不交“赎金”就打爆！出海游戏企业如何应对 DDoS 勒索

近年来，中国互联网出海已成燎原之势，游戏出海，网络先行。但是，DDoS 攻击却始终是环绕在出海游戏企业头顶的噩梦。

近期，UCloud 安全中心就接到一例关于 DDoS 勒索攻击的求助，最终经过完备的云上安全防护，成功逼退黑客。

不交“赎金”就打爆！

2019 年 12 月下旬，某游戏公司突然遭到 70G 流量的 DDoS 攻击，并基于前期购买的 UCloud 高防服务抵抗住了这一波攻击。游戏公司负责人 G 先生本以为这就是一次小打小闹，黑客方应该已经知难而退。

没有料到的是，这仅仅是一次攻击的前奏曲。

当天晚上，G 先生便收到了来自黑客组织的勒索消息。黑客方声称来自 A 记，A 记是一个臭名昭著的国际黑客组织，从 2018 年起便陆续被各大安全厂商曝光 DDoS 勒索的行径。

图：黑客勒索的沟通截图

在 G 先生与黑客的沟通过程中，黑客声称第一次的 70G DDoS 攻击只是一个引子，如若 G 先生不妥协，将持续发动更大规模的攻击。

这也是 A 记黑客组织一贯的攻击套路，通常先进行小规模攻击试探，并威胁企业支付“赎金”，如果被拒便会发起更为猛烈的大流量攻击，以此胁迫企业就范。可以看出来，黑客应该已有多次勒索成功经历，似乎笃定了这次 G 先生也会妥协，言辞之间非常狂妄嚣张。

图：黑客态度非常狂妄

妥协 or 拒绝？

可能有很多人不太理解，为什么黑客组织会有勒索成功的经历，以下稍作说明。

DDoS 攻击与其他黑客攻击的区别在于，DDoS 没有太多花样，不像钓鱼链接、后门等需要伪装潜伏的攻击手段，DDoS 攻击非常简单粗暴，就是以攻击量取胜。

这也便导致了 2 个问题：

1、防御成本远远高于攻击成本；

2、大流量攻击下出海游戏企业难以抵御。

什么意思呢？对于游戏企业来讲，网络稳定性至关重要，访问中断几小时或者几天，便足够毁掉一个企业。正因如此，不少黑客瞄准了受害者的心理，出海游戏企业便成为了 DDoS 受害的重灾区。此外，当发生上百 G 甚至更高的大流量攻击时，通常需要多集群防护与足够的带宽资源，这也对提供抗 DDoS 服务的安全企业提出了较高的要求。

由于缺钱缺资源、攻击紧迫性又非常高，不少企业出于“花钱买平安”的心态，便会屈服于黑客的勒索之下。

此时，摆在 G 先生面前也是同样一个问题：妥协 or 拒绝？

毫无疑问，G 先生果断拒绝。

成功化解 300G 大流量攻击

黑客与 G 先生谈崩以后，恼羞成怒，摈弃之前小规模的试探，在当天下午 2 点钟左右便开始发动猛烈的攻势。如下图，攻击流量瞬时达到了近 300G 的峰值！

图：攻击流量监控图

可能有读者无法直观体会 300G 大流量攻击的威力，来看近期发生的一个案例：2 月 28 日，加密货币交易所 OKEx 先是遭到 300G 流量攻击，致使网络宕机 1 分钟左右，之后又遭到 400G 流量攻击，直接导致 OKEx 暂停相关交易 40 分钟。

在本次针对游戏企业的攻击过程中，除了超大流量外，黑客还发动了多种攻击手段，先是DNS 反射与 LDAP 反射齐飞，接着又陆续发动TCP SYN Flood、ACK Flood以及各种IP 层报文的混合攻击……总攻击时长持续73 分钟，累计攻击流量39PB。

图：各类攻击手段数据统计

可以看到，黑客几乎拿出了所有看家本领。但是，在 UCloud 的协助布防下，这次攻击对用户网络丝毫无影响，在此期间，游戏业务正常稳定运行。

图：与用户确认业务是否受影响

在游戏公司遭受第一波小规模 DDoS 攻击时，UCloud 安全中心便已介入了解该事件。在了解到勒索情况后，由于无法预估黑客具体的攻击数字，UCloud 和用户沟通后建议采用弹性防护措施布防，并先后采取高防 IP 分配、特殊转发规则配置、精细化防护策略添加等手段，实现隐藏用户源站 IP 的效果。

当黑客开始攻击时，所有的攻击量及攻击手段全部被转移至 UCloud 云端高防 IP 站点，该高防站点设置攻击上限为 1T，可轻松实现 300G 的攻击量抵御。最终，成功逼退 A 记黑客组织。

黑客攻击手段分析

此次事件并不是个例，在 UCloud 安全中心的监测历史中，DDoS 攻击的发生频率非常高，我们也帮助用户做了不少防御。

我们注意到，黑客的攻击手段在不断进化，除了常规的的 Syn Flood 攻击、CC 攻击等，近几年更为流行的是反射放大型攻击，也是本次攻击过程中黑客使用较多的一类手段：攻击者只需要付出少量的代价，即可对需要攻击的目标产生巨大的流量，对网络带宽资源、连接资源和计算机资源造成巨大的压力。

常规 DDoS 攻击的缺点是耗时长且隐蔽度不够，黑客很可能出现伤敌一千、自损八百的情况，而反射放大型攻击则充分实现了四两拨千斤的效果。

图：反射放大攻击示意

以 DNS 反射放大型攻击原理为例，网络上有大量的开放 DNS 解析服务器，它们会响应来自任何地址的解析请求。通常发出很小的解析请求长度后，便会收到大量的结果，尤其是查询某一域名所有类型的 DNS 记录时，返回的数据量就更大了。攻击者利用被控制的机器发起伪造的解析请求，然后将放大数倍的解析结果返回给被攻击目标，以此达成反射放大攻击的目的。

公有云抗 DDoS 指南

针对公有云 DDoS 防护问题，除了常规的高防服务以外，我们还自研了 Anycast 全球清洗技术，充分利用 UCloud 覆盖全球多地域节点的 BGP 宣告能力及节点间的专线资源，帮助海外公有云用户实现 DDoS 的无忧防护。

Anycast 清洗技术主要针对部分海外业务场景中网络复杂、基础设施保障不稳定的情况，如下图，基于强大的检测集群、清洗集群及上联带宽资源，AnycastClean 可从横向扩充清洗节点的角度完成大流量 DDoS 清洗。

图：攻击流量被引至法兰克福 /华盛顿 /台北节点分散清洗

同时Anycast清洗能力不设上限，集合海外多个地域节点的清洗能力，可帮助用户全力进行抗攻击保障。换句话讲，AnycastClean 能够将海量集中的攻击源分散至多处 UCloud 海外节点，将原本巨大的攻击流一一化解，从而达到以柔克刚的效果

结语

在面临黑客 DDoS 攻击和恶意勒索时，相信没有一个公司愿意屈服。事实上这是一场决心和能力的博弈，如果有坚强的决心，加上完善的技术手段、足够的资源和运营经验来应对，来自外部的攻击是可以化解的。UCloud 作为业界领先的云服务商，也一直在完善我们的能力，为客户的业务提供全方位的防护。