曾先后攻击PayPal、索尼、声援维基解密。

任何人都可以宣称代表或属于该组织，有人称这是全球最大的黑客组织。

他们有一段自己独有的口号，往往会出现在Anonymous官网或视频里：

We are Anonymous.（我们是匿名者）

We are a Legion.（我们是军团）

We do not forgive.（我们不会原谅）

We do not forget.（我们不会忘记）

Expect us.（期待我们）

而具体到本次的OpIcarus行动，全称为Operation Icarus，旨在针对全球的中央银行进行网络攻击，用以表达Anonymous的立场：

• 各国政府需停止一切战争。（小编：尤其是MY战）
• 各国政府需将民众的管理权归还给大众。（小编：都归德国管？）
• 不得剥削工薪阶层。
• 不提倡贪婪和追求物质享受。（小编：像华为学习！）

……

有哪些银行是他们的攻击目标？Anonymous指哪打哪，已经事先列出来了，算是向它们发起宣战：

http://anonymousglobaloperations.blogspot.com/

行动代号为什么叫Icarus？这个也是有讲究的。Icarus是希腊神话中的一个人物， 他与自己的父亲， 使用蜡和羽毛制造出翅膀， 企图逃离自己所在的一个岛屿。起初他们是成功的，但由于狂妄和傲慢，Icarus沾沾自喜而飞得太高，导致翅膀上的蜡，被太阳所融化，从而跌落在水中而丧生。Anonymous认为全球金融机构们贪婪、狂妄，本次攻击是对他们的惩罚。

【12月13日19:00，XX银行安全中心】攻击开始

XX银行突然发现本银行的网上银行业务和手机银行APP，均出现访问迟缓，客户无法正常使用的情况。

无疑，Anonymous的攻击开始了。但好奇的是，为啥防御失灵了呢？

XX银行全网用的是L*的抗D设备，当攻击开始后，L*的设备扛不住了。由于平时对XX银行的业务不了解，所以策略配置是眉毛胡子一把抓，无论是网站、网银还是手机APP等，都统一在几条策略之下。这样的防护效果可想而知，针对整体流量做防护，很有可能某些小流量业务已经被DDoS攻瘫了，但由于还没有触碰到整体流量的防御阀值，从而没有进行任何防护动作。L*的维

护人员也进行了现场支援，但依然无计可施，凉凉……

我们的抗D故事，也就从此开始了……

【12月14日16:00，华为安全应急响应中心】紧急求助电话

电话响起， XX 银行希望华为 AntiDDoS 团队能紧急支援 ， 上线华为的AntiDDoS8030设备，去应对目前所正在遭受的攻击。

华为AntiDDoS团队紧急召开了会议， 联想到前几天Anonymous刚刚发推，宣布要发起OpIcarus新一轮行动，大家紧张的心情反而有些舒缓开了。因为这是我们所熟悉的对手，3年前，华为AntiDDoS团队就曾和OpIcarus早期行动有过直接交手……

那是在2015年， 为了谴责土耳其政府支持ISIS组织， Anonymous在推特上下完战术之后，便发起了OpIcarus行动。从2015年12月14日 （同样发生在12月14日前后， 难道这个日子对他们有什么特殊的意义？） 开始，大规模的DDoS攻击奔着土耳其银行和政府网站就去了！

在之后的几天里，土耳其三家知名银行：Ziraat，Isbank 和 Garanti，所遭受的攻击流量峰值带宽一度达到了 40Gbps！而几个政府部门的官网，也直接被攻击得下线了。

当时一名土耳其电信的官员，在接受路透社采访时称：

这次网络攻击事件很严重，但目标并不是针对土耳其电信。反而，土耳其的银行和政府网络受到了严重的攻击。现在大多数的土耳其机构使用土耳其电信作为网络服务商，所以目前我们在积极应对这次网络攻击并做好防御工作。

这个“积极应对”的背后，其实是华为 AntiDDoS 产品在与攻击鏖战！

当时，土耳其电信在国际关口局，部署的抗 D 设备，正是华为 AntiDDoS产品。其境内大多数的银行和政府网站，都是在华为 AntiDDoS 的保护之中。

但不巧的是，当年 Anonymous 发起的攻击，以 TCP Flood 和 UDP Flood 等网络拥塞型攻击为主，虽然识别难度不大， 但是性能超过了40Gbps。而土耳其电信现网的华为 AntiDDoS 产品，只采购了 10Gbps 处理能力。为此，华为现场紧急扩容业务处理板卡，研发工程师 7*24 小时远程值守！各类 DDoS 攻击被成功阻断，网站访问恢复正常。

一张图回顾下这场攻击，报表显示的是从 12 月 14 日攻击开始到 31 日攻击结束的攻击流量峰值带宽图。攻击在 12 月 17 日达到了最高的 40Gbps ！

三年过去了，又一封战书下达……我们自然责无旁贷地肩负起保护自家银行的重担，看看OpIcarus又有什么新的招数使出来。

紧急会议完毕之后，华为派出了资深专家小T，立即出差到客户现场。

【12月14日23:00，XX银行安全中心】进入战斗

经过2个多小时的飞行，小T被早已安排好的接机人员，直接送到了XX银行安全中心作战室现场。 推开门的一瞬间，压力扑面而来， XX银行的一名副行长以及几个处长都已经在现场值守，整个作战实验室氛围凝重。镜头转向某个角落，L*的维护也在，但是明显已经放弃治疗了。

小T立即进入状态，与客户就应对策略展开讨论。客户介绍说，由于了解到本次攻击疑似是跟Anonymous的OpIcarus行动相关，所以猜测DDoS攻击是来自境外居多。 现在是在运营商层面， 通过所购买的云清洗服务在进行 “海外IP流量过滤” 的操作。从效果上来看，确实起到了一定的防护作用。入口的网络带宽不再被拥塞，但海外的真实客户却也一并被运营商给屏蔽了。没办法，先应急。

“海外IP流量过滤”？这个功能在我们的AntiDDoS设备上就有，不用在运营商侧配置，毕竟双方沟通起来需要靠电话交流，不如在作战室本地可以随时调试来的方便和直接。可以考虑在华为AntiDDoS设备上开启这个策略。

小T的建议立刻得到了客户的认可并启动实施，这样一来，观察DDoS攻击流量变化更方便了，但风险也有，毕竟所有的攻击都改由华为设备来防护了。

配置好 “海外IP流量过滤” 之后， DDoS攻击流量明显下降， 但多年的抗D运维经历告诉小T：抗D的难点不在于能否防住DDoS攻击， 而在于防住的同时， 不影响正常的业务访问。去伪存真是最高水平。

像XX银行这种全球性的银行，必然会使用CDN业务来提升海外客户的使用体验，所以需要在过滤海外IP流量的同时，将CDN业务的已知IP放入白名单， 留下入口，尽可能地保护海外正常客户的访问需求。

第一招小结，“海外IP流量过滤”+“CDN IP白名单”

这实际上是权宜之计，无疑将误伤海外客户（有可能是国外客户，有可能是国内客户出差到海外）的正常访问。先看看对方的攻击会持续多长吧，如果持续时间比较长，我们还得继续想办法，更换细粒度的防护策略。

时间一分一秒地过去，DDoS攻击没有停下来的迹象。

小T和客户商量后决定，更换防护策略。但换成什么呢？

结合2015年在土耳其电信对抗Anonymous的经验，小T决定先针对网络层TCP Flood和UDP Flood进行防护，毕竟这是对方常用的攻击手段。

想到这里，小T祭出了华为AntiDDoS上多年来针对金融行业客户的网络层DDoS防护策略模板，里面包括了：

• 检查SYN报文的正确序列号
• 检查ACK、FIN和RST报文
• UDP反射放大过滤以及限速

这是在解除了“海外IP流量过滤”之后，通过对L4传输层报文的细粒度检查，同样消除了大量的DDoS攻击流量。 后台监控显示， XX银行的网络入口拥塞问题没有发生，说明这个策略起到了作用。这样做，既能清洗旨在制造网络拥塞的DDoS攻击，同时又保护了海外客户的正常访问，相比第一招，更加合理有效。

防御初见成效，小T和客户都长出了一口气！

第二招小结，TCP Flood防御 + UDP反射放大攻击防御

【12月15日14:00，XX银行安全中心】一波还未惊醒，一波又来侵袭

经过一晚上加一个上午的观察，此前拥塞网络的DDoS攻击流量没有上升，证明了昨晚的部署策略有效。 不过， 这只是扑灭大范围的明火， 更多细小的暗火还待灭掉。这些小火苗藏在不起眼的位置，贴近易燃易爆物品，更加危险。

网络虽然不再拥堵，但网银业务依然不稳定。这明显是有针对网银业务的CC攻击在作祟，他们流量不大，但可以导致网银业务的服务器资源耗尽。

客户跟小T说， 造成拥塞的DDoS已经搞定了，你就好好观察待命吧，剩下的CC攻击，我们有F*的负载均衡，上面可以开启WAF防御能力，来搞定针对网银服务器的CC攻击。你们一粗一细，配合起来使用。

但过了1小时之后，客户又回到小T面前，眉头紧锁。原来， F*的负载均衡产品在开启了WAF防御能力之后，误杀了正常业务、安全日志写满、 CPU占用率提升……还是试试你们AntiDDoS的CC攻击防御能力吧。

【12月15日14:30，XX银行安全中心】粗活细活一肩扛

小T拥有10年的抗D经验，对于CC攻击自然不陌生，这是一种旨在耗尽资源的DDoS攻击类型，说白了就是要让你“烧脑”，没有脑力去做正常事情。

CC攻击也分两大类，网络层CC攻击和应用层CC攻击。对于网络层CC攻击来说，黑客会不断发送TCP握手报文，希望能建立连接。建立成功后，长期占有会话资源，或者直接Reset掉，再重新发起握手。总之就是要不断地跟你打招呼，让你没法跟别人正常地说句话。 对于应用层CC攻击来说，他们会在建立好TCP连接的基础上，进一步在HTTP层面发起请求，同样的原理，不断向你提问相同的问题，让你没有办法回答其他人的正常询问。

针对网络层CC攻击， 小T使用了TCP Connection技术，它会监控每一个TCP会话的健康度，譬如是否是空连接，是否在频繁建立、拆解，是否是来自没有真实源的建立请求……一旦认定某个IP的TCP建立请求有异常，属于网络层CC攻击的行为，就会直接将这个IP地址放入到黑名单中，下次不予理会。

从管理平台上监控到， 被自动加入黑名单的IP地址数量，不断增加，最高达到了4000+。小T心里也捏了一把汗，生怕有正常访问被误伤了。所以立即随机抽取了一些被加入黑名单的IP进行检查，发现基本都是来自海外国家，如印尼、秘鲁、泰国、蒙古、埃及、印度……没问题，证明被禁止的IP是非正常业务，都是来自业务不相关国家的攻击源。

针对应用层CC攻击， 这是比较难对付的攻击方式。 正在小T一筹莫展的时候，突然想起上个月，自己在运维华为云的高防服务时，也遇到了HTTP GET Flood这种应用层CC攻击。 当时， 华为云高防团队使用了HTTP 302重定向的防御策略，效果不错。302重定向是对HTTP请求方进行 “源认证”的方式， AntiDDoS会代替网银业务服务器向客户端反馈302状态码，告知客户端需要重定向到新访问地址，以此来验证客户端的真实性：真实存在的客户端可自动完成重定向过程， 则通过认证；而虚假源或一般的DDoS攻击 工具 没有实现完整的HTTP协议栈，不支持自动重定向，无法通过认证。这对AntiDDoS设备的性能是极大的考验。

小T跟客户的沟通后， 大家决定该防御策略先在XX站点做试点。 经过一段时间的稳定测试：未实施该策略的站点服务器5分钟出现一次故障，实施该策略的站点业务保持正常。小T这才松了口气。

第三招小结，TCP Connection + HTTP 302重定向

【12月21日】复盘

这次面向XX银行的DDoS攻击，通过后续的抓包分析来看：

• 90%以上的绝大部分流量来自海外；
• 攻击源以物联终端为主，包括摄像头、 DVR及打印机， 甚至还有近期大面积沦为矿机的M*家用路由器（看来是比特币大跌，矿机生意不好做，都改回DDoS老本行了）；
• 攻击类型包括TCP Flood，UDP放大攻击，网络和应用层的CC攻击；
• 持续了一周左右的时间；

值得注意的是， 物联终端具有较为完整的网络协议栈，但自身的安全性又较为脆弱，一旦被劫持之后变成 “肉鸡” ，便会被黑客操控成为DDoS攻击的载体。

正是由于物联网“肉鸡”数量大幅度增加，全球DDoS攻击的数量、攻击规模都大幅提高，影响也不断扩大。

【12月24日】感受

经过一周的现场支撑，小T已经回到了北京，经验值又提升了两格。说到这次抗D经历，小T的感受是：

• 抗D运维时，安全策略需要针对客户的不同业务来区分；
• 抗D容易，但一边抗D一边保护正常业务访问，非常难；
• 攻击方在不断演进，从攻击类型到所能使用的资源；
• 抗D难度在增加，需要不断总结每次交手时获取的经验（好在自己天天在华为云高防业务上打怪升级） 。 这些经验也都通过“策略模板”和新版本特性等方式，固化到了华为AntiDDoS产品上，让更多的客户得到更高质量的防护。