餐饮巨头被攻击的“致命”48小时

news2025/1/20 7:14:14

编者按

数字化浪潮蓬勃兴起，企业面临的安全挑战亦日益严峻。

腾讯安全近期将复盘2022年典型的攻击事件，帮助企业深入了解攻击手法和应对措施，完善自身安全防御体系。

本篇是第八期，讲述了某餐饮巨头遭遇黑客多轮次攻击、全国点餐系统崩溃后，与腾讯安全并肩作战，在“致命”的48小时间成功击退黑客的故事。

“你们看到告警信息了吗？一个云上客户被黑客打了！攻击流量超过了10个G！”

11月30日晚上9:44，腾讯大厦22楼的办公室传来一声大喊。

在线运营事件预警系统第一时间把事件推送到企业微信，值班的专家Zly急忙摇人，此时UDP攻击的流量已经达到13229Mbps，触发了业务封堵策略。

系统通过被攻击的三个IP迅速定位了租户信息，是国内某餐饮巨头——X公司，而被攻击便是X公司的点餐系统！

一场蓄谋已久的偷袭

“点餐系统崩溃的话，X公司作为知名度极高的餐饮巨头，可能很快就会上热搜，所以在攻击发生一小时内是最为关键的。”值班专家Leo急切地说。

Leo的担心不无道理，从9:44被攻击开始，X公司全国多个餐饮门店便陆续有客人反馈无法进行线上点餐。不过，在X公司的用户大面积投诉之前，腾讯安全就通过预警系统的安全事件信息迅速通知了X公司具体的黑客攻击情况及点餐系统无法使用的原因，并为客户做紧急解封处理。

与此同时，几个腾讯安全专家也正通过腾讯会议商讨完整的防护方案。

UDP攻击是近年来黑客常用的攻击方式，属于DDoS攻击的一种，也被称为UDP洪水攻击。顾名思义，攻击者会利用大量伪造源IP地址的UDP小包，像供水一样冲击服务器，造成目标主机无法为用户提供服务，甚至导致系统崩溃，给企业造成无法挽回的经济损失。

而且从攻击手法和趋势分析，这很可能是一场蓄谋已久的偷袭。

第一，黑客的攻击时间选择在晚上九点多，是下班高峰期，此时间段发起攻击，攻击目标和云厂商可能无法快速响应。

第二，X公司虽然是餐饮巨头，但线上销售的比例远远低于线下，所以点餐系统的安全防护是按照最小化原则进行配置的，只接入了基础的WAF防护。黑客可能经过了长时间的试探和摸排，才精准找到这一弱点。

第三，X公司点餐系统的其他几个IP部署在另外一家云厂商上，也同时遭受到了UDP攻击，显然黑客目的明确——搞垮X公司的点餐系统。

黑客来势汹汹，防御必须争分夺秒。在短短十几分钟的会议上，几位腾讯安全专家根据攻击数据分析报告，制定出了完整的防护方案，第一步先接入腾讯DDoS高防包。X公司的安全运维团队也严阵以待、快速响应，在晚上22:05就完成了腾讯DDoS高防包的接入，业务访问的QPS逐渐恢复正常。

腾讯DDoS高防包是一款基于腾讯二十多年抗DDoS的成功实践开发的产品，具备业内领先的T级超大防护带宽、支持弹性扩容，并且具备领先的流量清洗能力，成功率超过99.995%。接入腾讯DDoS高防包后，X公司的点餐系统就像筑起了一座大坝，有效拦住了攻击的流量洪水，同时又能够保证正常用户的访问流量。

从攻击发生到接入防御，在双方的高效配合之下，只花了近20分钟。

预判了黑客的预判

第一波攻击成功拦截后，Dary和Leo并没有放松警惕，“目前的攻击流量可能只是个爬坡流量，是黑客大举进攻前的‘开胃菜’，他们肯定还有后手，应该还会发起更大流量的UDP攻击，或者其他类型的攻击……”Dary判断。

对于蓄谋已久的偷袭，防护策略需要更加完备。Dary猜测黑客后续可能采用CC攻击和BOT流量攻击，于是成功拦截第一波攻击后，在防护方案中补充了WAF的CC策略及WAF-BOT的防护，为X公司建立起了四到七层的立体化DDoS防护方案。由于不清楚黑客的实力以及真实意图，为了帮助客户节省成本，优先配置了轻量版的方案。

防护配置完成后，已是凌晨1点多了。“没啥问题了，大家可以安心休息了。”Dary对X公司的安全运维人员说，“DDoS高防包的接入就是一个转折点，UDP攻击已经防住了，黑客无论发起多少波、多大量的UDP攻击，我们的DDoS高防包都能抵御。后续的防护就是根据攻击的形态和特征做了一个防护策略适配性的改变。”

第二天（12月1日）早上7点，正如Dary的预判，监测平台显示，黑客对其中一个IP展开了超大量级的流量攻击，攻击峰值超过了300Gbps。显然，黑客的攻击目的性更强，开始集中火力攻击一个目标。