从2017年6月15日起，“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发起DDoS比特币勒索，现已有超过6家金融证券类企业遭受DDoS攻击勒索，且其中4家已经遭受了大规模的DDoS攻击，攻击流量从2G到20G不等，对企业网络产生了非常严重的影响。而“无敌舰队”组织声称如果企业不按邮件要求定时支付比特币，将进行持续的大规模流量攻击（该组织声称攻击流量可超过1T），并逐步提高勒索比特币数额。

这其实并不是该组织第一次行动了，早在2015年12月，“无敌舰队（Armada Collective）”就开始对中国境内的互联网企业实施同样手法的DDoS攻击的勒索。

本次事件收到的勒索邮件内容如下：

二、DDOS防护应急手段

针对本次DDoS攻击事件，下文就目前市场上主流的DDoS防护应急手段，按其差异性和适用场景做了简要对比。

常规的DDoS防护应急方式因其选择的引流技术差别而在实现上有差别的差异性，主要分成以下三种：

1、当地DDoS防护设备；

2、运营商清洗办事；

3、云清洗办事。

三种类型的DDoS防护应急手段引流方式的原理：

了解引流技术原理后，简要阐述各种方式在DDoS应急上的优劣：

当地DDoS防护设备：

当地化防护设备，增强了用户监控DDoS监控能力的同时做到了业务安适可控，且设备具备高度可定制化的策略和办事，更加适合通过分析攻击报文，定制策略应对多样化的、针对性的DDoS攻击类型；但当流量型攻击的攻击流量超出互联网链路带宽时，需要借助运营商清洗办事或者云清洗办事来完成攻击流量的清洗。

运营商清洗办事：

运营商采购安适厂家的DDoS防护设备并安排在城域网，通过路由方式引流，和Cname引流方式比拟其生效时间更快，运营商通过提清洗办事方式帮手企业用户解决带宽消耗性的拒绝办事攻击；但是运营商清洗办事多是基于Flow方式检测DDoS攻击，且策略的颗粒度较粗，因此针对低流量特征的DDoS攻击类型检测效果往往不够抱负，此外部分攻击类型受限于防护算法往往会有透传的攻击报文，此时对于企业用户还需要借助当地DDoS防护设备，实现二级清洗。

云清洗办事：

云清洗办事使用场景较窄，当使用云清洗办事做DDoS应急时，为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题，通常情况下还需要企业用户配合做业务地址更换、Cname引流等操作配置，尤其是业务地址更换导致的实际变换过程可能会出现不能落地的情况。

另一方面对于HTTPS Flood防御，当前云清洗办事需要用户上传HTTPS业务私钥证书，可操作性不强。此外业务流量导入到云平台，对业务数据安适性也提出了挑战。

对比了三种方式的差别和适用场景，我们会发现单一解决方案不能完成所有DDoS攻击清洗，保举企业用户在实际情况下可以组合当地DDoS防护设备+运营商清洗办事或者当地DDoS防护设备+云清洗办事，实现分层清洗的效果。针对金融行业，更保举的组合方案是当地DDoS防护设备+运营商清洗办事。对于选择云清洗办事的用户，如果只是在DDoS攻击发生时才选择将流量导入到云清洗平台，需要做好备用业务地址的更换预配置（新业务地址不成泄露，不然一旦被攻击者获悉将会失去其意义）。

三、DDOS防护实践总结

借鉴DDoS攻防工程师总结的经验，企业客户在DDoS防护体系建设上通常需要开展的工作有：

应用系统开发过程中持续消除性能瓶颈，提升性能

通过各类优化技术，提升应用系统的并发、新建以及数据库查询等能力，减少应用型DDOS攻击类型的潜在危害；

按期扫描和加固自身业务设备

按期扫描现有的网络主节点及主机，清查可能存在的安适漏洞和不规范的安适配置，对新出现的漏洞及时进行清理，对于需要加强安适配置的参数进行加固；

确保资源冗余，提升耐打能力

建立多节点负载均衡，配备多线路高带宽，配备强大的运算能力，借此“吸收”DDoS攻击；

办事最小化，关停不须要的办事和端口

关停不须要的办事和端口，实现办事最小化，例如WWW办事器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与办事不相关的攻击所影响的概率；

选择专业的产品和办事

三分产品技术，七分设计办事，除了防护产品自己的功能、性能、不变性，易用性等方面，还需要考虑防护产品厂家的技术实力，办事和支持能力，应急经验等；

多层监控、纵深防御