在上周11日临近3·15期间,“安全牛”网站忽然遭到连续几天的CC攻击,导致网站无法正常访问。经阿里云安全工程师快速响应后,访问速度得到很大缓解。但在13日周五晚,攻击变得疯狂起来,并演变成带宽DDOS,最高峰值达到40多G。
11日上午11点多,有用户反映“安全牛”网站网页打开速度超慢,负责运维的工程师经检测后发现网站首页面遭攻击IP不断访问,每一个IP发出大量连接,致使数据库资源耗尽无法响应正常的用户访问。经简单的防火墙配置,情况得到缓解,但很快防火墙资源超载。维护人员只好求助服务提供商,阿里云。
阿里云安全工程师接到求助信息后,远程协助安全牛运维人员,很快将网站接入阿里云云盾,不长时间后,安全牛网站访问基本恢复正常。
攻击来源是僵尸网络
“就是遭到了CC攻击。”,12日上午阿里云安全工程师“同和”(花名)指着电脑屏幕上阿里云云盾监测到的攻击图说,“这个网站(安全牛)往常的QPS(每秒查询率)是每秒5次,在遭受攻击时,QPS是平均每秒60次,是正常访问量的十几倍。这样就直接导致网站服务器CPU占用率几乎百分之百,中间件负载过大,数据库受影响,网页无法正常打开。
安全牛网站在开启了阿里云云盾的cc防护模块后,立即对访问的URL、源ip进行行为分析,并对访问异常的请求数据进行过滤,短短几分钟后,恶意访问就被云盾拦截在网站外,网站访问恢复正常。
但事情在周五晚又起了变化,网站遭受大流量UDP-flood,CC攻击进一步变成了耗费带宽的DDOS攻击,攻击峰值达到40G左右。
一直在关注网站情况的阿里云云盾工程师意识到普通的CC防护已无法抵御这种程度的攻击,随即决定将网站转移到云盾高防,并进行对攻击IP的完全清洗,半个小时后网站终于恢复正常。“攻击来源很分散,全国各地都有,应该是受操控的肉鸡电脑或僵尸网络”阿里工程师分析说。
之后一直到3·15结束后的3月16日,攻击才渐渐停止。但期间发生的恶意攻击IP,数次被阿里云云盾高防成功清洗,保证了网站的正常访问。
谁在发动攻击?
CC攻击是DDoS攻击的一种,黑客通过代理服务器或肉机在同一时间以超过网站负载的访问量频繁地访问网站,导致服务器暂时性、间歇性的中断。该攻击可以通过控制僵尸网络来实现。熟悉黑客技术的人可以直接发起攻击,普通人也可以雇佣黑客发动攻击。
为什么要攻击一个专业媒体网站呢?“安全牛”主编李少鹏认为是网站上一些文章报道触动了某些企业的利益。“我们有时会接到删稿的要求,但对于内容符合事实的文章我们都会拒绝。有可能是今年的3·15临近,而且今年的3·15网络安全是关注重点。既然删稿未果,于是只好攻击我们网站了。但这也正好给我们提了个醒,继续保持中立报道是多么重要”。
不过,李少鹏认为网络环境会越来越安全。,他说今年的“两会”上,多个人大代表建议尽快建立健全信息化和网络安全的法律法规体系,以加强对恶意攻、网络犯罪的严惩,“再加上类似阿里云云盾等这种专业的安全服务提供者技术保障,相信未来的网站将会更加安全”。