說起DDoS的攻擊與防御,這絕對(duì)是一個(gè)老生常談的話題。自上世紀(jì)90年代“問世”以來,DDoS攻擊就不斷挑戰(zhàn),并突破著企業(yè)的安全防線。特別是在近兩年,大規(guī)模DDoS攻擊愈演愈烈,從2013年突破300G,到2014年突破400G,“不良記錄”不斷被刷新著。而面對(duì)著大規(guī)模的DDoS攻擊,單一企業(yè)的防御系統(tǒng)幾乎沒有任何辦法,只能眼睜睜的看著業(yè)務(wù)被中斷、品牌受影響、用戶在流失...。還好,隨著云時(shí)代的到來,云清洗成為了應(yīng)對(duì)大規(guī)模DDoS攻擊的最有效方法之一,而這也成為了各大運(yùn)營商的創(chuàng)新運(yùn)營模式——幫助大中型企業(yè)用戶提供抵御DDoS攻擊服務(wù)(即云清洗服務(wù)),保證企業(yè)業(yè)務(wù)穩(wěn)定、不中斷!
近日,在2014華為云計(jì)算大會(huì)上,華為與上海聯(lián)通(安全運(yùn)營部門)就聯(lián)合發(fā)布了創(chuàng)新的DDoS云清洗服務(wù)產(chǎn)品,其采用華為基于SDN技術(shù)的Anti-DDoS云清洗方案,并利用大數(shù)據(jù)分析技術(shù)從60多種維度對(duì)全網(wǎng)絡(luò)流量進(jìn)行精細(xì)化分析,可實(shí)現(xiàn)針對(duì)異常流量的秒級(jí)(2秒內(nèi))響應(yīng),做到從源頭上防御DDoS攻擊,從而保證企業(yè)業(yè)務(wù)的永久在線!
魅力:SDN+大數(shù)據(jù)技術(shù)的創(chuàng)新應(yīng)用
SDN+大數(shù)據(jù)技術(shù)的應(yīng)用無疑是此次華為與上海聯(lián)通聯(lián)合發(fā)布的DDoS云清洗服務(wù)產(chǎn)品的最大亮點(diǎn),而這也是促成雙方合作的關(guān)鍵因素之一。對(duì)此,上海聯(lián)通產(chǎn)品管理中心產(chǎn)品總監(jiān)魏尚俊談到:“為了給上海聯(lián)通47000多家企業(yè)用戶提供滿意的云清洗服務(wù),我們與全球多家云清洗解決方案提供商進(jìn)行了溝通,而通過對(duì)比我們發(fā)現(xiàn),華為的Anti-DDoS云清洗方案性能表現(xiàn)最好,效果最佳。具體來說,面對(duì)規(guī)模越來越大的DDoS攻擊(目前已達(dá)數(shù)百G),首先要考慮安全設(shè)備的基礎(chǔ)性能及應(yīng)對(duì)未來挑戰(zhàn)的擴(kuò)展能力,而華為的安全設(shè)備不僅性能出色,更可平滑升級(jí)到T級(jí),優(yōu)勢(shì)明顯;此外,特別值得一提的是,華為憑借大數(shù)據(jù)分析技術(shù),讓防護(hù)更加高效和精確;同時(shí)憑借SDN技術(shù),從源頭即可過濾攻擊流量,并實(shí)現(xiàn)了智能引流——即使面對(duì)大規(guī)模的DDoS攻擊時(shí),網(wǎng)絡(luò)依舊能夠保持暢通。”
說起大規(guī)模的DDoS攻擊,相信不少朋友會(huì)首先想起2013年3月歐洲遭遇的300G DDoS攻擊。面對(duì)史無前例的攻擊流量,依然采取了傳統(tǒng)的“引流回注”解決方案,即帶著300G的攻擊流量在整個(gè)歐洲網(wǎng)絡(luò)中穿行尋找清洗點(diǎn),最終導(dǎo)致了整個(gè)歐洲的運(yùn)營商網(wǎng)絡(luò)的擁塞。而如今隨著SDN理念和技術(shù)的逐步成熟,華為率先將SDN應(yīng)用于Anti-DDoS云清洗方案,利用SDN對(duì)網(wǎng)絡(luò)的可視化和靈活控制力,可快速發(fā)現(xiàn)攻擊流量的源頭,并實(shí)現(xiàn)快速阻斷;同時(shí)利用SDN的“敏捷”特性,還可實(shí)現(xiàn)智能引流清洗,對(duì)此,華為交換機(jī)與企業(yè)通信產(chǎn)品線安全產(chǎn)品領(lǐng)域總監(jiān)易建超詳細(xì)介紹到:“傳統(tǒng)引流僅是基于路由最短路徑而不顧引流路徑是否具備足夠的可容納攻擊流量的可用帶寬,這就會(huì)導(dǎo)致引流路徑涉及的鏈路出現(xiàn)擁塞,相當(dāng)于把DDoS的攻擊效果進(jìn)一步放大了;而基于SDN,引流路徑的計(jì)算不僅僅是考慮最短路徑,還將綜合考慮引流路徑的最大可用帶寬,清洗中心的最大可用帶寬,并以多路徑引流分散攻擊源頭的流量,使‘清洗’更高效,且保證了網(wǎng)絡(luò)的暢通。”
說完了SDN的創(chuàng)新應(yīng)用,再來說說大數(shù)據(jù)的創(chuàng)新應(yīng)用,其實(shí)在華為的Anti-DDoS云清洗方案之中,大數(shù)據(jù)技術(shù)的應(yīng)用不止一處。前文已經(jīng)提到,華為用大數(shù)據(jù)分析技術(shù)從60多種維度對(duì)全網(wǎng)絡(luò)流量進(jìn)行精細(xì)化分析,而這60多種緯度,其實(shí)就是華為基于全流量逐包方法建立的60多種流量模型。據(jù)華為交換機(jī)與企業(yè)通信產(chǎn)品線安全產(chǎn)品經(jīng)理?xiàng)罾蚪榻B,大數(shù)據(jù)技術(shù)就首先應(yīng)用于流量模型的學(xué)習(xí)過程之中,即應(yīng)用大數(shù)據(jù)技術(shù)自動(dòng)學(xué)習(xí)客戶網(wǎng)絡(luò)中的業(yè)務(wù)訪問流量而建立的模型,從而形成防護(hù)網(wǎng)絡(luò)流量模型的Baseline(基礎(chǔ));與此同時(shí),華為還會(huì)根據(jù)業(yè)界流行的DDoS攻擊打造異常流量模型,并利用這些流量模型實(shí)現(xiàn)更快(秒級(jí))、更精準(zhǔn)的DDoS攻擊檢測(cè)。而在DDoS防御方面,華為Anti-DDoS云清洗方案同樣運(yùn)用了大數(shù)據(jù)分析技術(shù),即在全球收集、共享僵尸網(wǎng)絡(luò)的IP信譽(yù)(僵尸網(wǎng)絡(luò)IP的收集過程和信譽(yù)評(píng)估過程本身就是一種大數(shù)據(jù)技術(shù)),并形成黑白名單,使得DDoS的防御更加高效!
而這一高效、精準(zhǔn)的DDoS防御解決方案,也在一次客戶的實(shí)際攻防演練中得到了驗(yàn)證,據(jù)魏尚俊介紹,在此次演練過程中,客戶故意在2G的流量中混合了2M的攻擊流量,而華為與上海聯(lián)通聯(lián)合發(fā)布的DDoS云清洗服務(wù)不僅實(shí)現(xiàn)了秒級(jí)快速響應(yīng),同時(shí)做到了精準(zhǔn)清洗,客戶為此信服不已!
與時(shí)俱進(jìn) 無懼新挑戰(zhàn)
如今,DDOS的攻擊可謂是千變?nèi)f化,特別是隨著移動(dòng)互聯(lián)網(wǎng)的興起,利用移動(dòng)網(wǎng)絡(luò)(智能移動(dòng)終端)發(fā)起攻擊已經(jīng)成為新的趨勢(shì)。而面對(duì)基于移動(dòng)網(wǎng)絡(luò)的DDoS攻擊,傳統(tǒng)的固網(wǎng)防御方法和經(jīng)驗(yàn)已不再適用。舉例來說,針對(duì)HTTP服務(wù)器的CC攻擊,傳統(tǒng)的防御方法是采用基于重定向的源認(rèn)證技術(shù),而將此技術(shù)應(yīng)用于移動(dòng)網(wǎng)絡(luò)就會(huì)出現(xiàn)問題,因?yàn)橐苿?dòng)終端的HTTP協(xié)議棧是縮減版,在遇到重定向時(shí)會(huì)出現(xiàn)無法識(shí)別的亂碼,即DDoS攻擊雖然阻斷了,但是業(yè)務(wù)也會(huì)被中斷。同樣的問題還出現(xiàn)在依靠動(dòng)態(tài)生成的黑名單阻斷建立TCP連接的攻擊源這一傳統(tǒng)固網(wǎng)DDoS防御解決方案身上,因?yàn)橐苿?dòng)終端的IP其實(shí)是移動(dòng)網(wǎng)關(guān)IP,如果阻斷了該IP,實(shí)際上整個(gè)網(wǎng)段都會(huì)被阻斷。
針對(duì)移動(dòng)互聯(lián)網(wǎng)帶來的新挑戰(zhàn),以及傳統(tǒng)固網(wǎng)解決方案失效的問題,華為采用了創(chuàng)新的動(dòng)態(tài)指紋學(xué)習(xí)技術(shù)、及攻擊特征靜態(tài)匹配過濾技術(shù)來應(yīng)對(duì)“新”DDoS攻擊。對(duì)此,楊莉詳細(xì)介紹到:“無論是采用動(dòng)態(tài)指紋還是靜態(tài)過濾技術(shù),華為DDoS防御系統(tǒng)的關(guān)注點(diǎn)都集中在會(huì)話上,并借助會(huì)話智能分析方式,利用智能終端(攻擊端)的TCP擁塞機(jī)制,讓攻擊端TCP/IP協(xié)議棧認(rèn)為是服務(wù)器側(cè)網(wǎng)絡(luò)出現(xiàn)擁塞,自動(dòng)放緩發(fā)包速度,甚至停止發(fā)包??梢哉f,這是針對(duì)來自移動(dòng)終端DDOS攻擊最強(qiáng)有力的防御方法。”
而進(jìn)入云時(shí)代,云計(jì)算不僅為我們的工作生活帶來便利,也為攻擊者提供了更加強(qiáng)大且更低成本的攻擊資源,相信不少朋友都聽說過亞馬遜云淪為“僵尸云”的事情。面對(duì)這種Outbound DDoS攻擊,數(shù)據(jù)中心如果采用傳統(tǒng)的DDoS防御技術(shù),源認(rèn)證引起的流量只會(huì)令數(shù)據(jù)中心內(nèi)部帶寬“雪上加霜”。因此,華為Anti-DDoS方案采用了包括僵尸網(wǎng)絡(luò)IP信譽(yù)、僵尸網(wǎng)絡(luò)通訊報(bào)文特征、以及C&C域名等僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)來識(shí)別、阻斷僵尸網(wǎng)絡(luò)控制報(bào)文。這樣,即使DC內(nèi)部服務(wù)器感染了僵尸網(wǎng)絡(luò),也會(huì)因?yàn)閬碜訡&C的控制報(bào)文被阻斷,而得不到命令,自然也就解除了數(shù)據(jù)中心內(nèi)部僵尸網(wǎng)絡(luò)向外發(fā)起異常流量攻擊的威脅。
針對(duì)不同行業(yè)提供差異化服務(wù)
DDoS云清洗服務(wù)是華為與上海聯(lián)通聯(lián)合發(fā)布的第一款產(chǎn)品,目前主要服務(wù)于上海聯(lián)通的所有企業(yè)用戶,及IDC、CDN等用戶群。而針對(duì)不同行業(yè)用戶的不同需求,上海聯(lián)通則提供了差異化的服務(wù)。魏尚俊表示:“各行業(yè)因業(yè)務(wù)差異,對(duì)DDOS防護(hù)的需求也不盡相同。例如校園網(wǎng)主要以遠(yuǎn)程教育、在線課堂、學(xué)術(shù)論壇等在線業(yè)務(wù)為主;機(jī)場(chǎng)主要以航班查詢、機(jī)票預(yù)訂等在線業(yè)務(wù)為主,它們的共同特點(diǎn)是容易遭受應(yīng)用型的CC攻擊。而網(wǎng)吧則以游戲?yàn)橹?,客戶注重高速網(wǎng)絡(luò)體驗(yàn),因此DDoS攻擊以消耗帶寬為主。我們將根據(jù)用戶的實(shí)際業(yè)務(wù)需求,提供差異化的服務(wù)。”
開展更加深入的合作
據(jù)了解,此次華為與上海聯(lián)通的合作,是上海聯(lián)通面向未來網(wǎng)絡(luò)打造安全增值服務(wù)的第一步,隨后雙方將開展更加深入的合作,包括企業(yè)安全咨詢、安全應(yīng)急響應(yīng)等等。而為了給上海聯(lián)通提供更好地解決方案,華為也將不斷提升硬件設(shè)備的處理能力,繼續(xù)加強(qiáng)SDN感知能力,并在攻擊源頭上實(shí)現(xiàn)動(dòng)態(tài)分布式的DDoS防御,旨在為聯(lián)通的企業(yè)客戶提供更加貼身和快速響應(yīng)的安全防護(hù)方案。