據(jù)悉，OpIcarus攻擊首次發(fā)起于2016年，主要針對(duì)全球金融機(jī)構(gòu)（銀行）進(jìn)行持續(xù)的（DDoS）拒絕服務(wù)攻擊，攻擊手段包括TCP Flood/UDP Flood，HTTP/HTTPS Flood，及針對(duì)HTTP協(xié)議的大量POST請(qǐng)求以及針應(yīng)用系統(tǒng)的SQL注入漏洞等。

　　自12月13日夜間開始，國內(nèi)多家銀行的HTTP、HTTPS在線業(yè)務(wù)受到了來自以海外地址為主的攻擊。從本次OpIcarus攻擊中抓取的數(shù)據(jù)分析來看：攻擊屬于混合型攻擊，主要由NTP反射放大攻擊、針對(duì)80端口和443端口的CC攻擊等組成。

　　對(duì)于此次針對(duì)80端口及443端口的CC攻擊，運(yùn)營商在國際口進(jìn)行了封堵，有效地保護(hù)了被攻擊金融客戶的鏈路，之后約幾十M的CC攻擊進(jìn)一步在城域網(wǎng)被運(yùn)營商過濾，至此仍有十幾M的CC則透到金融客戶的數(shù)據(jù)中心，導(dǎo)致其對(duì)外的WEB服務(wù)器CPU使用率大幅提升，響應(yīng)速度降低，明顯影響了國內(nèi)用戶的正常訪問。從攻擊信息來看，本次CC攻擊中包含SYN、ACK、RST、Fin、TCP連接、HTTP Get、HTTPS應(yīng)用攻擊（有密鑰交換報(bào)文），而攻擊源分散甚廣：美國、加拿大、巴西、印度尼西亞、烏拉圭、厄瓜多爾、希臘、俄羅斯、南非、捷克、泰國、香港等。

　　另外，本次攻擊數(shù)據(jù)顯示，攻擊流量中NTP類攻擊不到40Gbps。根據(jù)以往Anonymous攻擊事件統(tǒng)計(jì)分析，該黑客組織慣用不大的攻擊流量對(duì)金融制造業(yè)造成恐慌，從而達(dá)到其宣泄政治主張的目的。在其2015年對(duì)土耳其發(fā)起的大規(guī)模網(wǎng)絡(luò)中，攻擊的最大流量峰值也僅有40多Gbps。但是，由于國內(nèi)金融企業(yè)數(shù)據(jù)中心帶寬一般都在20Gbps及以下，40Gbps的攻擊力也足以對(duì)金融企業(yè)造成強(qiáng)悍的沖擊。

　　因此，面對(duì)這次針對(duì)金融企業(yè)的DDoS攻擊，華為建議依靠分層防御方案實(shí)現(xiàn)“分層清洗，精準(zhǔn)防護(hù)”。

　　首先，依靠云清洗在上游對(duì)大流量攻擊進(jìn)行有效過濾，從而保障金融企業(yè)帶寬可用性；

　　然后，依靠金融企業(yè)數(shù)據(jù)中心邊界部署的DDoS防御系統(tǒng)重點(diǎn)提供小流量的CC防御，保障了整個(gè)金融在線業(yè)務(wù)系統(tǒng)可用性。

　　華為AntiDDoS產(chǎn)品2015年在土耳其電信網(wǎng)絡(luò)成功對(duì)抗了Anonymous。針對(duì)此次針對(duì)國內(nèi)金融機(jī)構(gòu)的DDoS攻擊，從12月13日起，華為AntiDDoS產(chǎn)品團(tuán)隊(duì)成功協(xié)助國內(nèi)多個(gè)金融客戶抵御了到目前為止的OpIcarus攻擊。華為AntiDDoS產(chǎn)品團(tuán)隊(duì)從抵御本次攻擊的實(shí)戰(zhàn)經(jīng)驗(yàn)出發(fā)，給出了行之有效的防范策略推薦，建議金融企業(yè)參考并實(shí)時(shí)關(guān)注攻擊預(yù)警和攻擊流量波動(dòng)。