11月15日�,2017亞太CDN年會(huì)進(jìn)入第二天���,大會(huì)由高清云論壇、視頻云論壇和高防云論壇三大部分組成��。當(dāng)日下午,360安域產(chǎn)品研發(fā)經(jīng)理王梟卿作了題為《閉環(huán)式的DDos防護(hù)》精彩演講�����。
何為DoS攻擊
王梟卿首先介紹道���,安域的產(chǎn)品其實(shí)功能主要是兩個(gè)部分�����,一個(gè)就是DDoS的防護(hù)����,另外一塊就是對(duì)于網(wǎng)站的運(yùn)維安全�����。這里介紹的是�,DDoS還有外部的一些工作。
王梟卿提到�����,第一部分是DDoS攻擊,從比較早開始����,上來第一頁的話是一個(gè)基于分層的,低于DDoS攻擊的一個(gè)分類的��,現(xiàn)在還是DDoS�。DDoS本身是指拒絕服務(wù)����,可以分成兩大類,一類是攻擊者用比較少的資源�,就可以讓服務(wù)崩潰或者進(jìn)入死循環(huán),另外一種就是通過比較大量的攻擊資源�,發(fā)送大量的報(bào)文,連接請(qǐng)求�����,占用目標(biāo)系統(tǒng)的計(jì)算資源��,存儲(chǔ)資源��,帶寬資源���。王梟卿今天著重提到的是后者�,后面這種其實(shí)防護(hù)起來還是屬于至少說是個(gè)人覺得比較困難的一種,也會(huì)有很多細(xì)節(jié)問題在里面���,主要的都是flood結(jié)尾��,類似于洪水攻擊����。
王梟卿講解道�,DDoS分為兩類,一個(gè)是對(duì)系統(tǒng)計(jì)算��,內(nèi)存占用一些攻擊���,比如UDPflood����,ICMPflood和分片攻擊���;另一類是帶寬資源的占用����,前面計(jì)算還有存儲(chǔ)資源占用,以及針對(duì)與帶寬的占用的話有些攻擊是兩邊都有的���。
王梟卿還提到了單體DDoS攻擊���,當(dāng)把這些單體DDoS攻擊分布到多臺(tái)的服務(wù)器上,則稱為分布式的DDoS攻擊��。這種一個(gè)表現(xiàn)物理層面��,有多臺(tái)的主機(jī)參與�,在低于方面有不同的省市國家和區(qū)域發(fā)起這種攻擊�。
針對(duì)分布式的DDoS攻擊,王梟卿認(rèn)為也有兩種��,一種是必須常見的�����,就相當(dāng)于攻擊者用這種已經(jīng)感染病毒的攻擊����,導(dǎo)致攻擊資源把其組成一個(gè)攻擊程序,發(fā)起攻擊指令��,然后對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。這個(gè)用的不是本身資源�����,而是利用他人計(jì)算資源和帶寬��。
另外一種是反射性攻擊�,相當(dāng)于這些本身直接發(fā)出流量的機(jī)器,它的控制權(quán)并不是在攻擊者����,只不過用同一個(gè)請(qǐng)求相應(yīng)的報(bào)文的大小不一樣,允許多數(shù)的反射工具UDP類的����,無法進(jìn)行有效驗(yàn)證的業(yè)務(wù)來發(fā)起這類的放射性攻擊,這個(gè)主要是DDoS的兩種途徑��。
王梟卿分析����,DDoS發(fā)起演進(jìn)的趨勢(shì),最早期攻擊者手上的機(jī)器不是太多�����。這個(gè)其實(shí)也是一個(gè)性價(jià)比國際的過程,就找一些單臺(tái)的機(jī)器����,怎么把目標(biāo)系統(tǒng)打死,攻擊者手上是兩臺(tái)機(jī)器����,想超過一個(gè)網(wǎng)站對(duì)外服務(wù)帶寬是不大可能,所以這個(gè)時(shí)候用DDoS攻擊還是以第一種就是剛才提到消耗計(jì)算資源��,內(nèi)存資源為目的的這種攻擊方式����,就是SYNFlood,早期都是以這個(gè)作為攻擊的主要目標(biāo)�。
王梟卿認(rèn)為這個(gè)時(shí)候其實(shí)消耗主要是計(jì)算資源和性能���,后來隨著反射技術(shù)或代理技術(shù)的發(fā)展���,慢慢地攻擊者掌握的帶寬,超過被攻擊目標(biāo)���,對(duì)外提供服務(wù)帶寬這種趨勢(shì)��,還隨著技術(shù)的演進(jìn)����,對(duì)于消耗計(jì)算性的攻擊,逐漸有比較成熟的技術(shù)�����,這個(gè)時(shí)候攻擊者混合去打一些攻擊����,有的是小包,其中也會(huì)夾雜一些大包的攻擊�����,這種攻擊會(huì)特意把負(fù)載加的最大��,一個(gè)包一千多字節(jié)�,用來占帶寬,另外就是比較小的包�����,這個(gè)時(shí)候?qū)儆谝粋€(gè)混合的階段��,然后同時(shí)攻擊計(jì)算資源和帶寬資源的。
之后就到了近幾年����,并且這個(gè)現(xiàn)象是最近兩三年才發(fā)現(xiàn)的。其很多高貸款的攻擊�����,就是三四百G的大寬帶里面�����,由50%以上的流量攻擊包的大小都是一千三四的以上的包�,這個(gè)時(shí)候攻擊者就放棄的技術(shù)性的攻擊原理,直接簡單粗暴就攻擊帶寬���,這個(gè)跟攻擊者掌握帶寬資源的原因越來越多�,基于這么個(gè)原因才出現(xiàn)這樣的情況�。
DDoS防護(hù)之問題
王梟卿還介紹了在DDoS的防護(hù)的時(shí)候���,可能遇到的一些問題�。他提到�����,其攻防一直是屬于攻守交錯(cuò)的一個(gè)狀態(tài)。在攻守交錯(cuò)的過程��,DDoS出現(xiàn)和攻擊的時(shí)候�����,大家對(duì)于這個(gè)沒有完整的理論����,第一印象是協(xié)議缺陷怎么辦,比如說軟件缺陷可以打補(bǔ)丁��,協(xié)議缺陷怎么打補(bǔ)?��?��?在這種缺乏理論知識(shí)的情況下,可能給防護(hù)帶來一些障礙��,但是國家對(duì)于這種攻擊的研究��,慢慢的話也會(huì)用一些比較成熟的解決方案��,比如說就是偽造IP的情況,可以做一些驗(yàn)證和探測�����。之后現(xiàn)在等于是防護(hù)原理那邊有減了�,如果攻擊量比較小還可以解決,如果攻擊量比較大�����,這個(gè)時(shí)候的話新的問題就出現(xiàn)了�����,主要是一個(gè)技術(shù)架構(gòu)上面的話�����,還會(huì)有一些技術(shù)瓶頸��。對(duì)于NP來說的話轉(zhuǎn)發(fā)層面��,IO上面是可以的���,但是計(jì)算能力不足�,去做一些復(fù)雜的計(jì)算處理以及內(nèi)存交互的時(shí)候����,這個(gè)問題就可能不行。專用芯片在靈活性和開發(fā)和維護(hù)成本上都有比較大的限制����,這個(gè)是在架構(gòu)上本身成為的制約DDoS防護(hù)的重要問題。
同時(shí)也是隨著技術(shù)的發(fā)展�,比如說有一些EP和X86混合的出現(xiàn),解決的基礎(chǔ)架構(gòu)的一些問題����,隨之而來當(dāng)前遇到攻擊形式,很大的攻擊帶寬會(huì)讓小防護(hù)產(chǎn)生很大的成本問題���。
王梟卿提到����,360安域作為防守方的話也是會(huì)想一些辦法來解決這類問題�����,這里面三類基本上都是基于共享的思路壓低成本,一種是IDC會(huì)開展一些高防業(yè)務(wù)�����,來充分利用下降帶寬����。二是CDN,CDN基于業(yè)務(wù)模式日常的話也是有比較充裕的帶寬���,可以用來做攻擊流量的接受還有清晰過濾�。三是云計(jì)算��,很多云計(jì)算廠商都對(duì)外提供了或多或少的���,1G2G的DDoS的防護(hù)能力�����。
王梟卿還提到���,360安域也會(huì)存在一些新的挑戰(zhàn)。對(duì)于CDN來說��,現(xiàn)在對(duì)于這種CDN環(huán)境就是會(huì)跟遇到的問題進(jìn)行一個(gè)闡述。我們一個(gè)CDN上有幾千個(gè)域名���,這個(gè)時(shí)候被攻擊不知道誰被攻擊,其實(shí)想做一些調(diào)度回源這個(gè)也很難做到的�。
另外一個(gè)就是這種攻擊發(fā)現(xiàn)靠投訴,這種就是介入CDN之后��,真實(shí)客戶端的IP放在的應(yīng)用層��。這個(gè)時(shí)候在精準(zhǔn)性��,靈敏性��,限制沒有那么精確����,也會(huì)導(dǎo)致這類的問題,就是客戶的源站已經(jīng)死掉了���,這個(gè)時(shí)候還要做這種防護(hù)�。
這個(gè)是寫的地主家也沒有余糧��,就算下沉帶寬�,也架不住幾百G的攻擊。王梟卿提到他曾經(jīng)遇到攻擊者就是一個(gè)節(jié)點(diǎn)一個(gè)節(jié)點(diǎn)打。這個(gè)期間節(jié)點(diǎn)是不可用的��。
最后一個(gè)是是城門失火��,王梟卿往往遇到一個(gè)人被攻擊或者一個(gè)業(yè)務(wù)被攻擊���,會(huì)影響到其他的業(yè)務(wù)�,或者是其他的客戶�����,這個(gè)也是比較頭疼的一個(gè)地方���。
閉環(huán)式的防護(hù)
王梟卿提到�,所謂閉環(huán)式的防護(hù)��,最大的宗旨就是萬事想到前面����。這種防護(hù)設(shè)立小小的目標(biāo),可能是100G��,或者200G��,一個(gè)T的防護(hù)容量。他希望有快速防護(hù)響應(yīng)的能力���,實(shí)時(shí)的防護(hù)�,報(bào)警的話30到60秒�����。
王梟卿講到����,未來達(dá)到這個(gè)目標(biāo)需要做工作準(zhǔn)備��,檢測和防護(hù)�����。從檢測方面來說第一個(gè)是多維度的檢測分析�����。除了對(duì)接口帶寬或者出口帶寬這一類之外���,還要細(xì)化到IP����,應(yīng)用層乃至域名。另外就是獨(dú)立的IP組服務(wù)域名和客戶���,這個(gè)主要是為了解決我們找不到哪個(gè)用戶被攻擊的情況����。另外還有計(jì)費(fèi)的問題�,成本還是非常高。有一種解決方式的話那就是以定位為目的的調(diào)度����。
王梟卿還提到實(shí)時(shí)的防護(hù)機(jī)制和架構(gòu)。這在一定程度可以實(shí)施在線防護(hù)的能力�,比如代理還有技術(shù)的話就是比較成熟的,剩下就是一個(gè)性能問題����。之后是一個(gè)應(yīng)用層防護(hù)和三四層防護(hù)的聯(lián)動(dòng),這種對(duì)于應(yīng)用層的發(fā)現(xiàn)還有攻擊源的定位的話還是防護(hù)是最好的�����,對(duì)于防護(hù)角度來說就是攔截�����。應(yīng)用層防護(hù)聯(lián)動(dòng)三四層的防護(hù),效果還是不錯(cuò)的����。還有則是防護(hù)過程的自動(dòng)升級(jí)與遷移,這個(gè)時(shí)候需要準(zhǔn)備遷移方案和降級(jí)方案����。
王梟卿認(rèn)為360安域還需要規(guī)劃層面。一個(gè)是資源規(guī)劃�,他有意為大IP覆蓋提供準(zhǔn)備充足的IP和IP資源����。比如說大流量攻擊,相對(duì)來說大的一塊單節(jié)點(diǎn)也是要在規(guī)劃里面考慮的����。之后就是業(yè)務(wù)隔離,360安域?qū)λ蟹?wù)規(guī)劃是不一樣的��,且必要保證關(guān)鍵用戶的服務(wù)質(zhì)量��,這些都需要考慮把用戶業(yè)務(wù)單獨(dú)隔離出來�����,那么攻擊就對(duì)其產(chǎn)生的影響則減少許多。
王梟卿認(rèn)為�����,其他服務(wù)則依靠運(yùn)營���。其中在整個(gè)服務(wù)的防護(hù)過程中��,包括應(yīng)急響應(yīng)流程��,還有外界風(fēng)險(xiǎn)的識(shí)別和管理����,顯得尤為重要�����。外界環(huán)境����,風(fēng)險(xiǎn)是否增加,對(duì)風(fēng)險(xiǎn)有何措施���,這也會(huì)直接影響未來一兩個(gè)月的防護(hù)能力和效果���。關(guān)于反饋機(jī)制��,除了系統(tǒng)架構(gòu)����,單節(jié)點(diǎn)的反饋處理����,從PlanB到PlanA預(yù)測到發(fā)生概率比較小的事件,需要其準(zhǔn)備相互的資源和防護(hù)方式��。
王梟卿還提到了IP信譽(yù)和客戶風(fēng)險(xiǎn)級(jí)別�。他提到有時(shí)360安域確實(shí)會(huì)識(shí)別攻擊IP以及客戶當(dāng)前被攻擊的風(fēng)險(xiǎn)��。王梟卿認(rèn)為其可以把數(shù)據(jù)作為下次防護(hù)的基準(zhǔn)�����,并反饋到現(xiàn)有的防護(hù)和運(yùn)營體系之中����。下一個(gè)則是預(yù)測和預(yù)警�����。這個(gè)也是最后一個(gè)一個(gè)是結(jié)合feedback數(shù)據(jù)的預(yù)警���,我們至少知道哪些客戶更容易被攻擊,哪些IP更容易產(chǎn)生攻擊��,這樣就加大監(jiān)控力度���,提高級(jí)別��,做得更敏感一點(diǎn)����。另外是依據(jù)蜜罐做的一個(gè)檢測�,早期在七八年前做過一個(gè)檢測,在蜜罐系統(tǒng)可以收到一些服務(wù)器的指令�����,根據(jù)這些指令其可做面向大眾的指令�,而且360安域也可以提前知道有哪些域名存在潛在攻擊目標(biāo)。
最后王梟卿總結(jié)道,剩下如果把剛才所有的事情全都做完了���,360安域離目標(biāo)還差的數(shù)����,可能是80%��,也可能是20%��,然而剩下20%他認(rèn)為是在攻擊方可能會(huì)有一些新的技術(shù)����。最后為了彌補(bǔ)剩下的20%,王梟卿呼吁業(yè)界專家還有人士應(yīng)不停探索和研究����,把20%逐漸縮小。
微信掃一掃
