前言

网络空间的攻防是没有硝烟的战场。作为UCloud自主研发的一款云端企业级Web防护服务产品，UEWAF基于云安全大数据能力，可以过滤海量恶意访问，避免网站资产数据泄露，保障网站的安全性与可用性。

近日，UEWAF成功防御黑客针对UCloud云上某游戏客户发起的超大规模CC（Challenge Collapsar）攻击。攻击者从7月7日20点11分左右开始发起攻击，攻击峰值出现在20点24分左右，QPS（每秒查询率）超过200万。

（QPS 趋势图）

背景

7月7日20点15分，UEWAF安全运营团队接到客户紧急求助，客户反馈其多个域名遭到CC攻击，业务全部中断。

UEWAF 安全运营团队立即启动紧急预案。但鉴于攻击规模较大，已经触发过UEWAF集群自动扩容，为保障集群上其他客户的业务不受影响，所以 UEWAF 安全运营团队第一时间将该客户流量牵引至Anti CC隔离集群。

发现问题

通过分析，发现受攻击的域名主要是作为API（应用程序编程接口）为手机客户端提供服务，常规的防御方式无法在短时间内将攻击流量压制，随后UEWAF安全运营团队为客户启用紧急防御模式。在该模式下，UEWAF会结合使用UCloud安全中心积累多年的IP信誉库和机器学习等技术，计算来源IP的恶意度，迅速将被黑客利用的绝大部分“肉鸡”IP封杀在网络层。

截至当日20点25分，黑客“肉鸡”已被全部封杀，QPS迅速回落，客户业务恢复正常。攻击者因没有更多可以利用的“肉鸡”，只能偃旗息鼓，鸣金收兵。

通过大数据安全分析，本次攻击的特征如下：

（1）攻击针对游戏客户端API接口；

（2）黑客做了充足准备，分析了该游戏客户端的业务逻辑，攻击请求与客户端真实请求相似度极高。

基于以上特征，黑客能高度模仿真实用户的行为，这对企业的防御手段提出了巨大挑战。传统的CC防御将重心放到了伪装网民（主要是浏览器）访问的识别上，但对于API接口来说，正常的访问请求很大可能不是来自浏览器，而是来自机器。因此，要从这些机器中识别出哪些是真正的用户、哪些是黑客控制的“肉鸡”成为难题。

解决方案

结合企业业务类型、访问频率以及基于机器学习的行为分析技术，UEWAF实现了高效的源站保护模型，在创新信息熵检测机制与精准IP信誉库的协助下，大幅提升了攻击来源识别的准确率，可有效防御针对API接口的CC攻击。

基于反向代理实现了“替身式”防御，攻击流量全部在UEWAF Worker节点上拦截掉，攻击流量将禁止传到源站。为了实现高可用，内部采用L4 switch报文转发，通过多个节点建立集群去分担流量，保证了服务的高可用性和拓展的灵活性。

在集群整体性能不足或某个节点故障时，UEWAF可自动屏蔽故障节点并开启备用节点，保障业务继续开展。同时，针对日益频繁的CC攻击，UEWAF特别建立了Anti CC隔离集群，在应对规模较大的CC攻击时，遭受攻击的域名流量会被牵引至Anti CC隔离集群，避免造成其他正常客户业务的波动。

（UEWAF高可用架构示意图）

总结

在CC攻击防御中，客户源站为第一保护对象，UEWAF会首先保证源站业务正常。其次在识别和清洗攻击流量过程中，会对部分攻击IP实施网络层封堵，以保证UEWAF Worker节点有足够的端口及带宽为正常用户提供服务。

在网络层IP封堵实现上，UEWAF定制了Linux内核，能够以极低的性能损失为代价封堵百万级别的IP地址，保障UEWAF Worker节点的性能。

当前，CC攻击已经成为游戏、金融、电商等行业常用的攻击手段。为保证线上业务系统的正常运行，企业应高度重视，加强安全防范措施。

UEWAF作为UCloud云安全解决方案-天罡旗下核心产品，基于UCloud云平台强大的计算资源及自身领先的技术能力，在用户业务遭遇CC攻击或者业务突发时，能够进行自身服务的快速扩展，不存在性能瓶颈等问题。与此同时，利用强大的云端情报收集能力并结合其他情报厂商的信息，UEWAF可以过滤海量的恶意访问，守护网络安全。

本文由『UCloud安全团队』原创，未经允许不得私自转载，比心~