11月14-15日,2017全球家庭互聯(lián)網(wǎng)大會(GFIC)在上海舉行����,會議吸引了500+企業(yè)、3000+專業(yè)聽眾參與�。在15日的GFIC亞太CDN年會上�,網(wǎng)易云信息安全部技術(shù)總監(jiān)沈明星先生發(fā)表了題為《網(wǎng)易云易盾 DDoS 防護(hù)實踐》的演講,現(xiàn)場對網(wǎng)易云抗擊DDoS方面的一些演進(jìn)技術(shù)進(jìn)行了分享���。
圖為:網(wǎng)易云信息安全部技術(shù)總監(jiān)沈明星
面向互聯(lián)網(wǎng)/互聯(lián)網(wǎng)+的場景化云服務(wù)平臺
沈明星表示���,從傳統(tǒng)IDC架構(gòu)像互聯(lián)網(wǎng)的云架構(gòu)嚴(yán)謹(jǐn)?shù)钠放疲W(wǎng)易云提供基礎(chǔ)的laaS云計算基礎(chǔ)設(shè)施的架構(gòu)����,還有云安全。網(wǎng)易的業(yè)務(wù)非常廣�����,網(wǎng)易的游戲排名第二,在國內(nèi)僅次于騰訊����,包括郵箱,云音樂�����,考拉海購�����,這些在電商��,泛娛樂這些網(wǎng)易也在布局���。這些業(yè)務(wù)都承載在網(wǎng)易自己云上面����,網(wǎng)易會逐步把自己云上面的積累開放出來���。在云安全這塊���,隨著云的開放把內(nèi)部安全的能力往外開放�,也包括了DDoS����,像內(nèi)容安全一些文本圖片�����,像音頻視頻的一些內(nèi)容的審查和過濾����,還有像移動端的APP加固,這一系列的能力����。
DDoS在整個行業(yè)越來越多,去年發(fā)生過一次很大的美國的域名被攻擊事件�����,導(dǎo)致整個美國大半個互聯(lián)網(wǎng)全部淪陷掉��。從網(wǎng)易云的實踐來看��,以下可能是被攻擊的重點���。首先是政府���,攻擊政府可能出于背后的政治目的�����,比如說國家重大事件的時間節(jié)點�,也可能會攻擊政府的站點��。其次是金融�����,比如說互聯(lián)網(wǎng)金融以及很火的現(xiàn)金貸的業(yè)務(wù)���。第三則是游戲���,游戲是傳統(tǒng)的被攻擊對象,尤其是在游戲剛剛上線時�����,非常容易被攻擊���。最后一塊是電商���,有的攻擊是針對電商平臺��,現(xiàn)在在電商平臺上入駐的商家之間導(dǎo)致的DDoS攻擊����,后果就是輕則被攻擊的對象直接失去服務(wù)能力���,業(yè)務(wù)中斷,更嚴(yán)重的會導(dǎo)致整個IDC不可用�����,堵住整個IDC的帶寬�����,在這方面����,網(wǎng)易也有躺槍的經(jīng)歷。
四大步驟強(qiáng)化DDoS防護(hù)
沈明星接下來介紹了網(wǎng)易云如何做DDoS防護(hù)���。他表示�,首先第一步網(wǎng)易云會對自己的服務(wù)器做一些加工,對一些TCP協(xié)議層的參數(shù)做調(diào)優(yōu)�����,增強(qiáng)單臺服務(wù)器的能力���。一般網(wǎng)易云業(yè)務(wù)需要監(jiān)控資源的使用率��,當(dāng)資源達(dá)到一定容量的時候要有擴(kuò)容的準(zhǔn)備���,如果在資源本身達(dá)到70%,80%時還不擴(kuò)容�����,一但有攻擊��,任何清洗和防控不能保證百分之百的擋掉��。
除了自身服務(wù)器的加固之外�����,第二個階段是接入運(yùn)營商側(cè)的設(shè)備,即采購上游的清洗能力��,并向下游的服務(wù)商提供這個能力�。由于這個設(shè)備是廠商的,跟下游聯(lián)動會比較麻煩����,網(wǎng)易云下游攻擊會通過應(yīng)急相應(yīng)的流程,通知運(yùn)營商來做封堵��,開放性API也存在一定問題����,流程會比較長����,這樣會導(dǎo)致業(yè)務(wù)受到影響。第二個就是網(wǎng)易云的檢測往往是在下游的���,一旦上游運(yùn)營商做的話��,其實我們會發(fā)現(xiàn)�����,就是說我不知道攻擊什么時候停止了�����,只有當(dāng)供應(yīng)商說停止了之后�,才能放出來。第三個是采購供應(yīng)商的設(shè)備�,現(xiàn)在對于三層四層網(wǎng)絡(luò)層攻擊的效果還是可以,還是不錯的�����,對于一些七層CC層的攻擊����,如果這個效果用下來不是特別理想,也會導(dǎo)致下一步的計劃�����。
第三是網(wǎng)易自研的 NDS 抗D架構(gòu)��。首先����,在入口對所有流量分光器��,進(jìn)行流量的分光拷貝��,然后分到Detecter設(shè)備���,做全流量包分析。從一些簡單的協(xié)議����,斷口,業(yè)務(wù)��,IP���,這些最簡單的去統(tǒng)計,其實Detecter���,還有離線的去運(yùn)用分析�。一旦發(fā)現(xiàn)DDoS攻擊�,會通知Manager模塊,通過下發(fā)到NDS�,把攻擊的流量牽引到NDS上,然后再回收到服務(wù)器。這是在網(wǎng)易云機(jī)房內(nèi)部署的一套防護(hù)集群跟方案�����,然而它也有一個缺陷����,因為所有的流量都是在本地機(jī)房進(jìn)行清洗,首先它的使用方前提就是必須把業(yè)務(wù)托管到網(wǎng)易云的機(jī)房里面�����,這是一個限制��。其次是整個網(wǎng)易云業(yè)務(wù)再怎么清洗�����,帶寬還是有問題的����,如果帶寬堵塞,再怎么清洗都沒有用處����。
第四步是建立一個高防中心,高防中心跟網(wǎng)易云獨立,是第三方超大出口的機(jī)房���,里面放了網(wǎng)易NDS設(shè)備�����,主要針對三層和四層流量進(jìn)行清洗����。在它后面又加了一個較大的Nginx���,主要做NDS的卸載��,防止七層的攻擊���,把很多的邏輯卸載的Nginx這一層,通過把所有的流量從第三方機(jī)房繞一下����,來保護(hù)后端的IDC機(jī)房���。不管用戶在哪里部屬���,通過網(wǎng)易高防做一個轉(zhuǎn)發(fā)���,所有的流量在互聯(lián)網(wǎng)上都可以通,進(jìn)而取消限制��。這樣可以保護(hù)網(wǎng)易自己IDC機(jī)房的出口�����,而不會在單個機(jī)房被打的時候�,導(dǎo)致出口堵死,如果IDC出口比較小��,只有40�����,80的話��,很容易由于單個用戶被打?qū)е抡麄€機(jī)房不可用���,因此在某些情況下��,一定要把某些拉到黑洞里面��,才能保證可用性��。
在設(shè)計NDS的一些可用性時���,沈明星表示:“我們是基于一些架構(gòu)而不是專用的芯片�,我們現(xiàn)在小包是一千萬���,大概有1000萬+PPS�����,流量40G可以跑滿��。我們帶寬擴(kuò)的時候���,直接仍到帶寬上直接可以用,支持水平擴(kuò)展�����。然后支持自定義規(guī)則��,我們基于基層的CC攻擊��,傳統(tǒng)的設(shè)備廠商這塊上面效果沒有我們自己研發(fā)好的相比較一個點���,CC攻擊后面講到會基于一些信息庫����,我針對整個大數(shù)據(jù)后排的數(shù)據(jù)���,網(wǎng)易其實有一系列安全的產(chǎn)品�,在安全產(chǎn)品接入的用戶中間會去收集和激烈這些信譽(yù)庫�����,這塊對于我們防止CC攻擊�����,掌握一些主端的機(jī)器非常有好處��。我們加了一條自定義規(guī)則�����,我們現(xiàn)在還在手機(jī)一些常見CC攻擊的一些特征���,把它加到特征庫里面去���,這種方式我們發(fā)現(xiàn)類似于是一個黑名單����,這種方式維護(hù)起來比較麻煩�����,好處就是做一些應(yīng)急響應(yīng)的時候特別有用��,如果有的時候特別怪�����,就加一個黑名單一個規(guī)則�,立竿見影。
四大特色功能 多層次立體防護(hù)
整個NDS大概立體的層次主要分為以下幾個方面��,首先是靜態(tài)動態(tài)的過濾���,有黑白名單���,還有ACL過濾�,還有TCP狀態(tài)機(jī)驗證��,還有畸形包的過濾�。其次是客戶端真實性檢測���,像傳統(tǒng)像以前的小包往往會用一些假的IP���,用SYNCookie的驗證可以防止大量資源消耗掉,像RESET驗證�,TCP反彈驗證和TTL驗證等等。還有就是很重要的特征識別����,可以通過特征在任何層次上編寫一個插件,網(wǎng)易有總結(jié)出來的插件庫���、應(yīng)用層包括傳統(tǒng)的IS的反射��,這個平時不太敢開這個開關(guān)�,因為現(xiàn)在這塊東西傳統(tǒng)就是對于IS其實是非常好的���,但是越來越多的應(yīng)用就是搞的APP端�,現(xiàn)在都是移動端的天下了,對于JS的話誤殺會比較多�。HTTP指紋證件都有一定的順序特征,這個做這個驗證�����。信譽(yù)庫驗證比較基于IP��,如果這些前面這些措施���,過濾發(fā)現(xiàn)80%��,剩下20%還是會過來����,網(wǎng)易會采取一些限速的手段�。
同時,沈明星還對特色功能做了簡單介紹����,首先是基于Intel DPDK平臺和hyperscan匹配技術(shù)的高性能平臺和傳統(tǒng)政策表達(dá)式的匹配,有時候會匹配包的某一段特征的時����,比傳統(tǒng)的提升50%左右��。
其次是IP 信譽(yù)機(jī)制
���。首先網(wǎng)易有自己的安全團(tuán)隊,也在收集網(wǎng)絡(luò)上的一些僵尸網(wǎng)絡(luò)�����,主要是僵尸網(wǎng)絡(luò)和IP地址�。網(wǎng)易會根據(jù)活躍時間和同步計算����,來實時更新產(chǎn)品IP庫,在網(wǎng)易集團(tuán)內(nèi)部會共享IP的信譽(yù)庫�。
另外還有易盾的反垃圾業(yè)務(wù),像一些圖片文本�����、色情類�,涉黃涉政類和廣告類,很多這種人用的IP都是一些代理或者受控的一些主機(jī)��,這個IP一旦共享之后只要把這部分IP攔掉就會有非常效果,同時郵件的反垃圾系統(tǒng)也會共享這些數(shù)據(jù)��,包括驗證碼和反作弊系統(tǒng)����,其中反作弊系統(tǒng)更多是針對一些活動,比如在注冊時防止批量的垃圾注冊���,登陸時防止撞庫等一些行為�����。還有防止一些搶包����,秒殺等行為��,都需要一些大量的真實IP來做輔助���。“網(wǎng)易現(xiàn)在還是掌握這些數(shù)據(jù)就那么多�����,當(dāng)然也在不斷的發(fā)展���,我們有這個過程不斷重復(fù)激烈�����,用到我們這個里面來��,我們發(fā)現(xiàn)把這個策略用到7層的CC攻擊����,就是傳統(tǒng)的設(shè)備廠商在這塊沒有我們做得好����,就是這個原因�����,可以結(jié)合很多業(yè)務(wù)的數(shù)據(jù)做這個事情���。”
在現(xiàn)場���,沈明星還舉例介紹了網(wǎng)易云易盾防護(hù)實踐的成功案例。他表示:“現(xiàn)在網(wǎng)易云上也有不少的用戶�,而且攻擊的人大部分很守時。網(wǎng)易云平臺提供的5G的免費(fèi)的DDoS清洗能力,第一波抗住了����,兩個小時就開始CC攻擊的,CC攻擊比較大��,QPS達(dá)到了一千一打整個服務(wù)就直接爆掉了�,沒有反抗能力。前面說有好幾層��,有高防的技術(shù)中心����,還有一個SYNcookie,這個也是協(xié)議的一個部分����,我塞了一定的ceekie值,看一下對方是不是執(zhí)行的����,是不是把這個帶過來的,如果帶過來我認(rèn)為它是一個正常人�,如果不正常就不會帶這個,來判別是不是正常的訪問����,這波還是幫他抗住了���,接下來就是到網(wǎng)上發(fā)現(xiàn)單純的CC攻擊不行,開始混合攻擊了當(dāng)然流量非常大了���,我們一開始有100多G�,后面還在逐步的上升�,這個還是前面一層我看到了,有這個NDP包���,只要你帶寬大這個防護(hù)起來非常簡單����,但前提是你前段的設(shè)備帶寬足夠大�����。”
在演講最后���,沈明星先生對網(wǎng)易易盾防護(hù)進(jìn)行了的展望,首先是對用戶流量智能的學(xué)習(xí)���,雖然網(wǎng)易自己內(nèi)部的業(yè)務(wù)已經(jīng)運(yùn)用比較成熟�,但是對基于外部模型的分析,由于業(yè)務(wù)不穩(wěn)定�����、存活時間短���、業(yè)務(wù)繁雜等原因���,網(wǎng)易將在以后投入較大經(jīng)歷去做。
另外是深層次的DDoS檢測����,現(xiàn)在大流量較明顯的攻擊檢測比較簡單,但是也有很多慢速攻擊�,小流量的攻擊,即使放在大流量里帶來的變化也不是很明顯���,卻足以把后端的業(yè)務(wù)打癱���,因此這種怎么發(fā)現(xiàn)和檢測,也是一個問題���。
第三�,基于多維度信譽(yù)庫(IP,設(shè)備�����,指紋)的清洗策略���?�;诰W(wǎng)易大數(shù)據(jù)�����,建立針對用戶IP����、用戶設(shè)備�����、用戶指紋等多維度的信譽(yù)庫����,在DDoS防護(hù)時根據(jù)信譽(yù)進(jìn)行區(qū)分
。
第四����,提供客戶端SDK,增加人機(jī)識別功能��。提供Win���,IOS���,Android端SDK,采集用戶鼠標(biāo)鍵盤等操作軌跡�,真假人機(jī)識別的對抗,未來�����,網(wǎng)易也將提供這樣的SDK�,第一個是收集指紋和設(shè)備的信息,第二個可以采集一些手勢鼠標(biāo)這些點擊的動作來做一個人機(jī)識別�,現(xiàn)在抗擊這個場景下是不是特別的適用也要特別的考慮,這個比較慢�,完全只能做一些事后的分析,可能還是需要一定的延時差��,需要做一些事后的補(bǔ)充分析。
微信掃一掃
