安全牛3·15期間遭黑客攻擊 阿里云成功抵御

　　在上周11日臨近3·15期間，“安全牛”網(wǎng)站忽然遭到連續(xù)幾天的CC攻擊，導致網(wǎng)站無法正常訪問。經(jīng)阿里云安全工程師快速響應后，訪問速度得到很大緩解。但在13日周五晚，攻擊變得瘋狂起來，并演變成帶寬DDOS，最高峰值達到40多G。

　　11日上午11點多，有用戶反映“安全牛”網(wǎng)站網(wǎng)頁打開速度超慢，負責運維的工程師經(jīng)檢測后發(fā)現(xiàn)網(wǎng)站首頁面遭攻擊IP不斷訪問，每一個IP發(fā)出大量連接，致使數(shù)據(jù)庫資源耗盡無法響應正常的用戶訪問。經(jīng)簡單的防火墻配置，情況得到緩解，但很快防火墻資源超載。維護人員只好求助服務提供商，阿里云。

　　阿里云安全工程師接到求助信息后，遠程協(xié)助安全牛運維人員，很快將網(wǎng)站接入阿里云云盾，不長時間后，安全牛網(wǎng)站訪問基本恢復正常。

　　攻擊來源是僵尸網(wǎng)絡(luò)

　　“就是遭到了CC攻擊。”，12日上午阿里云安全工程師“同和”（花名）指著電腦屏幕上阿里云云盾監(jiān)測到的攻擊圖說，“這個網(wǎng)站（安全牛）往常的QPS（每秒查詢率）是每秒5次，在遭受攻擊時，QPS是平均每秒60次，是正常訪問量的十幾倍。這樣就直接導致網(wǎng)站服務器CPU占用率幾乎百分之百，中間件負載過大，數(shù)據(jù)庫受影響，網(wǎng)頁無法正常打開。

　　安全牛網(wǎng)站在開啟了阿里云云盾的cc防護模塊后，立即對訪問的URL、源ip進行行為分析，并對訪問異常的請求數(shù)據(jù)進行過濾，短短幾分鐘后，惡意訪問就被云盾攔截在網(wǎng)站外，網(wǎng)站訪問恢復正常。

　　但事情在周五晚又起了變化，網(wǎng)站遭受大流量UDP-flood，CC攻擊進一步變成了耗費帶寬的DDOS攻擊，攻擊峰值達到40G左右。

　　一直在關(guān)注網(wǎng)站情況的阿里云云盾工程師意識到普通的CC防護已無法抵御這種程度的攻擊，隨即決定將網(wǎng)站轉(zhuǎn)移到云盾高防，并進行對攻擊IP的完全清洗，半個小時后網(wǎng)站終于恢復正常。“攻擊來源很分散，全國各地都有，應該是受操控的肉雞電腦或僵尸網(wǎng)絡(luò)”阿里工程師分析說。

　　之后一直到3·15結(jié)束后的3月16日，攻擊才漸漸停止。但期間發(fā)生的惡意攻擊IP，數(shù)次被阿里云云盾高防成功清洗，保證了網(wǎng)站的正常訪問。

　　誰在發(fā)動攻擊？

　　CC攻擊是DDoS攻擊的一種，黑客通過代理服務器或肉機在同一時間以超過網(wǎng)站負載的訪問量頻繁地訪問網(wǎng)站，導致服務器暫時性、間歇性的中斷。該攻擊可以通過控制僵尸網(wǎng)絡(luò)來實現(xiàn)。熟悉黑客技術(shù)的人可以直接發(fā)起攻擊，普通人也可以雇傭黑客發(fā)動攻擊。

　　為什么要攻擊一個專業(yè)媒體網(wǎng)站呢？“安全牛”主編李少鵬認為是網(wǎng)站上一些文章報道觸動了某些企業(yè)的利益。“我們有時會接到刪稿的要求，但對于內(nèi)容符合事實的文章我們都會拒絕。有可能是今年的3·15臨近，而且今年的3·15網(wǎng)絡(luò)安全是關(guān)注重點。既然刪稿未果，于是只好攻擊我們網(wǎng)站了。但這也正好給我們提了個醒，繼續(xù)保持中立報道是多么重要”。

　　不過，李少鵬認為網(wǎng)絡(luò)環(huán)境會越來越安全。，他說今年的“兩會”上，多個人大代表建議盡快建立健全信息化和網(wǎng)絡(luò)安全的法律法規(guī)體系，以加強對惡意攻、網(wǎng)絡(luò)犯罪的嚴懲，“再加上類似阿里云云盾等這種專業(yè)的安全服務提供者技術(shù)保障，相信未來的網(wǎng)站將會更加安全”。