11月15日,2017亞太CDN年會進入第二天,大會由高清云論壇、視頻云論壇和高防云論壇三大部分組成。當日下午,360安域產品研發經理王梟卿作了題為《閉環式的DDos防護》精彩演講。
何為DoS攻擊
王梟卿首先介紹道,安域的產品其實功能主要是兩個部分,一個就是DDoS的防護,另外一塊就是對于網站的運維安全。這里介紹的是,DDoS還有外部的一些工作。
王梟卿提到,第一部分是DDoS攻擊,從比較早開始,上來第一頁的話是一個基于分層的,低于DDoS攻擊的一個分類的,現在還是DDoS。DDoS本身是指拒絕服務,可以分成兩大類,一類是攻擊者用比較少的資源,就可以讓服務崩潰或者進入死循環,另外一種就是通過比較大量的攻擊資源,發送大量的報文,連接請求,占用目標系統的計算資源,存儲資源,帶寬資源。王梟卿今天著重提到的是后者,后面這種其實防護起來還是屬于至少說是個人覺得比較困難的一種,也會有很多細節問題在里面,主要的都是flood結尾,類似于洪水攻擊。
王梟卿講解道,DDoS分為兩類,一個是對系統計算,內存占用一些攻擊,比如UDPflood,ICMPflood和分片攻擊;另一類是帶寬資源的占用,前面計算還有存儲資源占用,以及針對與帶寬的占用的話有些攻擊是兩邊都有的。
王梟卿還提到了單體DDoS攻擊,當把這些單體DDoS攻擊分布到多臺的服務器上,則稱為分布式的DDoS攻擊。這種一個表現物理層面,有多臺的主機參與,在低于方面有不同的省市國家和區域發起這種攻擊。
針對分布式的DDoS攻擊,王梟卿認為也有兩種,一種是必須常見的,就相當于攻擊者用這種已經感染病毒的攻擊,導致攻擊資源把其組成一個攻擊程序,發起攻擊指令,然后對目標系統發起攻擊。這個用的不是本身資源,而是利用他人計算資源和帶寬。
另外一種是反射性攻擊,相當于這些本身直接發出流量的機器,它的控制權并不是在攻擊者,只不過用同一個請求相應的報文的大小不一樣,允許多數的反射工具UDP類的,無法進行有效驗證的業務來發起這類的放射性攻擊,這個主要是DDoS的兩種途徑。
王梟卿分析,DDoS發起演進的趨勢,最早期攻擊者手上的機器不是太多。這個其實也是一個性價比國際的過程,就找一些單臺的機器,怎么把目標系統打死,攻擊者手上是兩臺機器,想超過一個網站對外服務帶寬是不大可能,所以這個時候用DDoS攻擊還是以第一種就是剛才提到消耗計算資源,內存資源為目的的這種攻擊方式,就是SYNFlood,早期都是以這個作為攻擊的主要目標。
王梟卿認為這個時候其實消耗主要是計算資源和性能,后來隨著反射技術或代理技術的發展,慢慢地攻擊者掌握的帶寬,超過被攻擊目標,對外提供服務帶寬這種趨勢,還隨著技術的演進,對于消耗計算性的攻擊,逐漸有比較成熟的技術,這個時候攻擊者混合去打一些攻擊,有的是小包,其中也會夾雜一些大包的攻擊,這種攻擊會特意把負載加的最大,一個包一千多字節,用來占帶寬,另外就是比較小的包,這個時候屬于一個混合的階段,然后同時攻擊計算資源和帶寬資源的。
之后就到了近幾年,并且這個現象是最近兩三年才發現的。其很多高貸款的攻擊,就是三四百G的大寬帶里面,由50%以上的流量攻擊包的大小都是一千三四的以上的包,這個時候攻擊者就放棄的技術性的攻擊原理,直接簡單粗暴就攻擊帶寬,這個跟攻擊者掌握帶寬資源的原因越來越多,基于這么個原因才出現這樣的情況。
DDoS防護之問題
王梟卿還介紹了在DDoS的防護的時候,可能遇到的一些問題。他提到,其攻防一直是屬于攻守交錯的一個狀態。在攻守交錯的過程,DDoS出現和攻擊的時候,大家對于這個沒有完整的理論,第一印象是協議缺陷怎么辦,比如說軟件缺陷可以打補丁,協議缺陷怎么打補丁?在這種缺乏理論知識的情況下,可能給防護帶來一些障礙,但是國家對于這種攻擊的研究,慢慢的話也會用一些比較成熟的解決方案,比如說就是偽造IP的情況,可以做一些驗證和探測。之后現在等于是防護原理那邊有減了,如果攻擊量比較小還可以解決,如果攻擊量比較大,這個時候的話新的問題就出現了,主要是一個技術架構上面的話,還會有一些技術瓶頸。對于NP來說的話轉發層面,IO上面是可以的,但是計算能力不足,去做一些復雜的計算處理以及內存交互的時候,這個問題就可能不行。專用芯片在靈活性和開發和維護成本上都有比較大的限制,這個是在架構上本身成為的制約DDoS防護的重要問題。
同時也是隨著技術的發展,比如說有一些EP和X86混合的出現,解決的基礎架構的一些問題,隨之而來當前遇到攻擊形式,很大的攻擊帶寬會讓小防護產生很大的成本問題。
王梟卿提到,360安域作為防守方的話也是會想一些辦法來解決這類問題,這里面三類基本上都是基于共享的思路壓低成本,一種是IDC會開展一些高防業務,來充分利用下降帶寬。二是CDN,CDN基于業務模式日常的話也是有比較充裕的帶寬,可以用來做攻擊流量的接受還有清晰過濾。三是云計算,很多云計算廠商都對外提供了或多或少的,1G2G的DDoS的防護能力。
王梟卿還提到,360安域也會存在一些新的挑戰。對于CDN來說,現在對于這種CDN環境就是會跟遇到的問題進行一個闡述。我們一個CDN上有幾千個域名,這個時候被攻擊不知道誰被攻擊,其實想做一些調度回源這個也很難做到的。
另外一個就是這種攻擊發現靠投訴,這種就是介入CDN之后,真實客戶端的IP放在的應用層。這個時候在精準性,靈敏性,限制沒有那么精確,也會導致這類的問題,就是客戶的源站已經死掉了,這個時候還要做這種防護。
這個是寫的地主家也沒有余糧,就算下沉帶寬,也架不住幾百G的攻擊。王梟卿提到他曾經遇到攻擊者就是一個節點一個節點打。這個期間節點是不可用的。
最后一個是是城門失火,王梟卿往往遇到一個人被攻擊或者一個業務被攻擊,會影響到其他的業務,或者是其他的客戶,這個也是比較頭疼的一個地方。
閉環式的防護
王梟卿提到,所謂閉環式的防護,最大的宗旨就是萬事想到前面。這種防護設立小小的目標,可能是100G,或者200G,一個T的防護容量。他希望有快速防護響應的能力,實時的防護,報警的話30到60秒。
王梟卿講到,未來達到這個目標需要做工作準備,檢測和防護。從檢測方面來說第一個是多維度的檢測分析。除了對接口帶寬或者出口帶寬這一類之外,還要細化到IP,應用層乃至域名。另外就是獨立的IP組服務域名和客戶,這個主要是為了解決我們找不到哪個用戶被攻擊的情況。另外還有計費的問題,成本還是非常高。有一種解決方式的話那就是以定位為目的的調度。
王梟卿還提到實時的防護機制和架構。這在一定程度可以實施在線防護的能力,比如代理還有技術的話就是比較成熟的,剩下就是一個性能問題。之后是一個應用層防護和三四層防護的聯動,這種對于應用層的發現還有攻擊源的定位的話還是防護是最好的,對于防護角度來說就是攔截。應用層防護聯動三四層的防護,效果還是不錯的。還有則是防護過程的自動升級與遷移,這個時候需要準備遷移方案和降級方案。
王梟卿認為360安域還需要規劃層面。一個是資源規劃,他有意為大IP覆蓋提供準備充足的IP和IP資源。比如說大流量攻擊,相對來說大的一塊單節點也是要在規劃里面考慮的。之后就是業務隔離,360安域對所有服務規劃是不一樣的,且必要保證關鍵用戶的服務質量,這些都需要考慮把用戶業務單獨隔離出來,那么攻擊就對其產生的影響則減少許多。
王梟卿認為,其他服務則依靠運營。其中在整個服務的防護過程中,包括應急響應流程,還有外界風險的識別和管理,顯得尤為重要。外界環境,風險是否增加,對風險有何措施,這也會直接影響未來一兩個月的防護能力和效果。關于反饋機制,除了系統架構,單節點的反饋處理,從PlanB到PlanA預測到發生概率比較小的事件,需要其準備相互的資源和防護方式。
王梟卿還提到了IP信譽和客戶風險級別。他提到有時360安域確實會識別攻擊IP以及客戶當前被攻擊的風險。王梟卿認為其可以把數據作為下次防護的基準,并反饋到現有的防護和運營體系之中。下一個則是預測和預警。這個也是最后一個一個是結合feedback數據的預警,我們至少知道哪些客戶更容易被攻擊,哪些IP更容易產生攻擊,這樣就加大監控力度,提高級別,做得更敏感一點。另外是依據蜜罐做的一個檢測,早期在七八年前做過一個檢測,在蜜罐系統可以收到一些服務器的指令,根據這些指令其可做面向大眾的指令,而且360安域也可以提前知道有哪些域名存在潛在攻擊目標。
最后王梟卿總結道,剩下如果把剛才所有的事情全都做完了,360安域離目標還差的數,可能是80%,也可能是20%,然而剩下20%他認為是在攻擊方可能會有一些新的技術。最后為了彌補剩下的20%,王梟卿呼吁業界專家還有人士應不停探索和研究,把20%逐漸縮小。
微信掃一掃
