如果说金融界是一个没有实战的战场,那么加密货币交易场则可以说是一个集信息技术、商业智能、网络安全和金钱于一体的多元化战场。如果您认为这有些夸张,请看看 1 月 9 日美国 SEC 批准 ETF 前后展开的真正的网络战。让我们重建一下攻击的时间线:
- 2023 年 12 月底,路透社 报道 美国 SEC 官员透露,预计将于 2024 年初推出与现货比特币交易相关的交易所交易基金 (ETF)。
- 2024年1月6日,投资管理公司、证券交易所和美国证券交易委员会审议了 申请的最终措辞变更 对于现货比特币 ETF,这可能会导致这些基金在下周在美国首次获得批准。
- 2024年1月9日,黑客针对CDNetworks的客户端加密货币交易所,直接针对该交易所的登录界面。 CDNetworks 利用广泛的全球 DDoS 清理资源和人工智能等尖端技术,迅速协助交易所减轻攻击。
- 最终,2024年1月10日,美国证券监管机构 批准第一批在美国上市的交易所交易基金(ETF) 追踪比特币,标志着世界上最大的加密货币和更广泛的加密行业的关键时刻。
我们在比特币 ETF 获批前夕发现这次攻击是巧合吗?
答案肯定是否定的。
这次攻击发生在交易所交易高峰期,时机极其敏感。袭击发生前三天,路透社透露比特币 ETF 极有可能获得批准。随后,在袭击发生的第二天,美国SEC正式批准ETF上市。
从下面的攻击和防御细节可以看出,攻击者主要针对的是交易所的登录和下单接口,无疑是为了让交易所在这个关键时期无法执行交易。
从相关资源以及本次攻击的完整攻防细节来看,这显然是一次有组织、有计划的网络攻击,而非偶然事件。
此 DDoS 攻击概述
此次DDoS攻击针对的是区块链交易平台,持续了97分钟。它包括网络层和应用层 DDoS 攻击。网络层DDoS攻击的流量以SYN Flood和ACK Flood攻击为主,峰值带宽达到1.025 Tbps。应用层DDoS攻击采用HTTP Flood攻击,峰值请求速率达到每秒2,378,751个请求。据CDNetworks安全平台统计,此次攻击利用了大量僵尸网络/僵尸网络资源,估计有40万个IP地址对交易所API接口发起攻击。
1)应用层DDoS(CC)攻击峰值:2,378,751 RPS
2)网络层DDoS攻击峰值:1.025 Tbps
3)攻击目标:主要攻击目标为交易所的登录和下单界面,意图破坏交易所的正常运行。
美国东部时间上午 11:41,A域开始遭受应用层DDoS攻击,10分钟内攻击请求峰值达到约237万RPS。由于该域名仅采用常规CDN加速,未开启安全防护服务,因此此次攻击引发业务中断,导致源站出现大量5XX响应。随后平台监控系统发出警报。 CD网络公司 24/7 支持团队 立即联系交易所运维团队,协助快速开通安全防护服务、定制防护策略、激活 专家应急响应服务 由安全专家提供,以加强所有交易所域的安全。
袭击事件回顾及对策
中午 12:10成功攻击CDN域A后,黑客迅速切换到新目标,对新域B发起应用层DDoS(CC)攻击,瞬间达到19万RPS的峰值。
由于B域的安全防护服务提前启动,所有攻击均被成功缓解,交易所业务未受影响。但我们的监控平台后来发现拦截率有所下降,促使安全专家团队进行调查。分析发现,黑客调整了攻击方式,发起了频率较低的HTTP Flood攻击。安全专家团队及时调整优化应急防御防护策略。
几乎与此同时,CDNetworks利用其AI中央引擎以及该引擎衍生的业务基线学习发现,此次攻击包含大量非浏览器用户代理。于是,CDNetworks自动部署了User-Agent=cpp-httplib/0.11.1的防御策略,并将识别出的攻击IP发送到L3/4防火墙进行拦截。
AI Center Engine使用大数据分析来自动识别与重复攻击相关的IP地址,并将其引导至L3/4防火墙进行黑名单处理。这使得大部分攻击请求在网络层被拦截,有效缓解了应用层的压力,成功缓解了HTTP Flood攻击。
中午 12:45,在应用层攻击失败后,黑客发起了网络层DDoS攻击作为挑衅。截至中午12点50分,网络层DDoS攻击峰值达到1,025,922.25Mbps。借助CDNetworks超过15Tbps的全球分布式清洗资源以及高并发处理防火墙能力,攻击被自动缓解,10分钟后网络层攻击基本停止,交易所业务正常稳定运行。
深入探索我们的防御机制
在此次攻防过程中,CDNetworks利用分布于全球的强大清洗资源和领先的防护技术,有效击退了一次精心策划的DDoS攻击。
容量 DDoS 防护能力
如前所述,CDNetworks 利用 2800 个 CDN 存在点 (PoP) 资源遍布全球,建立超过 全球20个大型DDoS流量清洗中心。该平台的清洗缓解能力超过15Tbps,QPS超过10亿,足以防御网络层和应用层的各类大规模DDoS攻击。
除了巨大的缓解能力之外,CDNetworks自主研发的L3/4 DDoS防火墙在缓解网络层DDoS攻击方面也发挥了至关重要的作用。 CDNetworks通过部署智能防火墙,对数据包进行实时检测和分析 Flood Shield(DDoS云清洗) 能够及时有效地拦截攻击数据包,而不影响数据包的正常访问。凭借其强大的防御能力,Flood Shield可以有效地自动防御一系列L3/4 DDoS攻击,包括SYN Flood、UDP Flood、ICMP Flood、NTP反射、SSDP反射和 放大攻击.
人工智能中央引擎
CDNetworks' 人工智能中央引擎 是防御上述 DDoS 攻击不可或缺的一部分。该引擎基于大数据分析、人工智能和机器学习技术开发。主动分析攻击前组织的业务基线,进行后续对比,协助识别攻击过程中的各种异常攻击特征。例如,在本次DDoS攻击事件中,AI中央引擎识别出黑客在攻击中使用了大量非浏览器用户代理。因此,引擎下发相应的防护策略,增强应用层的识别触发,并根据相应的异常行为触发频率持续生成防护策略,从而在网络层将其列入黑名单。人工智能以自适应能力增强防护能力,成为持续保障各类机构业务安全的重要特征。
紧急响应服务
CDNetworks通过其全球本地支持团队提供全面的24/7服务,帮助客户快速响应攻击事件、分析日志、快速激活安全防护、优化防护策略,确保业务服务的稳定性。通过我们的应急响应服务,客户可以轻松应对各种DDoS攻击,特别是不断变化的HTTP Flood攻击,填补客户安全运营能力的空白,增强DDoS弹性,确保网站业务连续性。
从 BDoS 攻击激增中吸取的教训
随着区块链技术应用的激增,出现了一种新型的DoS攻击: 区块链拒绝服务 (BDoS) 攻击。 这些攻击正是针对使用工作量证明(PoW)共识机制(类似于比特币)运行的区块链。这些攻击的迅速蔓延再次表明,加密货币和区块链领域需要强大且响应迅速的安全措施。
给加密货币实体的建议
鉴于这些不断发展的威胁,区块链组织,特别是加密货币领域的组织,正在寻求主动策略来减轻 DDoS 攻击。我们建议提前预订带宽资源,并联系具有流量DDoS防护能力的云安全供应商。利用人工智能的自适应防护、实时检测和快速防御配置,可以限制潜在影响并避免损失。
CDNetworks 的 Flood Shield 是一款经过验证的产品,具有巨大的缓解能力和丰富的资源(请参阅新闻: CDNetworks 缓解每秒 2.2M 请求的 HTTPS DDoS 攻击)。 Flood Shield 是一种基于云的全面 DDoS 防护服务,可提供快速、简单、有效的 DDoS 防护,确保您的源站稳定抵御 SYN Flood、ACK Flood、UDP Flood 和 HTTP Flood 攻击等 DDoS 攻击时间。同时,Flood Shield为合法用户提供加速服务,优化用户体验。该解决方案充当保障在线服务和基础设施稳定性和可靠性的盾牌。
在网络威胁不断变化的世界中,持续的警惕和强大的防御机制从未如此重要。该案例研究重申了我们在保护数字企业免受日益复杂的攻击、确保其平稳运营和数据完整性方面坚定不移的奉献精神和专业知识。
