那些年,DDoS的那些反击渗透的事情。
DDoS攻击与对策
DDo(Distributed Denial of Service),即分布式拒绝服务攻击,是指黑客通过控制由多个肉鸡或服务器组成的僵尸网络,向目标发送大量看似合法的请求,从而占用大量网络资源使网络瘫痪,阻止用户对网络资源的正常访问。
从各安全厂商的DDoS分析报告不难看出,DDoS攻击的规模及趋势正在成倍增长。由于攻击的成本不断降低,技术门槛要求越来越低,攻击工具的肆意传播,互联网上随处可见成群的肉鸡,使发动一起DDoS攻击变得轻而易举。
DDoS攻击技术包括:常见的流量直接攻击(如SYN/ACK/ICMP/UDP FLOOD),利用特定应用或协议进行反射型的流量攻击(如,NTP/DNS/SSDP反射攻击,2018年2月28日GitHub所遭受的Memcached反射攻击),基于应用的CC、慢速HTTP等。关于这些攻击技术的原理及利用工具网上有大量的资源,不再赘述。
1.1 DDoS防御常规套路
防御DDoS的常规套路包括:本地设备清洗,运营商清洗,云清洗。
1.本地设备清洗
抗DDoS设备(业内习惯称ADS设备)一般以盒子的形式部署在网络出口处,可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引,其基本部署方案如图18-1所示。
图18-1 ADS 设备部署方式
图18-1中的检测设备对镜像过来的流量进行分析,检测到DDoS攻击后通知清洗设备,清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备,然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到网络中;当检测设备检测到DDoS攻击停止后,会通知清洗设备停止流量牵引。
将ADS设备部署在本地,企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击,同时结合盒子提供的可定制化策略和服务,方便有一定经验的企业用户对攻击报文进行分析,定制针对性的防御策略。目前国内市场上,主要以绿盟的黑洞为代表,具体可以访问其官网进一步了解。
本地清洗最大的问题是当DDoS攻击流量超出企业出口带宽时,即使ADS设备处理性能够,也无法解决这个问题。一般金融证券等企业用户的出口带宽可能在几百兆到几G,如果遇到十G以上甚至上百G的流量,就真的麻烦了,更别谈T级别的DDoS攻击了。
2.运营商清洗
当本地设备清洗解决不了流量超过出口带宽的问题时,往往需要借助运营商的能力了,紧急扩容或者开启清洗服务是一般做法,前提是要采购相应的清洗服务,而且一般需要通过电话或邮件确认,有的可能还要求传真。
运营商的清洗服务基本是根据netflow抽样检测网络是否存在DDoS攻击,而且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如电话、邮件、传真等,真正攻击到来时处理可能会更慢,需要重点关注。
值得一提的是中国电信的云堤服务,提供了“流量压制”和“近源清洗”服务,而且还提供了自助平台供用户操作,查看流量、开启清洗也非常方便。
3.云清洗
内容分发网络(Content Delivery Network,CDN)是指,通过在网络各处放置节点服务器,让用户能够在离自己最近的地方访问服务,以此来提高访问速度和服务质量。CDN主要利用了四大关键技术:内容路由,内容分发,内存存储,内容管理。更详细的技术原理可以参考中国电信研究院出版的《CDN技术详解》。
CDN技术的初衷是为了提高互联网用户对静态网站的访问速度,但是由于分布式、就近访问的特点,能对攻击流量进行稀释,因此,一些传统CDN厂商除了提供云加速功能外,也开始推出云清洗的服务,当然还有一些安全公司基于其自身优势进入云清洗市场。基本原理都一样,需要先在云端配置好相应的记录,当企业遭受大规模攻击时,通过修改其DNS记录将要保护的域名CNAME到云端事先配好的记录上,等待DNS生效即可。
使用云清洗需要注意以下几个问题:
1. -·云清洗厂商需要提前配置好相应记录。 ·DNS修改记录后,需要等待TTL超时才生效。
2. ·直接针对源IP的攻击,无法使用云清洗防护,还要依靠本地和运营商清冼。
3. ·针对HTTPS网站的防御,还涉及HTTPS证书,由此带来的数据安全风险需要考虑,市面上也有相应的Keyless方案{n1}。
由于国内环境不支持Anycast技术,所以不再赘述,如果有海外分支机构的网站需要防护,可以关注。
{nt1|其细节可以参考cloudflare公司博客上的文章,链接:[]()。
一些经验
结合笔者的一些经验,对DDoS防护落地做一些补充,仅供参考。
1.自动化平台
金融企业由于高可用要求,往往会有多个数据中心,一个数据中心还会接入多家运营商线路,通过广域网负载均衡系统对用户的访问进行调度,使之访问到最近最优的资源。当任何一条接入线路存在DDoS攻击时,能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。在针对IP地址开展的DDoS攻击中,此方案能够有效保障正常客户的访问不受影响,为了实现快速切换,需要通过自动化运维平台来实现,如图18-2所示。
图18-2
线路调整一键应急配合必要的应知应会学习和应急演练,使团队成员都能快速掌握方法,在事件发生第一时间进行切换,将影响降到最小。接下来才是通知运营商进行清洗处理,等待流量恢复正常后再进行回切。
当某一个业务的IP受到攻击时,可以针对性地处置,比如一键停用,让正常用户访问其他IP;也可以一键开启清洗服务。
2.设备抗D能力
除了ADS设备外,还有一些设备也需要关注抗DDoS能力,包括防火墙、负载均衡设备等。
出于安全可控需求,金融企业往往会采用异构模式部署防火墙,比如最外层用产品A,里面可能会用产品B。假如产品A的抗DDoS能力差,在发生攻击时,可能还没等到ADS设备清洗,产品A已经出问题了,比如发生了HA切换或者无法再处理新的连接等。
在产品选型测试时,需要关注这方面的能力,结合笔者所在团队经验,有以下几点供参考:
1. ·某些产品在开启日志记录模块后会存在极严重的性能消耗,在可能存在攻击的环境内建议关闭。
2. ·尽管理论和实际会有偏差,但根据实际测试情况,还是建议当存在大量TCP、UDP新建连接时,防火墙的最大连接数越大越好
3. 多测试多对比,从对比中可以发现更优的方案,通过适当的调整优化引入更优方案。
4. ·监控防火墙CPU和连接数,当超过一定值时开始着手优化规则,将访问量多的规则前移、减少规则数目等都是手段。
负载均衡设备也需要关注以上问题,此外,负载均衡由于承接了应用访问请求分发调度,可以一定程度上针对性地防护基于IP速率、基于URL速率的DDoS攻击以及慢速攻击等。图18-3所示为F5的ASM的DDoS防护策略。
图18-3
负载均衡设备ASM防DDoS功能
请求经过防火墙和负载均衡,最后到了目标机器上处理的时候,也需要关注。系统的性能调优设置、Nginx的性能参数调整以及限制连接模块配置等,都是在实际工作中会涉及的。
3.应急演练
部署好产品,开发好自动化运维平台,还要配合必要的应知应会、应急演练才行。因为金融行业的特殊性,DDoS攻击发生的次数相比互联网行业还是少很多的,有的企业可能几年也碰不到一次。时间久了技能就生疏了,真正需要用到时,可能连登录设备的账号口令都忘了,又或者需要现场接线的连设备都找不到,那就太糟糕了。
此外,采购的外围的监控服务、运营商和云清洗产品的服务能力也需要通过演练来检验有效性。签订合同时承诺的秒级发现、分钟级响应是否经得起考验,要先在心里打上一个问号。建议在不事先通知的情况下进行演练,观察这中间的问题并做好记录,待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。
互联网金融可能面临哪些风险?如何避免?
第一是信用违约风险,即互联网理财产品能否实现其承诺的投资收益率。例
如,阿里巴巴的余额宝当前的收益率低于5%,且余额宝的性质是货币市场基金。但百度百发的预期收益率高达8%,这就不由得让我们想问,百发最终投资的基础
资产是什么?在全球经济增长低迷、中国经济潜在增速下降、国内制造业存在普遍产能过剩、国内服务业开放不足、影子银行体系风险逐渐显现的背景下,如何实现
8%的高收益?除了给企业做过桥贷款、以及给房地产开发商与地方融资平台融资外,还有哪些高收益率的投资渠道?
第二是期限错配风险,即互联网理财产品投资资产是期限较长的,而负债是期限很短的,一旦负债到期不能按时滚动,就可能发生流动性风险。当
然,金融机构的一大功能就是将短期资金转化为长期资金,因此金融机构都会面临不同程度的期限错配,而其中的关键是错配的程度。联想到百度百发给出的承诺是
允许投资者随时赎回,这无疑最大程度地加剧了流动性风险。既要允许随时赎回,还能给出8%的预期收益率,这当然令缺乏经验的投资者欢欣鼓舞,但也会令富有
经验的投资者疑虑重重。
第三是最后贷款人风险。如
前所述,尽管商业银行也面临期限错配风险、商业银行发行的理财产品也面临信用违约风险与期限错配风险,但与互联网金融相比的一个重要区别是,商业银行最终
能够获得央行提供的最后贷款人支持。当然,这一支持是有很大代价的,例如商业银行必须缴纳20%的法定存款准备金、自有资本充足率必须高于8%、必须满足
监管机构关于风险拨备与流动性比率的要求等。相比之下,互联网金融目前面临监管缺失的格局,因此运营成本较低,但如果缺乏最后贷款人保护,那么一旦互联网
金融产品违约,最终谁来买单?互联网金融企业有能力构筑强大的自主性风险防御体系吗?
除上述传统风险外,中国互联网金融产品还面临一系列独特风险,以下笔者将按照重要性由高至低的排序来依次梳理这些风险:
其一是法律风险。目
前互联网金融行业尚处于无门槛、无标准、无监管的三无状态。这导致部分互联网金融产品(尤其是理财产品)游走于合法与非法之间的灰色区域,稍有不慎就可能
触碰到“非法吸收公众存款”或“非法集资”的高压线。例如,前段时间湖北省的天力贷在运行半年后被挤兑、停止运转后,就是被以非法吸收公众存款而立案的。
由于缺乏门槛与标准,导致当前中国互联网金融领域鱼龙混杂,从业者心态浮躁、一拥而上,一旦形成互联网金融泡沫,并出现较大幅度违约的格局,就很容易导致
中国政府过早收紧对互联网金融的控制,从而抑制行业的可持续发展。中国的互联网金融业应避免重蹈当年信托业、证券业发展初期的乱象。
其二是增大了央行进行货币信贷调控的难度。一
方面,互联网金融创新使得央行的传统货币政策中间目标面临一系列挑战。例如,虚拟货币(例如Q币)是否应该计入M1?再如,由于互联网金融企业不受法定存
款准备金体系的约束,这实际上导致了货币乘数的放大。又如,如何来看待传统货币与虚拟货币之间的互动与转化?另一方面,互联网金融的发展也削弱了中央政府
信贷政策的效果。例如,如果房地产开发商传统融资渠道被收紧,那么很可能会考虑到通过互联网金融来融资。事实上,最近一年来中国互联网理财产品的大发展,
其宏观背景就与中国政府收紧了对影子银行体系的监控,导致地方融资平台、房地产开发商等市场主体不得不寻找新的融资来源有关。
其三是个人信用信息被滥用的风险。首先,由互联网金融企业通过数据挖掘与数据分析,获得个人与企业的信用信息,并将之用于信用评级的主要依据,此举是否合理合法?其次,通过上述渠道获得的信息,能否真正全面准确地衡量被评级主体的信用风险,这里面是否存在着选择性偏误与系统性偏差?
其四是信息不对称与信息透明度问题。如前所述,目前互联网金融行业处于监管缺失的状态。那么,谁来验证最终借款人提供资料的真实性?有无独立第三方能够对此进行风险管控?如何防范互联网金融企业自身的监守自盗行为?毕竟,有关调查显示,目前在互联网P2P类公司中,有专业的风险控制团队的仅占两成左右。
其五是技术风险。与
传统商业银行有着独立性很强的通信网络不同,互联网金融企业处于开放式的网络通信系统中,TCP/IP协议自身的安全性面临较大非议,而当前的密钥管理与
加密技术也不完善,这就导致互联网金融体系很容易遭受计算机病毒以及网络黑客的攻击。目前考虑到互联网金融账户被盗风险较大,阻碍了不少人参与互联网金
融,这其中绝非没有专业的金融或IT人士。因此,互联网企业必须对自身的交易系统、数据系统等进行持续的高投入以保障安全,而这无疑会加大互联网金融企业
的运行成本,削弱其相对于传统金融行业的成本优势。
综
上所述,既然中国互联网金融企业在起步阶段就面临如此之多的风险,那么是否就应该以此为由放慢甚至扼杀这一宝贵的金融创新呢?答案自然是否定的。有关各方
应该在充分考虑潜在风险的基础上,推动互联网金融的稳步、可持续发展。笔者提出的相关建议包括:第一,应充分加强行业自律。用行业准入来替代政府审批,通
过加强行业协会的作用,有助于规范行业的发展,并避免政府的过度介入。目前的中关村互联网金融行业协会,以及互联网金融千人会等,都是有益的尝试;第二,
应该加强投资者教育,充分向投资者提示投资互联网金融产品可能面临的风险,且这一风险显著高于投资类似的传统金融产品的风险;第三,应该加强网络安全管
理,从更高层次上来防范黑客攻击导致的系统瘫痪;第四,监管机构应该构建灵活的、富有针对性与弹性的监管体系,既要弥补监管缺位,又要避免过度监管。
阿里云上线微金融专区提供银行级安全保障
阿里云上线微金融专区提供银行级安全保障
阿里云上线微金融专区提供银行级安全保障,P2P行业已成为黑客们新的“掘金地”,如何提升平台安全能力成为全行业面临的难题。下面是阿里云上线微金融专区提供银行级安全保障!
阿里云上线微金融专区提供银行级安全保障1
P2P网络借贷平台在2014年继续高歌猛进。但据不完全统计,一年以来发生问题的平台就超过200家。在这些热门“死法”中,技术风险异常扎眼。
显然,P2P行业已成为黑客们新的“掘金地”,如何提升平台安全能力成为全行业面临的难题。
1月13日,阿里云宣布金融云微金融专区正式上线,将面向P2P、小贷、典当、担保、众筹等小微金融企业提供定制化的云计算服务,其中金融级的安全保障成为最大“卖点”。
据悉,目前已有近50家小微金融客户启动了向阿里金融云微金融专区的迁移工作。截至2014年11月底,国内P2P平台已超过1540家,其中有数百家活跃在阿里云平台上。
公开资料显示,截至2014年11月,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空等。
同时,由于行业的特殊性,P2P平台在遭遇攻击、网站无法打开时,往往引发投资人对平台跑路的恐慌,产生集中挤兑,间接导致平台“死亡”。
平安董事局主席马明哲曾表示,P2P网贷平台其技术要求不亚于银行,甚至比银行还要高。但现实情况是,大多数P2P网贷平台无论在架构、数据库、安全防范方面,应对黑客的攻击能力几乎为零。
“安全是所有客户的第一个问题。阿里云基于十年积累的攻防技术研发了云盾产品,为客户提供了基于云端的'DDOS防护、主机入侵防护、安全体检、数据库防火墙等一整套云安全服务。”
阿里云金融事业部总监徐敏介绍,金融云微金融专区在数据安全、数据加密、数据使用和审计方面更加严格。
此前证券、基金、银行等大型金融客户专享的同城灾备,将向小微金融企业开放。通过同城灾备服务,客户数据将自动在同城异地机房进行备份,若一处机房出现故障,备份机房可分钟级切换。
此外,微金融云专区还为小微金融企业提供V PN和专线接入服务。与使用公众网络相比,V PN专线服务更利于小微金融企业数据传输的安全和系统管控的顺畅。
跑路事件不断为P2P行业笼罩一层阴影,如何增加公众信任度成为众多平台的困惑。
据了解,阿里云金融云微金融专区采用了云端数据备份技术,具备固定的数据保全机制,使用该服务的P2P平台数据都将完整地予以保存,符合监管部门对于安全性的要求。
“阿里云希望通过技术手段帮助推动行业的阳光化和规范运营。”徐敏表示,此前经常曝出的P2P平台恶意删除客户数据的行为将因此受到严格管控,确保用户的数据安全。这也为规范运营的网贷平台提供了一份信用背书。
阿里云上线微金融专区提供银行级安全保障2
微金融专区简介
金融云—微金融专区是阿里云为微金融行业量身定制的云计算服务。针对微金融的行业特点,提供高可用、高级别、低成本、稳定的云计算服务,让微金融企业轻松应对业务增长,没有后顾之忧。
说明微金融行业包括P2P、小贷、众筹等行业。阿里云微金融专区目前已暂停新服务申请,已在用的服务仍继续提供微金融服务。
金融云与微金融专区的对比
金融云是专门为银行、证券、基金、保险等行业客户提供解决方案的云平台;微金融云是金融云专门为P2P、小贷、众筹等行业提供解决方案的一个子品牌;
两者都提供同城双活的灾备能力;金融云还可选异地灾备,即两地三中心;
金融云有华东1、华东2、华南1、华北2四个地域;微金融只有华东1一个地域;
价格: 金融云相比微金融高30%左右。
微金融专区增值服务
专享高规格物理集群。
同城双活灾备模式,保障应用7X24小时运行,高安全级别的物理集群。
微金融专区客户尊享5Gbps防DDoS特高安全清洗等级。
安全团队会时刻对客户暴露在公网的端口进行实时监测,一旦发现安全风险,将第一时间通知客户进行修补。
专业的售后工程师团队提供7X24小时不间断的技术服务,超快响应速度,高效处理客户需求。
阿里云上线微金融专区提供银行级安全保障3
9月18日消息,在阿里巴巴2020云栖大会上,阿里云推出数字普惠金融平台。
阿里云表示,该平台可以帮助银行像接入电源插排一样,快速进行业务元素、技术元素的对接,有效把控为小微企业发放贷款时面临的风险,进一步解决“不敢贷、不愿贷、不会贷”问题。
普惠金融主要是指银行面向小微企业提供的信贷服务,但长久以来,银行在开展小微业务时常常面临不少挑战,小微企业经营稳定性及抗风险能力弱、又缺乏有效抵质押物,风险不可控;
小微企业贷款金额小,而银行投入成本高,导致银行不愿贷;小微企业没有规范的财务报表,导致银行在信审环节无从入手,导致银行不会贷。
阿里云表示,其推出的数字普惠金融平台,能够协助银行打造四个能力,即金融服务场景化能力、征信数据化能力,风控模型化能力、业务线上化能力,像电源插排一样,帮助银行实现普惠服务的“即插即用”。
阿里云智能新金融事业部首席架构师张翅表示:“银行业利用金融科技,可以推动业务朝着线上化、数字化、智能化方向快速发展。
阿里云数字普惠金融平台希望帮助金融机构提升业务侧的数字化能力,让普惠金融更简单,更可控,更高效。”
权威市场研究机构IDC报告显示,阿里云位居中国金融云市场第一。
公开资料显示,阿里云金融行业客户覆盖60%保险企业,50%证券公司,以及上百家银行客户,其中包括6大国有银行、12家全国性股份制银行、全国一半以上的城商行以及近一半省级农信联社。
银行的安全性不是很高吗,为什么还会被窃取数据?
银行的安全性很高,但是还会出现被窃取数据的情况首先是因为银行内部的工作人员透漏出的一些消息。
银行担保是指银行的现金资产预期收益足以偿还当期和预期负债,消除内外部各种隐患,将风险控制在偿付能力范围内,保证其功能和经营秩序的正常发挥。稳定的。银行安全性可以从三个方面进行分析:第一,单一银行安全与整个金融体系安全的关系。单一银行的安全是整个金融体系安全的基础。其次,金融系统静态安全与动态安全的关系。以静态安全指标为标准,以动态财务监控为手段。
第三,金融体系安全与国家经济安全的关系。从国际金融危机的教训中,我们认识到金融危机往往影响一个国家的经济和政治安全,而不仅仅是金融本身。因此,金融体系安全是国家经济安全。核心而国家经济安全是金融体系安全的前提。
记者采访了数十名银行卡被盗受害者,发现他们中的许多人都有同样的经历,即他们收到了所谓电信运营商或10086、95533等银行的信息,登录后需要输入密码。360首席反欺诈专家裴志勇指出,这些实际上是犯罪分子利用假基站“打包”后发送给用户的含有钓鱼网站的信息。仅360平台监测的钓鱼网站,半天点击量就超过1亿次。
在这些钓鱼网站的假网页上,用户登录后需要输入账号、密码、姓名、身份证号码、银行预留手机号等信息。一旦这些信息填写完毕,作弊者就可以骗走用户的钱。裴志勇说,钓鱼网站的更新速度非常快,每天监控5000到8000个新的钓鱼网站。
手机银行都是电子化自助存款,无纸质证明,一旦被病毒清除数据,该怎么办?
随着互联网、智能手机的大范围普及,各项服务也从传统的实体转战到了线上,大幅度提高了居民生活的便利性,比如话费充值、水电费缴纳、网上购物,以及日益获得居民青睐的网上理财。
现在公司发放工资,基本都是直接打款至我们的银行卡账户,我们可以用于即时消费,当然也可以选择把多余的资金进行理财,比如配置银行的结构性存款,比如存入余额宝,再比如买入一些基金类理财产品。
我们只需要动动手指就能非常简单、轻松地完成一系列的理财动作。但是,其中的安全性隐患也开始越发突出:假如银行的用户数据被黑客攻击、假如某理财平台的系统更新时发生异常,导致部分资料丢失。那么后果将会是非常可怕和严重的!
去银行进行存款,起码还能拿到存款的凭证,即便信息数据丢失,只需要还持有凭证,这笔钱就丢不了,即便是状告到法院,胜诉的概率也很大。
但是,现在互联网理财,没有纸质化的凭证,我们又应该如何预防这个问题的出现呢?如何让我们的资产获得更好的保障呢?
(1)保留电子交易凭证。一般购买基金、配置定期存款,支付完成后都会有一个电子凭证,可以截屏保留在自己的相册中以防万一。
(2)保留账单资金浮动记录。不论是银行app,还是支付宝、理财通平台都具有【账单】功能,记录我们的每一笔收入和开支,在配置理财产品后保留相应的开支截图,在发生意外后也可以作为有力的证明。
(3)保留资金周转记录以便提供交叉验证。我们的资金往往是在不同银行卡、金融支付平台流转的,保留相应的周转记录,届时也能作为辅佐的证明。
总结
银行、支付宝、理财通这些大机构安全系数都是非常高的,用户的资料都是经过严格的加密保护,不论是风控能力还是信息安全的防护都有着自己一套成熟的系统。毕竟银行业已经是一个非常成熟的行业,这些基础还是具备的。
不过,多一分警惕和防范还是有必要的,毕竟我们赚钱也是不容易的,万一倒霉的事真发生在我们头上,那就真的很悲催了。凡是留一手,准没错。
0条大神的评论