GFIC2017—亞太CDN年會(huì)在全產(chǎn)業(yè)鏈同仁的支持下已經(jīng)勝利閉幕。年會(huì)活動(dòng)邀請(qǐng)了中國(guó)信通院����、網(wǎng)心科技、云熵網(wǎng)絡(luò)、云帆加速���、平安科技����、又拍云���、北京供銷(xiāo)大數(shù)據(jù)集團(tuán)����、騰訊云����、雷鳥(niǎo)電視����、國(guó)廣東方���、鵬博士電信傳媒集團(tuán)�、CenturyLink、CC視頻����、NTT����、京東云�、金山云、蜻蜓FM、視博云���、PPTV聚力云、美團(tuán)云、咪咕視訊、360企業(yè)安全集團(tuán)����、網(wǎng)易云����、綠盟科技���、知道創(chuàng)宇���、北京椒圖科等出席會(huì)議����。本文將重點(diǎn)介紹GFIC2017—亞太CDN年會(huì)“高防云論壇”嘉賓核心觀點(diǎn)����。
“高防云論壇”圍繞高防CDN和高防云平臺(tái)等議題,探討網(wǎng)絡(luò)信息安全大背景下的高防云平臺(tái)的建設(shè)����。出席本次圓桌論壇的有:北京椒圖科技有限公司VP李棟�、360安域產(chǎn)品研發(fā)經(jīng)理王梟卿�、網(wǎng)易信息安全部技術(shù)總監(jiān)沈明星、知道創(chuàng)宇安全顧問(wèn)魏雅楠���。
網(wǎng)易沈明星:打造云清洗防護(hù)中心,CDN與安防優(yōu)勢(shì)互補(bǔ)�。
沈明星介紹說(shuō)����,網(wǎng)易正在搭建一個(gè)云的清洗防護(hù)中心�,涉及到一些關(guān)鍵指標(biāo),就是像用戶(hù)非常關(guān)鍵延時(shí)�,必然會(huì)在選擇高防節(jié)點(diǎn)的時(shí)候����,靠近自己的云和終端用戶(hù)�。這樣做,能夠更多的去減少網(wǎng)絡(luò)上的延遲���,來(lái)保證用戶(hù)體驗(yàn)。沈明星同時(shí)表示�,網(wǎng)易目前比較關(guān)注資源的隔離����,因?yàn)橐粋€(gè)云抗D的平臺(tái)或者一個(gè)清洗中心必然會(huì)接入大量的用戶(hù)����。怎么樣保證各個(gè)用戶(hù)之間的業(yè)務(wù)是個(gè)難題����,比如說(shuō)某個(gè)用戶(hù)被攻擊會(huì)不會(huì)影響到其他用戶(hù)等。為此,網(wǎng)易云易盾真正的做到了“隔離源頭”。他們會(huì)每一個(gè)用戶(hù)高防IP都會(huì)有一個(gè)獨(dú)立的定程�,會(huì)做到一個(gè)自覺(jué)的隔離���,在網(wǎng)絡(luò)上用戶(hù)購(gòu)買(mǎi)這個(gè)套餐�,網(wǎng)易會(huì)直接把IP直接拉黑,保證網(wǎng)易整個(gè)平臺(tái)的安全。
當(dāng)被問(wèn)到在如何抗擊DDoS和CC的攻擊時(shí)�,沈明星認(rèn)為最重要的是工作經(jīng)驗(yàn)和顯示對(duì)抗的角度���?���?笵這一塊是對(duì)資源���,出口帶寬一定要大���,自己設(shè)備一定要多�,這個(gè)純粹就是簡(jiǎn)單粗暴,沒(méi)有資源根本抗不住���。針對(duì)CC攻擊就是綿里藏針的一些攻擊,更多的是比拼技術(shù)�,和數(shù)據(jù)的積累���,防CC的時(shí)候必然需要用戶(hù)的數(shù)據(jù)模型���,需要信譽(yù)庫(kù)�,像阿里和游戲盾這些也會(huì)用到一系列的技術(shù)�。
而對(duì)于當(dāng)下,越來(lái)越多的CDN企業(yè)開(kāi)始與安防企業(yè)進(jìn)行合作。沈明星認(rèn)為�,CDN和安防本身就存在著一些互補(bǔ)的優(yōu)勢(shì)�。CDN的流量是進(jìn)少出多�,DDoS就是進(jìn)多出少����。國(guó)內(nèi)幾家CDN廠(chǎng)商,像網(wǎng)宿他們也做這塊業(yè)務(wù)的����,CDN廠(chǎng)商也是看到了這塊的契機(jī)的�,他們也是想做一些高防的節(jié)點(diǎn)�,跟CDN結(jié)合DDoS防護(hù)的能力。業(yè)務(wù)設(shè)計(jì)會(huì)把JS圖片直接放在CDN節(jié)點(diǎn)上,這就不需要回源到原件上的,這種攻擊更多影響是CDN本身的業(yè)務(wù)。沈明星認(rèn)為�,從這個(gè)角度而言CDN的廠(chǎng)商對(duì)于保護(hù)自身而言也有防御工具的需求����。
360王梟卿:360度無(wú)死角的防護(hù)���,CDN如何與高防云配合無(wú)間����?
當(dāng)被問(wèn)到“抗DDoS和抗CC攻擊中,最關(guān)鍵的是什么”時(shí)���,王梟卿認(rèn)為是資源。當(dāng)600G到700G的攻擊直接打到一個(gè)地方�,你的節(jié)點(diǎn)或者IDC出口帶寬如果小于這個(gè)數(shù)的話(huà)����,基本上就是就沒(méi)法運(yùn)作����。運(yùn)營(yíng)商IDC方面的話(huà),一般會(huì)采取的做法就是為了不影響其他業(yè)務(wù)而自保����,直接把你的節(jié)點(diǎn)服務(wù)IP丟進(jìn)黑洞,解封完一般需要兩到三個(gè)小時(shí)�。如果所有節(jié)點(diǎn)都在這個(gè)規(guī)模以下�,要么就是全面掛掉���,要么放棄對(duì)客戶(hù)的防護(hù)����,就這兩種結(jié)果。這就是高防存在的原因���,節(jié)點(diǎn)多做服務(wù)式的防護(hù)是一個(gè)優(yōu)勢(shì),劣勢(shì)就是DNS的調(diào)度�,攻擊流量不一定跟的上�,直接打節(jié)點(diǎn)的服務(wù)IP或者網(wǎng)端����,這個(gè)我們都遇到過(guò)����,單節(jié)點(diǎn)帶寬至少就是對(duì)外部就是成為承諾防護(hù)能力的話(huà)�,承諾500G的話(huà),最好是有500G以上的節(jié)點(diǎn)����,如果攻擊打到一個(gè)點(diǎn)確實(shí)承受不住����。
王梟卿認(rèn)為�,本身防護(hù)系統(tǒng)的靈活性也能在很大程度上影響到抗DDoS的能力。 其次大家都知道的問(wèn)題����,就是次之的一些問(wèn)題���,比如說(shuō)規(guī)則策略的攻擊性����,DDoS是對(duì)抗性很強(qiáng)的攻擊�,比如說(shuō)防控住之后���,過(guò)個(gè)兩三分鐘���,四五分鐘�,攻擊者那邊就停了、調(diào)整攻擊的方式重新打���,如果系統(tǒng)能夠自動(dòng)判斷最好的,但當(dāng)出現(xiàn)系統(tǒng)不行的場(chǎng)景�,這樣就需要認(rèn)為介入�,去配置去調(diào)整�,那么你本身的防護(hù)系統(tǒng)的靈活性就包括你策略配置的靈活性有多高,直接決定了你的防護(hù)相應(yīng)的延遲還有效果����,這是對(duì)于在這種抗D和CC里非常重要的兩個(gè)地方�。
對(duì)于CDN與高防相結(jié)合�。王梟卿認(rèn)為,CDN就是分布式的存儲(chǔ)���,高防用分布式的方法來(lái)做,其實(shí)的確具有更高的防護(hù)能力����。確實(shí)就是說(shuō)現(xiàn)在有很多的CDN的廠(chǎng)家����,那么就是說(shuō)無(wú)論推出這個(gè)服務(wù)����,還是被動(dòng)的提供客戶(hù),本身中間CDN就有IP隱藏的作用����,估計(jì)會(huì)得到CDN節(jié)點(diǎn)上,有一些CDN公司把這些東西作為服務(wù)推出來(lái)了。
他認(rèn)為對(duì)于CDN客戶(hù)來(lái)說(shuō),在比較早的時(shí)候���,一般都會(huì)寫(xiě)一些做好防護(hù)的承諾,不做保證,如果像攻擊量不大���,CDN檢測(cè)這一方也發(fā)現(xiàn)不了,這個(gè)時(shí)候就相當(dāng)于默默用戶(hù)去承受的,量大的話(huà),CDN公司����,本身在這擺著了����,客戶(hù)一個(gè)是復(fù)雜值還沒(méi)有那么高�,只是一個(gè)商業(yè)行為,同時(shí)的話(huà)也是會(huì)大量對(duì)于其他正常的用戶(hù)和業(yè)務(wù)的服務(wù)的話(huà),可能會(huì)采用一些回源的措施����,但無(wú)論如何����,只要在自己能力范圍以?xún)?nèi),其實(shí)如果把這個(gè)東西作為一項(xiàng)增值服務(wù)給客戶(hù),也會(huì)讓你的CDN節(jié)點(diǎn)更加有生機(jī)、
椒圖科技VP 李棟:資源相互整合,CC攻擊三重奏如何抵抗���?
李棟認(rèn)為,未來(lái)抗C或者抗D的重點(diǎn)是數(shù)據(jù)的共享,因?yàn)槊考业馁Y源都是有限的����,云鎖差不多有100萬(wàn)的裝機(jī)量�,資源相互整合����,通過(guò)相關(guān)的提升,來(lái)抵抗這種能力���。
李棟指出���,與DDoS攻擊不同���,CC攻擊主要是對(duì)服務(wù)器的內(nèi)存等占用����,CC攻擊的攻擊原理比較簡(jiǎn)單,通過(guò)用一個(gè)IP向服務(wù)器發(fā)起數(shù)據(jù)庫(kù)請(qǐng)求�,在短時(shí)間內(nèi)占用大量的CPU包括內(nèi)存的資源�。常規(guī)的防CC攻擊有四種�,一個(gè)是硬件WAF,它現(xiàn)在是大企業(yè)的標(biāo)配���,優(yōu)點(diǎn)是部署非常方便,本身是用硬件方式交付�,吞吐量比較高����,但缺點(diǎn)是價(jià)格昂貴�,對(duì)于中小企業(yè)來(lái)說(shuō)應(yīng)該是難以負(fù)擔(dān)的。另外����,硬件WAF需要明確的網(wǎng)絡(luò)邊界����,不適合云環(huán)境�。椒圖之前遇到一個(gè)用戶(hù)購(gòu)買(mǎi)大量的硬件,在把業(yè)務(wù)遷移到云上,又重新數(shù)據(jù)庫(kù)���,過(guò)濾之后再接到里面,這種做法效率比較低。
椒圖抗CC攻擊產(chǎn)品有三重模式���,第一種模式是計(jì)數(shù)�,通過(guò)看請(qǐng)求次數(shù),用戶(hù)可以根據(jù)業(yè)務(wù)的實(shí)際情況進(jìn)行一個(gè)調(diào)整����,然后中間是一個(gè)反向驗(yàn)證�,這個(gè)是高低模式����,比較常用的模式。當(dāng)CC攻擊發(fā)生之后�,會(huì)有一個(gè)攻擊溯源����,即攻擊發(fā)起包括攻擊的頁(yè)面����,給使用者修復(fù)漏洞一個(gè)依據(jù)。
知道創(chuàng)宇魏雅楠:軍工級(jí)的高防�,首要資源是關(guān)鍵���,能否跟蹤并追查溯源�?
魏雅楠認(rèn)為�,對(duì)于CC和DDos攻擊的首要資源很重要,從攻防角度上也要進(jìn)行實(shí)時(shí)的跟蹤���,在日后追查溯源的時(shí)候能不能找到這個(gè)作惡者,魏雅楠認(rèn)為高防就像軍工����,大型的行業(yè)���,單純的打抗D只是終止業(yè)務(wù)終端���,如果敲詐的話(huà)�,溯源就會(huì)起到作用�,在抗擊日志里查查還是非常重要的。
溯源����,魏雅楠認(rèn)為現(xiàn)在業(yè)內(nèi)沒(méi)有哪家產(chǎn)品就是可以在很快速的在分鐘級(jí)或者分鐘級(jí)別內(nèi)把源頭抓到�。她覺(jué)得����,安全工程師安全工作經(jīng)驗(yàn)是其中非常重要的一點(diǎn),他們之前有過(guò)一個(gè)客戶(hù)是因?yàn)楸还袅?��,也是攻擊者有馬甲作案,但他們的安全工程師非常有經(jīng)驗(yàn)���,通過(guò)各個(gè)方面探查這個(gè)問(wèn)題到底出在哪里,最后一步一步的找到了惡意攻擊者,這樣整個(gè)分析過(guò)程下來(lái)也是在小時(shí)級(jí)別的����,同樣她相信�,隨著未來(lái)的科學(xué)技術(shù)發(fā)展���,是可以達(dá)到相同的目的和效果的����。
最后,對(duì)于未來(lái)安防領(lǐng)域的發(fā)展和知道創(chuàng)宇所做的貢獻(xiàn)�,魏雅楠談到����,當(dāng)前許多企業(yè)都已經(jīng)開(kāi)始意識(shí)到各類(lèi)網(wǎng)絡(luò)攻擊對(duì)企業(yè)的危害����,但一直苦于無(wú)法解決,企業(yè)的安全問(wèn)題已經(jīng)成了企業(yè)運(yùn)作的一大痛點(diǎn)�。而其中最嚴(yán)重的要數(shù)信息泄露�、入侵被黑����、流量劫持���、黑色暗鏈四大安全問(wèn)題�。針對(duì)這些問(wèn)題,企業(yè)應(yīng)當(dāng)如何解決呢�?”魏雅楠分析到:“保護(hù)企業(yè)網(wǎng)站業(yè)務(wù)安全運(yùn)行生命周期可以通過(guò)KSA滲透測(cè)試從保護(hù)����、檢測(cè)����、修復(fù)三方面形成閉環(huán),從業(yè)務(wù)系統(tǒng)滲透挖掘高級(jí)威脅防御�,從而進(jìn)行積極防御���,最后針對(duì)企業(yè)提出安全管理建議���。”
微信掃一掃
