關(guān)于DDoS流派
DDoS屬于資源消耗型的攻擊,要么是消耗帶寬資源,要么是消耗計(jì)算資源,如果是某黑客利用漏洞入侵了系統(tǒng),把服務(wù)器ShutDown了,這不該是抗D探討范疇,這需要安全的另一個(gè)分支IPS去搞。
作為一枚圣斗士粉,小黑羊用下面兩張動(dòng)圖來(lái)給DDoS分類,非常形象,不了解圣斗士的85后小朋友請(qǐng)自行百度>>
來(lái)自星矢的天馬流星拳,代表流量型的DDoS攻擊。
星矢把小宇宙發(fā)揮到極限,不斷提高出拳速度和力量,讓對(duì)手應(yīng)接不暇,最終被打倒。
流量型DDoS屬于用牛蠻之力消耗網(wǎng)絡(luò)帶寬或使用大量數(shù)據(jù)包淹沒(méi)一個(gè)或多個(gè)路由器、服務(wù)器。
不過(guò)最近涌現(xiàn)的流量型DDoS不止會(huì)用蠻力,比如DNS、NTP反射攻擊,可以將流量放大數(shù)百倍,達(dá)到四兩撥千斤的攻擊效果。
來(lái)自米羅的猩紅毒針,代表應(yīng)用層DDoS攻擊。
天蝎座黃金戰(zhàn)士米羅利用對(duì)手缺陷,直接打擊要害部位,如點(diǎn)穴一般,令對(duì)手失去戰(zhàn)斗能力。
應(yīng)用型DDoS走的是巧勁,利用TCP和HTTP等協(xié)議定義的行為來(lái)不斷占用計(jì)算資源以阻止它們處理正常事務(wù)和請(qǐng)求,典型的如CC攻擊。
關(guān)于DDoS的本質(zhì)
DDoS本質(zhì)上講是在“局部”造成壓倒性的資源消耗。
這個(gè)局部,可能是一臺(tái)服務(wù)器、一個(gè)數(shù)據(jù)中心出口甚至是一個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò),而攻擊者在某一時(shí)段、某一情境下,依靠“提升小宇宙”,集眾成群,積小成大,對(duì)這個(gè)“局部”形成了壓倒性的資源優(yōu)勢(shì),于是,攻擊就發(fā)生了。
局部以多打少
在“局部”造成壓倒優(yōu)勢(shì),拼的不是總體兵力,而是兵力調(diào)度和整合能力,“局部”可以大到運(yùn)營(yíng)商骨干網(wǎng),比如著名的暴風(fēng)影音519事件,就曾經(jīng)DDoS了大半個(gè)中國(guó)的電信網(wǎng)絡(luò)。
當(dāng)前DDoS攻擊態(tài)勢(shì)什么樣?
世界上沒(méi)有無(wú)緣無(wú)故的愛(ài),也沒(méi)有無(wú)緣無(wú)故的恨,DDoS不是無(wú)根之水,任何一次DDoS,幾乎都與經(jīng)濟(jì)利益和政治利益相聯(lián)系的。
如果你受到了攻擊,首先要想想,你動(dòng)了誰(shuí)的奶酪。
我們看看流量都來(lái)自何方>>
上圖來(lái)自中國(guó)電信云堤對(duì)DDoS的監(jiān)測(cè)統(tǒng)計(jì),可以讀出一些內(nèi)涵。
凡是發(fā)起攻擊的人都不希望被抓到,所以,他們最初的攻擊都是用虛假地址。
假I(mǎi)P如同假身份證
但中國(guó)電信全網(wǎng)在12年已經(jīng)啟用了虛假地址檢測(cè)技術(shù)(基于uRPF LOOSE模式外加ACL,虛假I(mǎi)P地址占比低于2‰),壞人當(dāng)然不愿意采用真實(shí)地址攻擊,也不愿意暴露自己肉雞的蹤跡,所以,在13年的餅圖里,來(lái)自互聯(lián)互通的攻擊流量占比增高。
而互聯(lián)互通的流量主要來(lái)自中國(guó)聯(lián)通,到了2014年,聯(lián)通也啟用了虛假地址檢測(cè),所以,壞人只能到國(guó)外發(fā)展肉雞,來(lái)自聯(lián)通的攻擊流量銳減,而國(guó)際攻擊流量暴漲到四成。
今年的數(shù)據(jù),國(guó)際攻擊流量仍然維持在四成左右,“敵對(duì)勢(shì)力”忘我之心不死啊。
再看看DDoS攻擊的流量增長(zhǎng)趨勢(shì)>>
點(diǎn)擊查看大圖
上圖仍然是來(lái)自云堤的監(jiān)測(cè)數(shù)據(jù),從13年1月到15年9月,攻擊流量的整體增長(zhǎng)趨勢(shì)非常明顯,其中7月份單月攻擊流量總和接近35000TBytes,這個(gè)趨勢(shì)與CERT的統(tǒng)計(jì)是一致的。
最后看DDoS攻擊的行為趨勢(shì)>>
點(diǎn)擊可查看大圖
這是從去年7月到今年6月兩個(gè)半年區(qū)間的攻擊峰值占比對(duì)比,可以看到一個(gè)明顯的變化,那就是高流量的攻擊在增長(zhǎng),尤其是峰值流量大于100Gbps的攻擊,今年上半年是去年的三倍還多!其中大于200Gbps的攻擊平均每天有2.8次!
點(diǎn)擊可查看大圖
在DDoS的攻擊類型上,趨向于多元化混合攻擊,攻擊時(shí)長(zhǎng)又增加的趨勢(shì),有6%的攻擊持續(xù)超過(guò)6小時(shí)。
云堤抗D方案什么樣?
先講三個(gè)核心觀點(diǎn)>>
第一個(gè)觀點(diǎn):抗D服務(wù)是一種緩解方案,而不是一種治愈方案,它可以緩解DDoS對(duì)業(yè)務(wù)的影響,而不是徹底根除DDoS攻擊,Mitigation not Clean。
第二個(gè)觀點(diǎn):沒(méi)有哪一種抗D服務(wù)是包打全能的,需要根據(jù)實(shí)際情況靈活應(yīng)對(duì),必要時(shí)采取多種組合,任何宣稱完美抗D解決方案的都是耍流氓。
第三個(gè)觀點(diǎn):即便所有組合方案全上,抗D服務(wù)也不可能完全實(shí)現(xiàn)自動(dòng)化,有必要的人工干預(yù)、定制策略才能更好實(shí)現(xiàn)抗D效果,尤其是混合型攻擊、應(yīng)用層攻擊。
一句話,三觀不可不清!
在上期《十全大補(bǔ)帖》 里,小黑羊已經(jīng)介紹了各大抗D服務(wù)陣營(yíng),這次重點(diǎn)聊聊電信云堤。
運(yùn)營(yíng)商作為管道側(cè)的特殊角色,形成了抗D服務(wù)的差異化。
我們把抗D服務(wù)分為三個(gè)過(guò)程:監(jiān)測(cè)、防護(hù)和溯源。
①監(jiān)測(cè):
監(jiān)測(cè)是防護(hù)的前提,云堤的對(duì)DDoS的監(jiān)測(cè)基于中國(guó)電信IP承載網(wǎng)里的上千臺(tái)骨干路由器,利用NetFlow技術(shù),可以使用NetFlow包含的所有字段組合,但最常用的還是五原組。
主要根據(jù)pps/bps設(shè)定的閾值進(jìn)行DDoS流量的監(jiān)測(cè),你會(huì)不會(huì)覺(jué)得僅僅基于這點(diǎn)兒閾值策略來(lái)監(jiān)測(cè)過(guò)于簡(jiǎn)單粗暴了?
其實(shí)在大規(guī)模網(wǎng)絡(luò)中這是最有效最合理的手段,任何看上去完美周詳?shù)姆桨阜炊诖缶W(wǎng)中不具備可操作性。
由于NetFlow本身的響應(yīng)局限,這種DDoS檢測(cè)技術(shù)是分鐘級(jí)的,當(dāng)然如果在目的段增加監(jiān)測(cè)設(shè)備,對(duì)特服客戶實(shí)現(xiàn)定制化的秒級(jí)監(jiān)測(cè)也是可能的。
基于上述手段,云堤可以對(duì)全網(wǎng)范圍的DDoS攻擊情況進(jìn)行準(zhǔn)確測(cè)度,這對(duì)研究攻擊趨勢(shì)、制定防范策略非常重要,上面引用的圖表趨勢(shì)都來(lái)自云堤的監(jiān)測(cè)數(shù)據(jù)。
②防護(hù):
云堤的防護(hù)手段有兩種,壓制和清洗。
壓制就是封堵攻擊源,或者對(duì)來(lái)自攻擊源的流量進(jìn)行限速處理,基于路由黑洞(RTBH)、FLow-Spec和QoS來(lái)實(shí)現(xiàn),壓制策略基于BGP路由動(dòng)態(tài)下發(fā),7秒鐘就可以完成策略更新。
由于自身網(wǎng)絡(luò)特點(diǎn),云堤能夠?qū)崿F(xiàn)近源壓制,壓制是抗D的一種非常有效的手段,但缺點(diǎn)是會(huì)對(duì)來(lái)自被壓制方向上的訪問(wèn)進(jìn)行無(wú)差別處理,正常的訪問(wèn)請(qǐng)求也會(huì)受到影響。
近源的優(yōu)勢(shì)是可以就近封堵,把攻擊流量限制在最起點(diǎn),如果攻擊流量打到了家門(mén)口,那就什么都來(lái)不及啦。
三種壓制手段和三個(gè)壓制方向
清洗就是將攻擊流量識(shí)別并剔除,將正常流再回注到目的站點(diǎn),同樣,云堤也是基于網(wǎng)絡(luò)的近源清洗。流量基于BGP實(shí)現(xiàn)秒級(jí)牽引,比DNS牽引的響應(yīng)速度更快,全網(wǎng)26個(gè)清洗節(jié)點(diǎn)200余臺(tái)骨干路由器參與,利用BGP AnyCast路由可以指哪牽哪。
牽引--清洗--回注的流程不再贅述了,云堤的牽引帶寬是獨(dú)享的,不會(huì)占用業(yè)務(wù)帶寬,而且可以ChinaNet牽引,CN2回注,最大限度保障業(yè)務(wù)帶寬獨(dú)立性,也可以避免傳統(tǒng)GRE回送帶來(lái)的MTU錯(cuò)誤問(wèn)題。
③溯源:
溯源也是抗D服務(wù)不可或缺的一部分,相信每個(gè)被“D”到的同學(xué)都想知道到底是誰(shuí)在搞我呀,不能被搞得不明不白忍氣吞聲呀,我一定要給丫點(diǎn)Color See See。
云堤的溯源功能基于NetFlow的Input Index和全網(wǎng)拓?fù)浣Y(jié)構(gòu)信息來(lái)完成:即,我知道攻擊流量是從路由器的哪個(gè)接口打進(jìn)來(lái)的,同時(shí)我又知道路由器位于網(wǎng)絡(luò)的那個(gè)位置,按圖索驥就可以了,不管你源地址是不是偽造的,全部無(wú)視,直接從設(shè)備層面抓到壞人。
而常規(guī)的溯源手段基于GEO IP地址庫(kù),如果攻擊者用了偽造地址,那就很難追查了(除了360,因?yàn)槿思矣斜椴即罅縋C端的安全衛(wèi)士,也可以精準(zhǔn)溯源)。
當(dāng)然云堤的溯源僅限于電信全網(wǎng),對(duì)于跨網(wǎng)的攻擊只能追溯的邊界路由器,剩下的就是對(duì)端運(yùn)營(yíng)商的事情了。
抗D方案究竟哪家強(qiáng)?
孰強(qiáng)孰弱有定論嗎?沒(méi)有。
其實(shí)在上面的“三觀”已經(jīng)說(shuō)明了一些問(wèn)題,抗D沒(méi)有一招鮮!
云堤的優(yōu)勢(shì)
電信云堤在抗D的三個(gè)層面(監(jiān)測(cè)、防御、溯源)是具有客觀優(yōu)勢(shì)的,這種優(yōu)勢(shì)不是因?yàn)殡娦诺陌踩邪l(fā)和技術(shù)有多么牛X,而是運(yùn)營(yíng)商的網(wǎng)絡(luò)角色使然。
像我們之前提到的互聯(lián)網(wǎng)系、CDN系、設(shè)備商系都不可能擁有運(yùn)營(yíng)商的網(wǎng)絡(luò)資源,沒(méi)條件去做近源型的抗D服務(wù),而對(duì)于流量型攻擊和源站IP型攻擊,近源抗D無(wú)疑是最有效的。
云堤的局限
1、成也網(wǎng)絡(luò),敗也網(wǎng)絡(luò)。如果在跨網(wǎng)的環(huán)境下(其他運(yùn)營(yíng)商客戶),監(jiān)測(cè)、防御和溯源都會(huì)大打折扣,比如用戶在其他運(yùn)營(yíng)商的地址被攻擊,云堤就無(wú)能為力了。所以我們倒是希望中國(guó)乃至全球的運(yùn)營(yíng)商聯(lián)合起來(lái),共同筑堤抗D。
2、對(duì)于脈沖型DDoS攻擊,近源方式也是無(wú)解的,因?yàn)榻捶绞揭蕾嘊GP路由更新(當(dāng)然,白名單不算,這是萬(wàn)不得已的方法)。近目的防御對(duì)付脈沖型攻擊比較有效。但就當(dāng)前的網(wǎng)絡(luò)環(huán)境,想要發(fā)動(dòng)脈沖型攻擊也絕非易事。
3、云堤的市場(chǎng)化程度較低,尚無(wú)成熟的價(jià)格體系,銷(xiāo)售模式也主要依賴電信政企客戶部門(mén)。與目前已經(jīng)SaaS化的互聯(lián)網(wǎng)系、CDN系相比,差距很大,只適合于大B定制化服務(wù),對(duì)C類或者小B客戶,門(mén)檻較高。
更新一下以前對(duì)比表
既然抗D沒(méi)有一招鮮,那么用戶在選擇抗D服務(wù)的時(shí)候,就需要根據(jù)情況綜合考慮,而對(duì)于各大陣營(yíng)來(lái)講,也應(yīng)該是競(jìng)合關(guān)系,而非你死我活的競(jìng)爭(zhēng)。
無(wú)論云服務(wù)商、CDN服務(wù)商還是抗D設(shè)備商,都可以利用一下運(yùn)營(yíng)商的網(wǎng)絡(luò)先天優(yōu)勢(shì),形成互補(bǔ):本地端、系統(tǒng)端、云端參與攻擊檢測(cè),然后通過(guò)云堤API接口,調(diào)用云堤的抗D功能,把運(yùn)營(yíng)商網(wǎng)絡(luò)的近源防御功能與自身抗D功能相結(jié)合,實(shí)現(xiàn)立體化防御。
聯(lián)合起來(lái)的抗D,才是最強(qiáng)抗D!