360安域王梟卿：針對閉環式DDos攻擊應同步檢測與防護

2017-11-17 17:19:00 來源：亞太CDN產業聯盟熱度:

11月15日，2017亞太CDN年會進入第二天，大會由高清云論壇、視頻云論壇和高防云論壇三大部分組成。當日下午，360安域產品研發經理王梟卿作了題為《閉環式的DDos防護》精彩演講。

何為DoS攻擊

王梟卿首先介紹道，安域的產品其實功能主要是兩個部分，一個就是DDoS的防護，另外一塊就是對于網站的運維安全。這里介紹的是，DDoS還有外部的一些工作。

王梟卿提到，第一部分是DDoS攻擊，從比較早開始，上來第一頁的話是一個基于分層的，低于DDoS攻擊的一個分類的，現在還是DDoS。DDoS本身是指拒絕服務，可以分成兩大類，一類是攻擊者用比較少的資源，就可以讓服務崩潰或者進入死循環，另外一種就是通過比較大量的攻擊資源，發送大量的報文，連接請求，占用目標系統的計算資源，存儲資源，帶寬資源。王梟卿今天著重提到的是后者，后面這種其實防護起來還是屬于至少說是個人覺得比較困難的一種，也會有很多細節問題在里面，主要的都是flood結尾，類似于洪水攻擊。

王梟卿講解道，DDoS分為兩類，一個是對系統計算，內存占用一些攻擊，比如UDPflood，ICMPflood和分片攻擊；另一類是帶寬資源的占用，前面計算還有存儲資源占用，以及針對與帶寬的占用的話有些攻擊是兩邊都有的。

王梟卿還提到了單體DDoS攻擊，當把這些單體DDoS攻擊分布到多臺的服務器上，則稱為分布式的DDoS攻擊。這種一個表現物理層面，有多臺的主機參與，在低于方面有不同的省市國家和區域發起這種攻擊。

針對分布式的DDoS攻擊，王梟卿認為也有兩種，一種是必須常見的，就相當于攻擊者用這種已經感染病毒的攻擊，導致攻擊資源把其組成一個攻擊程序，發起攻擊指令，然后對目標系統發起攻擊。這個用的不是本身資源，而是利用他人計算資源和帶寬。

另外一種是反射性攻擊，相當于這些本身直接發出流量的機器，它的控制權并不是在攻擊者，只不過用同一個請求相應的報文的大小不一樣，允許多數的反射工具UDP類的，無法進行有效驗證的業務來發起這類的放射性攻擊，這個主要是DDoS的兩種途徑。

王梟卿分析，DDoS發起演進的趨勢，最早期攻擊者手上的機器不是太多。這個其實也是一個性價比國際的過程，就找一些單臺的機器，怎么把目標系統打死，攻擊者手上是兩臺機器，想超過一個網站對外服務帶寬是不大可能，所以這個時候用DDoS攻擊還是以第一種就是剛才提到消耗計算資源，內存資源為目的的這種攻擊方式，就是SYNFlood，早期都是以這個作為攻擊的主要目標。

王梟卿認為這個時候其實消耗主要是計算資源和性能，后來隨著反射技術或代理技術的發展，慢慢地攻擊者掌握的帶寬，超過被攻擊目標，對外提供服務帶寬這種趨勢，還隨著技術的演進，對于消耗計算性的攻擊，逐漸有比較成熟的技術，這個時候攻擊者混合去打一些攻擊，有的是小包，其中也會夾雜一些大包的攻擊，這種攻擊會特意把負載加的最大，一個包一千多字節，用來占帶寬，另外就是比較小的包，這個時候屬于一個混合的階段，然后同時攻擊計算資源和帶寬資源的。

之后就到了近幾年，并且這個現象是最近兩三年才發現的。其很多高貸款的攻擊，就是三四百G的大寬帶里面，由50%以上的流量攻擊包的大小都是一千三四的以上的包，這個時候攻擊者就放棄的技術性的攻擊原理，直接簡單粗暴就攻擊帶寬，這個跟攻擊者掌握帶寬資源的原因越來越多，基于這么個原因才出現這樣的情況。

DDoS防護之問題

王梟卿還介紹了在DDoS的防護的時候，可能遇到的一些問題。他提到，其攻防一直是屬于攻守交錯的一個狀態。在攻守交錯的過程，DDoS出現和攻擊的時候，大家對于這個沒有完整的理論，第一印象是協議缺陷怎么辦，比如說軟件缺陷可以打補丁，協議缺陷怎么打補丁？在這種缺乏理論知識的情況下，可能給防護帶來一些障礙，但是國家對于這種攻擊的研究，慢慢的話也會用一些比較成熟的解決方案，比如說就是偽造IP的情況，可以做一些驗證和探測。之后現在等于是防護原理那邊有減了，如果攻擊量比較小還可以解決，如果攻擊量比較大，這個時候的話新的問題就出現了，主要是一個技術架構上面的話，還會有一些技術瓶頸。對于NP來說的話轉發層面，IO上面是可以的，但是計算能力不足，去做一些復雜的計算處理以及內存交互的時候，這個問題就可能不行。專用芯片在靈活性和開發和維護成本上都有比較大的限制，這個是在架構上本身成為的制約DDoS防護的重要問題。

同時也是隨著技術的發展，比如說有一些EP和X86混合的出現，解決的基礎架構的一些問題，隨之而來當前遇到攻擊形式，很大的攻擊帶寬會讓小防護產生很大的成本問題。

王梟卿提到，360安域作為防守方的話也是會想一些辦法來解決這類問題，這里面三類基本上都是基于共享的思路壓低成本，一種是IDC會開展一些高防業務，來充分利用下降帶寬。二是CDN，CDN基于業務模式日常的話也是有比較充裕的帶寬，可以用來做攻擊流量的接受還有清晰過濾。三是云計算，很多云計算廠商都對外提供了或多或少的，1G2G的DDoS的防護能力。

王梟卿還提到，360安域也會存在一些新的挑戰。對于CDN來說，現在對于這種CDN環境就是會跟遇到的問題進行一個闡述。我們一個CDN上有幾千個域名，這個時候被攻擊不知道誰被攻擊，其實想做一些調度回源這個也很難做到的。

另外一個就是這種攻擊發現靠投訴，這種就是介入CDN之后，真實客戶端的IP放在的應用層。這個時候在精準性，靈敏性，限制沒有那么精確，也會導致這類的問題，就是客戶的源站已經死掉了，這個時候還要做這種防護。

這個是寫的地主家也沒有余糧，就算下沉帶寬，也架不住幾百G的攻擊。王梟卿提到他曾經遇到攻擊者就是一個節點一個節點打。這個期間節點是不可用的。

最后一個是是城門失火，王梟卿往往遇到一個人被攻擊或者一個業務被攻擊，會影響到其他的業務，或者是其他的客戶，這個也是比較頭疼的一個地方。

閉環式的防護

王梟卿提到，所謂閉環式的防護，最大的宗旨就是萬事想到前面。這種防護設立小小的目標，可能是100G，或者200G，一個T的防護容量。他希望有快速防護響應的能力，實時的防護，報警的話30到60秒。

王梟卿講到，未來達到這個目標需要做工作準備，檢測和防護。從檢測方面來說第一個是多維度的檢測分析。除了對接口帶寬或者出口帶寬這一類之外，還要細化到IP，應用層乃至域名。另外就是獨立的IP組服務域名和客戶，這個主要是為了解決我們找不到哪個用戶被攻擊的情況。另外還有計費的問題，成本還是非常高。有一種解決方式的話那就是以定位為目的的調度。

王梟卿還提到實時的防護機制和架構。這在一定程度可以實施在線防護的能力，比如代理還有技術的話就是比較成熟的，剩下就是一個性能問題。之后是一個應用層防護和三四層防護的聯動，這種對于應用層的發現還有攻擊源的定位的話還是防護是最好的，對于防護角度來說就是攔截。應用層防護聯動三四層的防護，效果還是不錯的。還有則是防護過程的自動升級與遷移，這個時候需要準備遷移方案和降級方案。

王梟卿認為360安域還需要規劃層面。一個是資源規劃，他有意為大IP覆蓋提供準備充足的IP和IP資源。比如說大流量攻擊，相對來說大的一塊單節點也是要在規劃里面考慮的。之后就是業務隔離，360安域對所有服務規劃是不一樣的，且必要保證關鍵用戶的服務質量，這些都需要考慮把用戶業務單獨隔離出來，那么攻擊就對其產生的影響則減少許多。

王梟卿認為，其他服務則依靠運營。其中在整個服務的防護過程中，包括應急響應流程，還有外界風險的識別和管理，顯得尤為重要。外界環境，風險是否增加，對風險有何措施，這也會直接影響未來一兩個月的防護能力和效果。關于反饋機制，除了系統架構，單節點的反饋處理，從PlanB到PlanA預測到發生概率比較小的事件，需要其準備相互的資源和防護方式。

王梟卿還提到了IP信譽和客戶風險級別。他提到有時360安域確實會識別攻擊IP以及客戶當前被攻擊的風險。王梟卿認為其可以把數據作為下次防護的基準，并反饋到現有的防護和運營體系之中。下一個則是預測和預警。這個也是最后一個一個是結合feedback數據的預警，我們至少知道哪些客戶更容易被攻擊，哪些IP更容易產生攻擊，這樣就加大監控力度，提高級別，做得更敏感一點。另外是依據蜜罐做的一個檢測，早期在七八年前做過一個檢測，在蜜罐系統可以收到一些服務器的指令，根據這些指令其可做面向大眾的指令，而且360安域也可以提前知道有哪些域名存在潛在攻擊目標。

最后王梟卿總結道，剩下如果把剛才所有的事情全都做完了，360安域離目標還差的數，可能是80%，也可能是20%，然而剩下20%他認為是在攻擊方可能會有一些新的技術。最后為了彌補剩下的20%，王梟卿呼吁業界專家還有人士應不停探索和研究，把20%逐漸縮小。

下一篇：咪咕視訊徐文忠：構建開放共贏的咪咕視頻云平臺上一篇：美團云呂程：線上線下深度融合構建彈性、安全、靈活云服務器

責任編輯：王剛

CDN 360 王梟卿

亚洲网站免费_国产一区二区三区在线看麻豆 _国产精品毛片一区二区三区 _麻豆精品网站

360安域王梟卿：針對閉環式DDos攻擊應同步檢測與防護

相關推薦