51CTO技術(shù)沙龍 | 賦予APP不同凡響的交互和體驗>>
劉紫千博士,CISSP,加州大學(xué)訪問學(xué)者,中國通信企業(yè)協(xié)會通信網(wǎng)絡(luò)安全專業(yè)委員會委員。現(xiàn)為中國電信網(wǎng)絡(luò)安全產(chǎn)品運營中心CEO兼首席架構(gòu)師,“云堤”團隊負(fù)責(zé)人。曾任中國電信ChinaNet網(wǎng)絡(luò)負(fù)責(zé)人、DNS系統(tǒng)負(fù)責(zé)人和集團SOC主任。
以下為訪談內(nèi)容:
51CTO:云堤作為運營商級DDoS安全防護產(chǎn)品,能承受多少GB的流量攻擊?
劉紫千:通常,業(yè)內(nèi)對"運營商級"的理解主要是在可靠性上,要有多少個9才能稱之為運營商級。具體到云堤上,之所以稱為運營商級產(chǎn)品,除了表明我們的服務(wù)連續(xù)性能力,更多的是因為云堤充分調(diào)用了中國電信的IP骨干網(wǎng)絡(luò),是一個運營商級網(wǎng)絡(luò)能力的產(chǎn)品。云堤擁有目前全球最大的攻擊流量吸納帶寬資源,而帶寬資源恰恰又是DDoS攻擊防護最需要的資源,同時也是防護服務(wù)中最大的防護成本項。具體到攻擊防護容量,與云堤的兩種防護方式有關(guān)的:可區(qū)分攻擊來向的近源流量壓制,以及近源流量清洗。 其中,流量壓制是依靠RTBH,F(xiàn)lowSpec,QoS策略等,用全網(wǎng)路由器的能力一齊在骨干網(wǎng)邊緣近源對抗攻擊流量,這種方式能夠承受的攻擊流量理論上就是骨干網(wǎng)的帶寬容量,商業(yè)化通俗一點,叫做攻擊流量的處理無上限(電信骨干網(wǎng)帶寬儲備是目前已知的最大攻擊峰值的近千倍);而云堤的近源清洗是利用分布式部署在骨干網(wǎng)的26個清洗中心,通過BGP anycast將攻擊流量在進入電信網(wǎng)絡(luò)后就近牽引到多個清洗中心進行處理,總清洗容量和清洗中心獨享帶寬都超過1000G,這個清洗容量在業(yè)內(nèi)也是最大的。
51CTO:為什么許多銀行機構(gòu),比如中國銀行、招商銀行、中國農(nóng)業(yè)銀行等都采用了云堤的服務(wù)?相比市面同類產(chǎn)品有哪些優(yōu)勢或者不同?
劉紫千:從2013年開始,金融行業(yè),特別是國有銀行和各大商業(yè)銀行,確實比過去面臨越來越多的DDoS攻擊威脅,比如比特幣勒索,金融競爭和沖突或者純報復(fù)行為。與其他產(chǎn)品相比,云堤的優(yōu)勢主要體現(xiàn)在產(chǎn)品本身的性質(zhì)和能力兩方面。從產(chǎn)品的性質(zhì)來講,云堤來自國內(nèi)最大的最基礎(chǔ)電信運營商-中國電信,由于幾乎所有企業(yè)都使用了電信的專線接入互聯(lián)網(wǎng),企業(yè)的流量天然承載在我們的網(wǎng)絡(luò)上,所以在專線上疊加電信的安全服務(wù)是非常自然的一個選擇,產(chǎn)品的企業(yè)性質(zhì)和嚴(yán)格受政府監(jiān)管的中立立場使得云堤較其他服務(wù)商的產(chǎn)品更容易讓客戶放心;當(dāng)然,真正讓客戶選擇并愿意繼續(xù)使用云堤服務(wù)的,還是產(chǎn)品自身出色的能力,抗D服務(wù)要解決三個核心問題,通俗講就是看得見、防得住、說得清,依次對應(yīng)攻擊檢測、攻擊防護和分析溯源,這三個問題構(gòu)成了攻擊防護的閉環(huán),缺一不可,云堤在每一項上都有自己獨到的優(yōu)勢:
(1)攻擊檢測利用覆蓋電信全網(wǎng)核心路由器的NetFlow數(shù)據(jù)進行攻擊監(jiān)測,其優(yōu)勢是可以對經(jīng)過中國電信大網(wǎng)的訪問任意互聯(lián)網(wǎng)目標(biāo)地址的進行在線實時流量監(jiān)控,在大流量攻擊發(fā)生時,有別于傳統(tǒng)攻擊檢測方式只能在近攻擊目的端的網(wǎng)絡(luò)或主機上計算攻擊流量和訪問量因而無法避免出現(xiàn)因為流量擁塞或丟包帶來的記數(shù)嚴(yán)重偏小問題,云堤可以在全網(wǎng)所有鏈路上對去往目標(biāo)IP所的實際攻擊流量進行全面評估,因此對大型DDoS攻擊的流量規(guī)模測度最為準(zhǔn)確。大型金融企業(yè)網(wǎng)點覆蓋較廣,海內(nèi)外都有接入點,云堤的監(jiān)控能力是覆蓋國內(nèi)和國外的,和云堤進行一點對接,解決了其全國甚至海外節(jié)點的監(jiān)控;此外,金融客戶特別需要知道自己所面臨的風(fēng)險威脅的規(guī)模,據(jù)此作出可能損失的評估以及能力采購的依據(jù),因此,完整的攻擊測度也是非常必要的。
(2)攻擊防護包含流量壓制和流量清洗兩種主要功能,其突出優(yōu)勢是"近源防護"的概念,云堤監(jiān)控分析電信全網(wǎng)的路由器的NetFlow數(shù)據(jù),能夠準(zhǔn)確的辨別一個攻擊的主要區(qū)域來向,例如是從境外發(fā)起還是從國內(nèi)其他運營商發(fā)起,可以定位發(fā)起點是哪一家運營商、哪一個城市甚至是IDC機房,從而調(diào)度IP承載網(wǎng)路由器和分布式部署的流量清洗設(shè)備將攻擊流量在"最靠近攻擊發(fā)起源"的網(wǎng)絡(luò)節(jié)點上對攻擊流量的進行清除,因此其攻擊防護能力理論上無限大。云堤的近源流量壓制利用了很多BGP 核心功能如Anycast/虛擬下一跳/FlowSpec進行控制信令的全網(wǎng)散步,利用IP網(wǎng)核心路由器將攻擊流量進行可區(qū)分方向的丟棄、限速和其他QoS動作;近源清洗則是利用對攻擊源進行實時分析后,啟動最靠近攻擊源的分布式部署在電信IP網(wǎng)核心節(jié)點的清洗中心,將攻擊流量牽引至清洗中心進行惡意流量的處置,再將正常的業(yè)務(wù)流量通過隔離的回送通道送達(dá)目標(biāo)網(wǎng)站;云堤的清洗節(jié)點帶寬是固化獨享的,不存在攻擊引流時與其他業(yè)務(wù)流量共享清洗帶寬的情況,極大降低了因為攻擊流量引發(fā)帶寬擁塞的業(yè)務(wù)受損可能性,同時云堤利用BGP實現(xiàn)了對攻擊流量牽引導(dǎo)流的秒級全網(wǎng)生效,而對比傳統(tǒng)的通過修改DNS NS權(quán)威解析導(dǎo)流的方式,往往十幾分鐘才能生效,而且受制于用戶本地遞歸中的TTL最小值限制,無法保障網(wǎng)內(nèi)攻擊流量的完全引導(dǎo);清洗設(shè)備采用運營商級大容量高性能清洗設(shè)備為主,有很強的小包處理和轉(zhuǎn)發(fā)性能,對Web安全的支持也越來越豐富,同時接受用戶對清洗防護策略模板的深度定制。
(3)分析溯源主要解決對攻擊來源的準(zhǔn)確定位。我們知道,攻擊者利用僵尸主機發(fā)起攻擊時時常會使用虛假源IP地址,以達(dá)到混淆身份,藏匿歸屬的目的。云堤通過將每一個監(jiān)測到的攻擊進行實時的NetFlow分析,找出攻擊發(fā)起點接入網(wǎng)絡(luò)設(shè)備的物理電路接口,通過該接口就能準(zhǔn)確定位攻擊源,不需要進行任何關(guān)于IP源地址的歸屬推測。由于云堤了解骨干運營商的所有網(wǎng)絡(luò)資源位置,而不依賴于IP地址歸屬映射(互聯(lián)網(wǎng)公司常用)和源端是否存在有效探針(安全公司的做法),這使云堤在攻擊溯源定位能力的領(lǐng)先優(yōu)勢難以撼動。與一般企業(yè)不同,金融機構(gòu)在遭受攻擊后,大都會訴諸法律。只要有立案依據(jù),云堤會配合司法機關(guān)提供關(guān)鍵的攻擊trace和數(shù)據(jù)。數(shù)據(jù)的公信力以及準(zhǔn)確程度往往成為能否舉證關(guān)鍵,無論從數(shù)據(jù)質(zhì)量和數(shù)據(jù)性質(zhì)來說,云堤的優(yōu)勢也十分明顯。
小結(jié)一下幾個關(guān)鍵詞:全網(wǎng)覆蓋(含電信海外網(wǎng)絡(luò));對大攻擊流量的全面客觀測度;近源防護;可區(qū)分攻擊來向的流量壓制,防護能力上不封頂;;全網(wǎng)1T的清洗容量;基于BGP anycast技術(shù)的近源攻擊流量牽引,秒級防護生效;覆蓋全網(wǎng)的準(zhǔn)確攻擊溯源;用戶0操作,0設(shè)備部署。
云堤其實除了DDoS攻擊防護之外,還在陸續(xù)上線DNS安全功能,例如我們最近正在小范圍客戶開展DNS域名的全網(wǎng)快速修正以及反釣魚欺詐網(wǎng)站的處置,都對金融客戶在面臨關(guān)進域名解析錯誤或者欺詐網(wǎng)站造成的用戶利益受損這兩大痛點上有非常實質(zhì)幫助,為金融客戶提供更全面的安全保障。
金融客戶對服務(wù)的體驗也很看重,所以除了上述特點外,云堤也格外重視服務(wù)的易用性和便捷性,注重安全服務(wù)的可視化。云堤除了提供傳統(tǒng)運營商的最擅長的"電話申告+工單跟進"外,還提供非常豐富的自服務(wù)web portal, 以及API的高度自動對接調(diào)用。通過Web Portal,客戶除了可以看到攻擊告警、進行自主防護、分析攻擊特點外,還能通過它來監(jiān)控自己的電信專線電路流量,所以它幾乎就是客戶的一個輕量級的網(wǎng)管;另外,云堤是國內(nèi)最早實現(xiàn)通過微信客戶端提供DDoS和DNS防護服務(wù)界面的產(chǎn)品,客戶的運維或者安全人員通過自己的微信就能實時掌握告警、下發(fā)處置動作和進行分析展現(xiàn)的,這種用戶體驗也是前所未有的便捷,很受客戶歡迎。
51CTO:有沒有一些相關(guān)案例介紹?
劉紫千:具體案例這塊,因為涉及到服務(wù)客戶的隱私及意愿問題,所以我們還是先保持神秘吧。
具體案例可以用藝龍,因為他們的CTO自己對外發(fā)布了微博,我們只是引用:
http://card.weibo.com/article/h5/s#cid=1001603847816140218611&vid=&extparam=&from=&wm=0
云堤全程參與了2015年93閱兵和烏鎮(zhèn)世界互聯(lián)網(wǎng)大會的最高規(guī)格的互聯(lián)網(wǎng)保障,對近200家重要站點提供了攻擊防護服務(wù),在多次對抗實戰(zhàn)中捍衛(wèi)了國家榮譽。
目前,云堤擁有近千家大客戶,涵蓋了金融證券、政府、互聯(lián)網(wǎng)公司、能源制造等全行業(yè)企業(yè),有很好的用戶口碑。
51CTO:近期谷歌推出Project Shield,可為小規(guī)模網(wǎng)站抵擋DDoS 攻擊,對此您怎么看?
劉紫千: 我自己沒有試用過這個服務(wù),所以不能妄加評判。但從Google的官方信息分析,感覺這個服務(wù)類似一個基于CDN的防護方案,將受防護的網(wǎng)站轉(zhuǎn)移到Google的CDN上,例如防護網(wǎng)站的域名通過CNAME指向谷歌的CDN域名,然后散列到全球的服務(wù)IP上。其實在國內(nèi)外,已經(jīng)有很多類似的產(chǎn)品服務(wù)了。但此類CDN方案有兩個關(guān)鍵問題,一是客戶是否接受自己網(wǎng)站的訪問流量要經(jīng)過或者終結(jié)在一個第三方CDN服務(wù)器上,對自己數(shù)據(jù)私密性格外看重的客戶可能很難采用這種方案,比如銀行客戶;第二個問題如果攻擊是追著源站IP打的,或者頻繁cc攻擊網(wǎng)站的動態(tài)內(nèi)容必須回源,那么CDN的方案應(yīng)對這類攻擊的還是會遇到不少問題。
51CTO:對于中小企業(yè)經(jīng)常遇到的域名劫持、釣魚攻擊等問題,您有什么建議?
劉紫千:域名劫持本身特指DNS解析記錄被有意修改,后來可能被泛化,包含了一些Http劫持等等。但造成這個問題的原因其實很復(fù)雜,從業(yè)務(wù)流的角度梳理,可能出問題的點非常多,比如終端側(cè)的軟件行為、網(wǎng)絡(luò)側(cè)的協(xié)議行為、還可能是用戶自己的權(quán)威域名服務(wù)器管理不慎造成。如果聚焦網(wǎng)絡(luò)側(cè),這種劫持可能出現(xiàn)在邊緣的接入服務(wù)提供商、二級SP、WIFI服務(wù)提供者等各種組織,因為這些組織都具備控制"劫持點"的網(wǎng)絡(luò)位置條件。如我在前面問題中提到的,云堤在16年初已經(jīng)上線內(nèi)測新的專門針對DNS域名劫持 修復(fù)和反釣魚等功能,幫助企業(yè)客戶盡最大可能解決這些問題,我們能確保在中國電信官方授權(quán)的DNS服務(wù)節(jié)點上,以及中國電信能夠直接控制的核心網(wǎng)絡(luò)內(nèi),客戶的域名解析是正常的,如果有問題,我們能第一時間監(jiān)測到并通知客戶,得到授權(quán)后我們會迅速修復(fù)被污染的域名解析記錄。而且我們也愿意配合云堤客戶去打擊這些網(wǎng)絡(luò)亂象和不正當(dāng)競爭。
對釣魚網(wǎng)站而言,傳統(tǒng)的應(yīng)對措施是是處置難度大,處理時間長,無法保證在一個大范圍網(wǎng)快速屏蔽內(nèi)各種終端各種瀏覽器對釣魚網(wǎng)站的訪問,云堤正在內(nèi)測相關(guān)的反釣魚產(chǎn)品,希望能給客戶帶來驚喜。
在沒有更有效的產(chǎn)品和服務(wù)出來之前,企業(yè)可以通過向有關(guān)部門或者社會團體比如反釣魚聯(lián)盟進行申訴,請其協(xié)助處理。我們也看到越來越多的企業(yè)加入到類似的聯(lián)盟組織,共同凈化網(wǎng)絡(luò)環(huán)境,這也是非常積極的一個舉措。
51CTO:最后,您認(rèn)為,運營商在互聯(lián)網(wǎng)安全生態(tài)領(lǐng)域中扮演著什么樣的角色?
劉紫千:坦率的說,我個人認(rèn)為,大型基礎(chǔ)運營商受制于傳統(tǒng)體制的約束,以及自身的技術(shù)發(fā)展歷程,暫還不具備所謂"打造"完整互聯(lián)網(wǎng)安全生態(tài)的條件。但是,立足于網(wǎng)絡(luò)本身,作為互聯(lián)網(wǎng)"連接關(guān)系"的基礎(chǔ)承載者,我們確實是最為關(guān)鍵的基石和紐帶。從企業(yè)性質(zhì)來說,我們肩負(fù)著巨大的社會責(zé)任,是國家和政府基礎(chǔ)信息設(shè)施安全的捍衛(wèi)者;從服務(wù)受眾來說,我們服務(wù)于億萬網(wǎng)民和千百萬家企業(yè)客戶,也有責(zé)任讓所有人充分享受互聯(lián)網(wǎng)的便捷和安全。如果要畫一張層次圖,運營商應(yīng)該在中間層,向上對接國家政府的監(jiān)管要求,向下服務(wù)于網(wǎng)民和各類企業(yè),在同一層還有各類設(shè)備制造商和合作伙伴的能力供給。中國電信正在積極的進行轉(zhuǎn)型,正在用我們的優(yōu)質(zhì)資源,在我們長期積累的技術(shù)領(lǐng)域,打造并運營具有獨特能力的互聯(lián)網(wǎng)安全產(chǎn)品,并以此為契機,保持一個互聯(lián)網(wǎng)安全領(lǐng)域后入者的心態(tài)不斷學(xué)習(xí)成長,成為客戶不可或缺的出色的安全服務(wù)提供者。
京公網(wǎng)安備 11010502049343號