說起DDoS的攻擊與防御,這絕對是一個老生常談的話題。自上世紀90年代“問世”以來,DDoS攻擊就不斷挑戰,并突破著企業的安全防線。特別是在近兩年,大規模DDoS攻擊愈演愈烈,從2013年突破300G,到2014年突破400G,“不良記錄”不斷被刷新著。而面對著大規模的DDoS攻擊,單一企業的防御系統幾乎沒有任何辦法,只能眼睜睜的看著業務被中斷、品牌受影響、用戶在流失...。還好,隨著云時代的到來,云清洗成為了應對大規模DDoS攻擊的最有效方法之一,而這也成為了各大運營商的創新運營模式——幫助大中型企業用戶提供抵御DDoS攻擊服務(即云清洗服務),保證企業業務穩定、不中斷!
近日,在2014華為云計算大會上,華為與上海聯通(安全運營部門)就聯合發布了創新的DDoS云清洗服務產品,其采用華為基于SDN技術的Anti-DDoS云清洗方案,并利用大數據分析技術從60多種維度對全網絡流量進行精細化分析,可實現針對異常流量的秒級(2秒內)響應,做到從源頭上防御DDoS攻擊,從而保證企業業務的永久在線!
魅力:SDN+大數據技術的創新應用
SDN+大數據技術的應用無疑是此次華為與上海聯通聯合發布的DDoS云清洗服務產品的最大亮點,而這也是促成雙方合作的關鍵因素之一。對此,上海聯通產品管理中心產品總監魏尚俊談到:“為了給上海聯通47000多家企業用戶提供滿意的云清洗服務,我們與全球多家云清洗解決方案提供商進行了溝通,而通過對比我們發現,華為的Anti-DDoS云清洗方案性能表現最好,效果最佳。具體來說,面對規模越來越大的DDoS攻擊(目前已達數百G),首先要考慮安全設備的基礎性能及應對未來挑戰的擴展能力,而華為的安全設備不僅性能出色,更可平滑升級到T級,優勢明顯;此外,特別值得一提的是,華為憑借大數據分析技術,讓防護更加高效和精確;同時憑借SDN技術,從源頭即可過濾攻擊流量,并實現了智能引流——即使面對大規模的DDoS攻擊時,網絡依舊能夠保持暢通。”
說起大規模的DDoS攻擊,相信不少朋友會首先想起2013年3月歐洲遭遇的300G DDoS攻擊。面對史無前例的攻擊流量,依然采取了傳統的“引流回注”解決方案,即帶著300G的攻擊流量在整個歐洲網絡中穿行尋找清洗點,最終導致了整個歐洲的運營商網絡的擁塞。而如今隨著SDN理念和技術的逐步成熟,華為率先將SDN應用于Anti-DDoS云清洗方案,利用SDN對網絡的可視化和靈活控制力,可快速發現攻擊流量的源頭,并實現快速阻斷;同時利用SDN的“敏捷”特性,還可實現智能引流清洗,對此,華為交換機與企業通信產品線安全產品領域總監易建超詳細介紹到:“傳統引流僅是基于路由最短路徑而不顧引流路徑是否具備足夠的可容納攻擊流量的可用帶寬,這就會導致引流路徑涉及的鏈路出現擁塞,相當于把DDoS的攻擊效果進一步放大了;而基于SDN,引流路徑的計算不僅僅是考慮最短路徑,還將綜合考慮引流路徑的最大可用帶寬,清洗中心的最大可用帶寬,并以多路徑引流分散攻擊源頭的流量,使‘清洗’更高效,且保證了網絡的暢通。”
說完了SDN的創新應用,再來說說大數據的創新應用,其實在華為的Anti-DDoS云清洗方案之中,大數據技術的應用不止一處。前文已經提到,華為用大數據分析技術從60多種維度對全網絡流量進行精細化分析,而這60多種緯度,其實就是華為基于全流量逐包方法建立的60多種流量模型。據華為交換機與企業通信產品線安全產品經理楊莉介紹,大數據技術就首先應用于流量模型的學習過程之中,即應用大數據技術自動學習客戶網絡中的業務訪問流量而建立的模型,從而形成防護網絡流量模型的Baseline(基礎);與此同時,華為還會根據業界流行的DDoS攻擊打造異常流量模型,并利用這些流量模型實現更快(秒級)、更精準的DDoS攻擊檢測。而在DDoS防御方面,華為Anti-DDoS云清洗方案同樣運用了大數據分析技術,即在全球收集、共享僵尸網絡的IP信譽(僵尸網絡IP的收集過程和信譽評估過程本身就是一種大數據技術),并形成黑白名單,使得DDoS的防御更加高效!
而這一高效、精準的DDoS防御解決方案,也在一次客戶的實際攻防演練中得到了驗證,據魏尚俊介紹,在此次演練過程中,客戶故意在2G的流量中混合了2M的攻擊流量,而華為與上海聯通聯合發布的DDoS云清洗服務不僅實現了秒級快速響應,同時做到了精準清洗,客戶為此信服不已!
與時俱進 無懼新挑戰
如今,DDOS的攻擊可謂是千變萬化,特別是隨著移動互聯網的興起,利用移動網絡(智能移動終端)發起攻擊已經成為新的趨勢。而面對基于移動網絡的DDoS攻擊,傳統的固網防御方法和經驗已不再適用。舉例來說,針對HTTP服務器的CC攻擊,傳統的防御方法是采用基于重定向的源認證技術,而將此技術應用于移動網絡就會出現問題,因為移動終端的HTTP協議棧是縮減版,在遇到重定向時會出現無法識別的亂碼,即DDoS攻擊雖然阻斷了,但是業務也會被中斷。同樣的問題還出現在依靠動態生成的黑名單阻斷建立TCP連接的攻擊源這一傳統固網DDoS防御解決方案身上,因為移動終端的IP其實是移動網關IP,如果阻斷了該IP,實際上整個網段都會被阻斷。
針對移動互聯網帶來的新挑戰,以及傳統固網解決方案失效的問題,華為采用了創新的動態指紋學習技術、及攻擊特征靜態匹配過濾技術來應對“新”DDoS攻擊。對此,楊莉詳細介紹到:“無論是采用動態指紋還是靜態過濾技術,華為DDoS防御系統的關注點都集中在會話上,并借助會話智能分析方式,利用智能終端(攻擊端)的TCP擁塞機制,讓攻擊端TCP/IP協議棧認為是服務器側網絡出現擁塞,自動放緩發包速度,甚至停止發包。可以說,這是針對來自移動終端DDOS攻擊最強有力的防御方法。”
而進入云時代,云計算不僅為我們的工作生活帶來便利,也為攻擊者提供了更加強大且更低成本的攻擊資源,相信不少朋友都聽說過亞馬遜云淪為“僵尸云”的事情。面對這種Outbound DDoS攻擊,數據中心如果采用傳統的DDoS防御技術,源認證引起的流量只會令數據中心內部帶寬“雪上加霜”。因此,華為Anti-DDoS方案采用了包括僵尸網絡IP信譽、僵尸網絡通訊報文特征、以及C&C域名等僵尸網絡檢測技術來識別、阻斷僵尸網絡控制報文。這樣,即使DC內部服務器感染了僵尸網絡,也會因為來自C&C的控制報文被阻斷,而得不到命令,自然也就解除了數據中心內部僵尸網絡向外發起異常流量攻擊的威脅。
針對不同行業提供差異化服務
DDoS云清洗服務是華為與上海聯通聯合發布的第一款產品,目前主要服務于上海聯通的所有企業用戶,及IDC、CDN等用戶群。而針對不同行業用戶的不同需求,上海聯通則提供了差異化的服務。魏尚俊表示:“各行業因業務差異,對DDOS防護的需求也不盡相同。例如校園網主要以遠程教育、在線課堂、學術論壇等在線業務為主;機場主要以航班查詢、機票預訂等在線業務為主,它們的共同特點是容易遭受應用型的CC攻擊。而網吧則以游戲為主,客戶注重高速網絡體驗,因此DDoS攻擊以消耗帶寬為主。我們將根據用戶的實際業務需求,提供差異化的服務。”
開展更加深入的合作
據了解,此次華為與上海聯通的合作,是上海聯通面向未來網絡打造安全增值服務的第一步,隨后雙方將開展更加深入的合作,包括企業安全咨詢、安全應急響應等等。而為了給上海聯通提供更好地解決方案,華為也將不斷提升硬件設備的處理能力,繼續加強SDN感知能力,并在攻擊源頭上實現動態分布式的DDoS防御,旨在為聯通的企業客戶提供更加貼身和快速響應的安全防護方案。
京公網安備 11010502049343號