據全球知名IT安全雜志Info Security的報道,2015年Q1的DDoS攻擊次數同比2014年增長7%,針對云上的DDoS攻擊流量比以往任何時候都大,其中10%的攻擊,流量在10Gbps以上,2014年最大的DDoS攻擊流量甚至達到400Gbps以上。隨著越來越多的組織將業務和服務遷移到云上,一個單獨的組件受到攻擊可能就會導致重大故障,DDoS攻擊防御就顯得非常的重要,本文將介紹UCloud基于云的DDoS防御系統。
DDoS(Distributed Denial of Service)攻擊作為常見的高危害性安全威脅之一,一直是安全部門的心頭大患。在實際的DDoS攻擊防護過程中,攻擊流量動輒10G左右,相當于100個100M的光纖寬帶。當我們感嘆互聯網的大帶寬、高速度的同時,攻擊流量也在隨之增大,實際攻擊流量遠不止10G,有時會達到百G甚至是數百G,如此大規模的攻擊流量,只有具備超大帶寬、超大的數據存儲、分析能力和計算能力的DDoS服務商才能快速發現攻擊,開啟防護系統對攻擊流量進行外科手術式的精準過濾,并在不對正常業務產生影響的情況下攔截惡意攻擊。
大多數企業不具備這樣的能力,通常對萬兆以上大規模DDoS,攻擊對象的出口帶寬可能被完全擁塞,此時企業內部的DDoS檢測和防護措施已經無法解決問題,選擇基于云計算方式來防護DDoS攻擊成為現實的選擇。UCloud安全工程師借助于UCloud領先的云計算技術,設計并開發了一套UCloud DDoS防護解決方案,包括DDoS IN高性能防護系統和DDoS OUT監測隔離方案。
DDoS防護系統
高性能DDoS防護系統,主要是由DDoS云檢測集群、DDoS云清洗集群和DDoS云策略中心這三個部分組成,可實現對DDoS攻擊的精準過濾,秒級防護,整體防護能力接近T級。
· DDoS云檢測集群
DDoS云檢測集群是由數臺分析機器組成的高性能集群,檢測輸入機房的流量是否包含惡意行為,并實時上報策略中心。目前,DDoS云檢測集群可實現對數T級別的流量進行實時分析,實現秒級檢測。
當流量進入機房時,通過分光的方式,從物理層復制一份進入機房的流量,然后將流量接入超過容量負載分擔系統,由負載分擔系統將流量打散,轉給后端由數臺分析機器組成的高性能集群,集群會對每一個數據包進行仔細識別,找出其中任何的惡意行為,實時上報策略中心。
· DDoS云清洗集群
DDoS云清洗集群是防護系統中最重要的組成部分,實現對攻擊流量的清洗工作,保證業務的正常訪問。
如何實現清洗?首先,通過BGP路由協議,從云端路由器直接牽引攻擊流量,進而實現近源清洗,避免攻擊流量在目標服務器處匯聚,影響網絡質量。我們會將BGP牽引過來的流量,導入由多臺大容量機框式清洗設備組成的集群,在這里實現對攻擊流量的實時識別,精確過濾,丟棄所有的惡意流量后,然后再通過MPLS VPN的方式,將用戶的正常業務流量回送到目標服務器,保證正常業務訪問不中斷。
清洗集群的開發難度非常大,其對實時性要求非常高,對網絡延時的影響小于1ms,容量需求大,當前單個集群需要處于數百G的流量;并通過云端調度的方式,多個清洗集群協同工作,全網云清洗中心總容量可達到T級。
· DDoS云策略中心
策略中心是整個DDoS防護系統的控制中樞,所有的信息在這里匯聚,它會根據安全工程師預先為客戶定制配置的防護策略,對各種威脅進行實時處理,將各項指令實時下發到云檢測集群和云清洗中心,類似美國海軍的宙斯盾防空控制中心應對飽和攻擊時的場景。
DDoS OUT監控隔離方案
目前,云計算平臺上的DDoS OUT越來越常見,一般情況下是用戶的虛擬機感染病毒或直接被破解了密碼導致的,最終被他人控制惡意攻擊別人。由于這種情況一般都滿負荷工作,不僅占滿相對昂貴的網絡帶寬資源,還很有可能影響到同一臺宿主機上的其他用戶,所以部分服務商甚至直接采取了極端的一經發現就直接關機的措施。當前,UCloud在DDoS OUT主要開展三個方面的工作:監控檢測、隔離和排障處理。
· 監控檢測
首先,會定期抓包,按照數據包類型(ACK、SYN、PING和UDP等)分類存儲,再按時間和IP粒度來分析,通過長時間的迭代改進判斷經驗值,目前已經能夠做到相當精準的區分開正常業務和惡意攻擊。
另外,由于現在的DDoS已經形成完善的地下產業,且攻擊行為多變,很多時候攻擊行為都是轉瞬而逝,打垮目標后就不再攻擊了,客戶自己甚至可能毫無感知自己購買的云主機被挾持攻擊了其他人。針對這種情況,我們會保留現場,將現場保存在UCloud的對象存儲產品UFile上,供用戶核查。
· 隔離方案
隔離方案是增強用戶體驗的關鍵所在,目的是確保當虛擬機受挾持發起攻擊行為時不會影響到同一臺宿主機上的其他用戶。首先,劃分出一個隔離區,將檢測到的用戶IP遷移到隔離區,遷移過程用戶無感知,并且由于在隔離區只會存在這個一個用戶,等同獨享,給工程師處理爭取了寶貴的時間。
· 排障處理
當用戶IP遷移到隔離區之后,系統會通過短信和郵件的方式通知到用戶,同時安全中心的工程師也會幫忙查殺病毒木馬,對于處理成本高的用戶,建議用戶備份數據后重裝系統。
未來,越來越多的人將使用公有云,依據經驗工程師給到兩個建議:1.一定要設置強密碼,并定期更換;2.至少做到每周檢查SSH日志,了解是否有人在暴力破解自己的云主機。
結語
當前針對DDoS攻擊,無論是對云上客戶的攻擊,還是由云上客戶服務器發起的攻擊,UCloud均提供了完整的攻擊發現和處理機制,并建設一套完整的解決方案。不但確保了云上客戶的服務器不受DDoS攻擊影響,同時確保客戶資源不被濫用,用來發起DDoS攻擊。
京公網安備 11010502049343號