11月15日,2017亞太CDN年會進(jìn)入第二天�����,大會由高清云論壇、視頻云論壇和高防云論壇三大部分組成��。當(dāng)日下午�,360安域產(chǎn)品研發(fā)經(jīng)理王梟卿作了題為《閉環(huán)式的DDos防護(hù)》精彩演講。
何為DoS攻擊
王梟卿首先介紹道�����,安域的產(chǎn)品其實功能主要是兩個部分��,一個就是DDoS的防護(hù)�����,另外一塊就是對于網(wǎng)站的運維安全�。這里介紹的是,DDoS還有外部的一些工作����。
王梟卿提到,第一部分是DDoS攻擊�,從比較早開始,上來第一頁的話是一個基于分層的�,低于DDoS攻擊的一個分類的,現(xiàn)在還是DDoS。DDoS本身是指拒絕服務(wù)����,可以分成兩大類,一類是攻擊者用比較少的資源��,就可以讓服務(wù)崩潰或者進(jìn)入死循環(huán)��,另外一種就是通過比較大量的攻擊資源�����,發(fā)送大量的報文�,連接請求,占用目標(biāo)系統(tǒng)的計算資源����,存儲資源,帶寬資源�。王梟卿今天著重提到的是后者,后面這種其實防護(hù)起來還是屬于至少說是個人覺得比較困難的一種�,也會有很多細(xì)節(jié)問題在里面,主要的都是flood結(jié)尾���,類似于洪水攻擊。
王梟卿講解道,DDoS分為兩類�����,一個是對系統(tǒng)計算�����,內(nèi)存占用一些攻擊���,比如UDPflood�,ICMPflood和分片攻擊��;另一類是帶寬資源的占用��,前面計算還有存儲資源占用���,以及針對與帶寬的占用的話有些攻擊是兩邊都有的��。
王梟卿還提到了單體DDoS攻擊���,當(dāng)把這些單體DDoS攻擊分布到多臺的服務(wù)器上,則稱為分布式的DDoS攻擊�。這種一個表現(xiàn)物理層面�����,有多臺的主機參與��,在低于方面有不同的省市國家和區(qū)域發(fā)起這種攻擊�����。
針對分布式的DDoS攻擊�,王梟卿認(rèn)為也有兩種�����,一種是必須常見的��,就相當(dāng)于攻擊者用這種已經(jīng)感染病毒的攻擊����,導(dǎo)致攻擊資源把其組成一個攻擊程序,發(fā)起攻擊指令�,然后對目標(biāo)系統(tǒng)發(fā)起攻擊。這個用的不是本身資源��,而是利用他人計算資源和帶寬�。
另外一種是反射性攻擊�����,相當(dāng)于這些本身直接發(fā)出流量的機器,它的控制權(quán)并不是在攻擊者��,只不過用同一個請求相應(yīng)的報文的大小不一樣�����,允許多數(shù)的反射工具UDP類的���,無法進(jìn)行有效驗證的業(yè)務(wù)來發(fā)起這類的放射性攻擊�����,這個主要是DDoS的兩種途徑�����。
王梟卿分析�,DDoS發(fā)起演進(jìn)的趨勢�,最早期攻擊者手上的機器不是太多。這個其實也是一個性價比國際的過程�,就找一些單臺的機器�,怎么把目標(biāo)系統(tǒng)打死����,攻擊者手上是兩臺機器,想超過一個網(wǎng)站對外服務(wù)帶寬是不大可能�����,所以這個時候用DDoS攻擊還是以第一種就是剛才提到消耗計算資源�����,內(nèi)存資源為目的的這種攻擊方式�,就是SYNFlood,早期都是以這個作為攻擊的主要目標(biāo)�。
王梟卿認(rèn)為這個時候其實消耗主要是計算資源和性能,后來隨著反射技術(shù)或代理技術(shù)的發(fā)展�,慢慢地攻擊者掌握的帶寬,超過被攻擊目標(biāo)��,對外提供服務(wù)帶寬這種趨勢��,還隨著技術(shù)的演進(jìn)���,對于消耗計算性的攻擊����,逐漸有比較成熟的技術(shù),這個時候攻擊者混合去打一些攻擊����,有的是小包���,其中也會夾雜一些大包的攻擊����,這種攻擊會特意把負(fù)載加的最大��,一個包一千多字節(jié)��,用來占帶寬�,另外就是比較小的包,這個時候?qū)儆谝粋€混合的階段��,然后同時攻擊計算資源和帶寬資源的���。
之后就到了近幾年�,并且這個現(xiàn)象是最近兩三年才發(fā)現(xiàn)的�。其很多高貸款的攻擊���,就是三四百G的大寬帶里面,由50%以上的流量攻擊包的大小都是一千三四的以上的包���,這個時候攻擊者就放棄的技術(shù)性的攻擊原理���,直接簡單粗暴就攻擊帶寬,這個跟攻擊者掌握帶寬資源的原因越來越多����,基于這么個原因才出現(xiàn)這樣的情況。
DDoS防護(hù)之問題
王梟卿還介紹了在DDoS的防護(hù)的時候���,可能遇到的一些問題���。他提到,其攻防一直是屬于攻守交錯的一個狀態(tài)��。在攻守交錯的過程��,DDoS出現(xiàn)和攻擊的時候�,大家對于這個沒有完整的理論,第一印象是協(xié)議缺陷怎么辦,比如說軟件缺陷可以打補丁�,協(xié)議缺陷怎么打補丁����?在這種缺乏理論知識的情況下,可能給防護(hù)帶來一些障礙�,但是國家對于這種攻擊的研究,慢慢的話也會用一些比較成熟的解決方案�����,比如說就是偽造IP的情況�,可以做一些驗證和探測����。之后現(xiàn)在等于是防護(hù)原理那邊有減了,如果攻擊量比較小還可以解決���,如果攻擊量比較大�,這個時候的話新的問題就出現(xiàn)了�,主要是一個技術(shù)架構(gòu)上面的話,還會有一些技術(shù)瓶頸�����。對于NP來說的話轉(zhuǎn)發(fā)層面,IO上面是可以的����,但是計算能力不足,去做一些復(fù)雜的計算處理以及內(nèi)存交互的時候�����,這個問題就可能不行�。專用芯片在靈活性和開發(fā)和維護(hù)成本上都有比較大的限制,這個是在架構(gòu)上本身成為的制約DDoS防護(hù)的重要問題���。
同時也是隨著技術(shù)的發(fā)展�����,比如說有一些EP和X86混合的出現(xiàn)����,解決的基礎(chǔ)架構(gòu)的一些問題���,隨之而來當(dāng)前遇到攻擊形式���,很大的攻擊帶寬會讓小防護(hù)產(chǎn)生很大的成本問題��。
王梟卿提到�����,360安域作為防守方的話也是會想一些辦法來解決這類問題�,這里面三類基本上都是基于共享的思路壓低成本����,一種是IDC會開展一些高防業(yè)務(wù),來充分利用下降帶寬�����。二是CDN�,CDN基于業(yè)務(wù)模式日常的話也是有比較充裕的帶寬�,可以用來做攻擊流量的接受還有清晰過濾。三是云計算����,很多云計算廠商都對外提供了或多或少的,1G2G的DDoS的防護(hù)能力�。
王梟卿還提到,360安域也會存在一些新的挑戰(zhàn)。對于CDN來說��,現(xiàn)在對于這種CDN環(huán)境就是會跟遇到的問題進(jìn)行一個闡述��。我們一個CDN上有幾千個域名���,這個時候被攻擊不知道誰被攻擊��,其實想做一些調(diào)度回源這個也很難做到的���。
另外一個就是這種攻擊發(fā)現(xiàn)靠投訴,這種就是介入CDN之后��,真實客戶端的IP放在的應(yīng)用層�。這個時候在精準(zhǔn)性,靈敏性����,限制沒有那么精確,也會導(dǎo)致這類的問題���,就是客戶的源站已經(jīng)死掉了�����,這個時候還要做這種防護(hù)��。
這個是寫的地主家也沒有余糧�����,就算下沉帶寬����,也架不住幾百G的攻擊。王梟卿提到他曾經(jīng)遇到攻擊者就是一個節(jié)點一個節(jié)點打��。這個期間節(jié)點是不可用的�。
最后一個是是城門失火,王梟卿往往遇到一個人被攻擊或者一個業(yè)務(wù)被攻擊��,會影響到其他的業(yè)務(wù)����,或者是其他的客戶,這個也是比較頭疼的一個地方����。
閉環(huán)式的防護(hù)
王梟卿提到����,所謂閉環(huán)式的防護(hù)��,最大的宗旨就是萬事想到前面��。這種防護(hù)設(shè)立小小的目標(biāo)����,可能是100G�,或者200G,一個T的防護(hù)容量����。他希望有快速防護(hù)響應(yīng)的能力,實時的防護(hù)�,報警的話30到60秒。
王梟卿講到��,未來達(dá)到這個目標(biāo)需要做工作準(zhǔn)備�����,檢測和防護(hù)�。從檢測方面來說第一個是多維度的檢測分析。除了對接口帶寬或者出口帶寬這一類之外����,還要細(xì)化到IP���,應(yīng)用層乃至域名。另外就是獨立的IP組服務(wù)域名和客戶�����,這個主要是為了解決我們找不到哪個用戶被攻擊的情況���。另外還有計費的問題�,成本還是非常高��。有一種解決方式的話那就是以定位為目的的調(diào)度�����。
王梟卿還提到實時的防護(hù)機制和架構(gòu)�。這在一定程度可以實施在線防護(hù)的能力,比如代理還有技術(shù)的話就是比較成熟的��,剩下就是一個性能問題�。之后是一個應(yīng)用層防護(hù)和三四層防護(hù)的聯(lián)動,這種對于應(yīng)用層的發(fā)現(xiàn)還有攻擊源的定位的話還是防護(hù)是最好的���,對于防護(hù)角度來說就是攔截�����。應(yīng)用層防護(hù)聯(lián)動三四層的防護(hù)�,效果還是不錯的��。還有則是防護(hù)過程的自動升級與遷移���,這個時候需要準(zhǔn)備遷移方案和降級方案����。
王梟卿認(rèn)為360安域還需要規(guī)劃層面�。一個是資源規(guī)劃,他有意為大IP覆蓋提供準(zhǔn)備充足的IP和IP資源��。比如說大流量攻擊���,相對來說大的一塊單節(jié)點也是要在規(guī)劃里面考慮的����。之后就是業(yè)務(wù)隔離�,360安域?qū)λ蟹?wù)規(guī)劃是不一樣的�����,且必要保證關(guān)鍵用戶的服務(wù)質(zhì)量�,這些都需要考慮把用戶業(yè)務(wù)單獨隔離出來����,那么攻擊就對其產(chǎn)生的影響則減少許多。
王梟卿認(rèn)為�,其他服務(wù)則依靠運營。其中在整個服務(wù)的防護(hù)過程中��,包括應(yīng)急響應(yīng)流程����,還有外界風(fēng)險的識別和管理,顯得尤為重要�����。外界環(huán)境���,風(fēng)險是否增加����,對風(fēng)險有何措施,這也會直接影響未來一兩個月的防護(hù)能力和效果����。關(guān)于反饋機制���,除了系統(tǒng)架構(gòu)�����,單節(jié)點的反饋處理��,從PlanB到PlanA預(yù)測到發(fā)生概率比較小的事件���,需要其準(zhǔn)備相互的資源和防護(hù)方式。
王梟卿還提到了IP信譽和客戶風(fēng)險級別��。他提到有時360安域確實會識別攻擊IP以及客戶當(dāng)前被攻擊的風(fēng)險��。王梟卿認(rèn)為其可以把數(shù)據(jù)作為下次防護(hù)的基準(zhǔn)���,并反饋到現(xiàn)有的防護(hù)和運營體系之中�。下一個則是預(yù)測和預(yù)警。這個也是最后一個一個是結(jié)合feedback數(shù)據(jù)的預(yù)警�,我們至少知道哪些客戶更容易被攻擊,哪些IP更容易產(chǎn)生攻擊����,這樣就加大監(jiān)控力度,提高級別��,做得更敏感一點�。另外是依據(jù)蜜罐做的一個檢測,早期在七八年前做過一個檢測�����,在蜜罐系統(tǒng)可以收到一些服務(wù)器的指令���,根據(jù)這些指令其可做面向大眾的指令��,而且360安域也可以提前知道有哪些域名存在潛在攻擊目標(biāo)�����。
最后王梟卿總結(jié)道��,剩下如果把剛才所有的事情全都做完了�����,360安域離目標(biāo)還差的數(shù)�����,可能是80%�,也可能是20%,然而剩下20%他認(rèn)為是在攻擊方可能會有一些新的技術(shù)�。最后為了彌補剩下的20%��,王梟卿呼吁業(yè)界專家還有人士應(yīng)不停探索和研究��,把20%逐漸縮小���。
微信掃一掃
