關于DDoS流派
DDoS屬于資源消耗型的攻擊,要么是消耗帶寬資源,要么是消耗計算資源,如果是某黑客利用漏洞入侵了系統,把服務器ShutDown了,這不該是抗D探討范疇,這需要安全的另一個分支IPS去搞。
作為一枚圣斗士粉,小黑羊用下面兩張動圖來給DDoS分類,非常形象,不了解圣斗士的85后小朋友請自行百度>>
來自星矢的天馬流星拳,代表流量型的DDoS攻擊。
星矢把小宇宙發揮到極限,不斷提高出拳速度和力量,讓對手應接不暇,最終被打倒。
流量型DDoS屬于用牛蠻之力消耗網絡帶寬或使用大量數據包淹沒一個或多個路由器、服務器。
不過最近涌現的流量型DDoS不止會用蠻力,比如DNS、NTP反射攻擊,可以將流量放大數百倍,達到四兩撥千斤的攻擊效果。
來自米羅的猩紅毒針,代表應用層DDoS攻擊。
天蝎座黃金戰士米羅利用對手缺陷,直接打擊要害部位,如點穴一般,令對手失去戰斗能力。
應用型DDoS走的是巧勁,利用TCP和HTTP等協議定義的行為來不斷占用計算資源以阻止它們處理正常事務和請求,典型的如CC攻擊。
關于DDoS的本質
DDoS本質上講是在“局部”造成壓倒性的資源消耗。
這個局部,可能是一臺服務器、一個數據中心出口甚至是一個運營商的網絡,而攻擊者在某一時段、某一情境下,依靠“提升小宇宙”,集眾成群,積小成大,對這個“局部”形成了壓倒性的資源優勢,于是,攻擊就發生了。
局部以多打少
在“局部”造成壓倒優勢,拼的不是總體兵力,而是兵力調度和整合能力,“局部”可以大到運營商骨干網,比如著名的暴風影音519事件,就曾經DDoS了大半個中國的電信網絡。
當前DDoS攻擊態勢什么樣?
世界上沒有無緣無故的愛,也沒有無緣無故的恨,DDoS不是無根之水,任何一次DDoS,幾乎都與經濟利益和政治利益相聯系的。
如果你受到了攻擊,首先要想想,你動了誰的奶酪。
我們看看流量都來自何方>>
上圖來自中國電信云堤對DDoS的監測統計,可以讀出一些內涵。
凡是發起攻擊的人都不希望被抓到,所以,他們最初的攻擊都是用虛假地址。
假IP如同假身份證
但中國電信全網在12年已經啟用了虛假地址檢測技術(基于uRPF LOOSE模式外加ACL,虛假IP地址占比低于2‰),壞人當然不愿意采用真實地址攻擊,也不愿意暴露自己肉雞的蹤跡,所以,在13年的餅圖里,來自互聯互通的攻擊流量占比增高。
而互聯互通的流量主要來自中國聯通,到了2014年,聯通也啟用了虛假地址檢測,所以,壞人只能到國外發展肉雞,來自聯通的攻擊流量銳減,而國際攻擊流量暴漲到四成。
今年的數據,國際攻擊流量仍然維持在四成左右,“敵對勢力”忘我之心不死啊。
再看看DDoS攻擊的流量增長趨勢>>
點擊查看大圖
上圖仍然是來自云堤的監測數據,從13年1月到15年9月,攻擊流量的整體增長趨勢非常明顯,其中7月份單月攻擊流量總和接近35000TBytes,這個趨勢與CERT的統計是一致的。
最后看DDoS攻擊的行為趨勢>>
點擊可查看大圖
這是從去年7月到今年6月兩個半年區間的攻擊峰值占比對比,可以看到一個明顯的變化,那就是高流量的攻擊在增長,尤其是峰值流量大于100Gbps的攻擊,今年上半年是去年的三倍還多!其中大于200Gbps的攻擊平均每天有2.8次!
點擊可查看大圖
在DDoS的攻擊類型上,趨向于多元化混合攻擊,攻擊時長又增加的趨勢,有6%的攻擊持續超過6小時。
云堤抗D方案什么樣?
先講三個核心觀點>>
第一個觀點:抗D服務是一種緩解方案,而不是一種治愈方案,它可以緩解DDoS對業務的影響,而不是徹底根除DDoS攻擊,Mitigation not Clean。
第二個觀點:沒有哪一種抗D服務是包打全能的,需要根據實際情況靈活應對,必要時采取多種組合,任何宣稱完美抗D解決方案的都是耍流氓。
第三個觀點:即便所有組合方案全上,抗D服務也不可能完全實現自動化,有必要的人工干預、定制策略才能更好實現抗D效果,尤其是混合型攻擊、應用層攻擊。
一句話,三觀不可不清!
在上期《十全大補帖》 里,小黑羊已經介紹了各大抗D服務陣營,這次重點聊聊電信云堤。
運營商作為管道側的特殊角色,形成了抗D服務的差異化。
我們把抗D服務分為三個過程:監測、防護和溯源。
①監測:
監測是防護的前提,云堤的對DDoS的監測基于中國電信IP承載網里的上千臺骨干路由器,利用NetFlow技術,可以使用NetFlow包含的所有字段組合,但最常用的還是五原組。
主要根據pps/bps設定的閾值進行DDoS流量的監測,你會不會覺得僅僅基于這點兒閾值策略來監測過于簡單粗暴了?
其實在大規模網絡中這是最有效最合理的手段,任何看上去完美周詳的方案反而在大網中不具備可操作性。
由于NetFlow本身的響應局限,這種DDoS檢測技術是分鐘級的,當然如果在目的段增加監測設備,對特服客戶實現定制化的秒級監測也是可能的。
基于上述手段,云堤可以對全網范圍的DDoS攻擊情況進行準確測度,這對研究攻擊趨勢、制定防范策略非常重要,上面引用的圖表趨勢都來自云堤的監測數據。
②防護:
云堤的防護手段有兩種,壓制和清洗。
壓制就是封堵攻擊源,或者對來自攻擊源的流量進行限速處理,基于路由黑洞(RTBH)、FLow-Spec和QoS來實現,壓制策略基于BGP路由動態下發,7秒鐘就可以完成策略更新。
由于自身網絡特點,云堤能夠實現近源壓制,壓制是抗D的一種非常有效的手段,但缺點是會對來自被壓制方向上的訪問進行無差別處理,正常的訪問請求也會受到影響。
近源的優勢是可以就近封堵,把攻擊流量限制在最起點,如果攻擊流量打到了家門口,那就什么都來不及啦。
三種壓制手段和三個壓制方向
清洗就是將攻擊流量識別并剔除,將正常流再回注到目的站點,同樣,云堤也是基于網絡的近源清洗。流量基于BGP實現秒級牽引,比DNS牽引的響應速度更快,全網26個清洗節點200余臺骨干路由器參與,利用BGP AnyCast路由可以指哪牽哪。
牽引--清洗--回注的流程不再贅述了,云堤的牽引帶寬是獨享的,不會占用業務帶寬,而且可以ChinaNet牽引,CN2回注,最大限度保障業務帶寬獨立性,也可以避免傳統GRE回送帶來的MTU錯誤問題。
③溯源:
溯源也是抗D服務不可或缺的一部分,相信每個被“D”到的同學都想知道到底是誰在搞我呀,不能被搞得不明不白忍氣吞聲呀,我一定要給丫點Color See See。
云堤的溯源功能基于NetFlow的Input Index和全網拓撲結構信息來完成:即,我知道攻擊流量是從路由器的哪個接口打進來的,同時我又知道路由器位于網絡的那個位置,按圖索驥就可以了,不管你源地址是不是偽造的,全部無視,直接從設備層面抓到壞人。
而常規的溯源手段基于GEO IP地址庫,如果攻擊者用了偽造地址,那就很難追查了(除了360,因為人家有遍布大量PC端的安全衛士,也可以精準溯源)。
當然云堤的溯源僅限于電信全網,對于跨網的攻擊只能追溯的邊界路由器,剩下的就是對端運營商的事情了。
抗D方案究竟哪家強?
孰強孰弱有定論嗎?沒有。
其實在上面的“三觀”已經說明了一些問題,抗D沒有一招鮮!
云堤的優勢
電信云堤在抗D的三個層面(監測、防御、溯源)是具有客觀優勢的,這種優勢不是因為電信的安全研發和技術有多么牛X,而是運營商的網絡角色使然。
像我們之前提到的互聯網系、CDN系、設備商系都不可能擁有運營商的網絡資源,沒條件去做近源型的抗D服務,而對于流量型攻擊和源站IP型攻擊,近源抗D無疑是最有效的。
云堤的局限
1、成也網絡,敗也網絡。如果在跨網的環境下(其他運營商客戶),監測、防御和溯源都會大打折扣,比如用戶在其他運營商的地址被攻擊,云堤就無能為力了。所以我們倒是希望中國乃至全球的運營商聯合起來,共同筑堤抗D。
2、對于脈沖型DDoS攻擊,近源方式也是無解的,因為近源方式依賴BGP路由更新(當然,白名單不算,這是萬不得已的方法)。近目的防御對付脈沖型攻擊比較有效。但就當前的網絡環境,想要發動脈沖型攻擊也絕非易事。
3、云堤的市場化程度較低,尚無成熟的價格體系,銷售模式也主要依賴電信政企客戶部門。與目前已經SaaS化的互聯網系、CDN系相比,差距很大,只適合于大B定制化服務,對C類或者小B客戶,門檻較高。
更新一下以前對比表
既然抗D沒有一招鮮,那么用戶在選擇抗D服務的時候,就需要根據情況綜合考慮,而對于各大陣營來講,也應該是競合關系,而非你死我活的競爭。
無論云服務商、CDN服務商還是抗D設備商,都可以利用一下運營商的網絡先天優勢,形成互補:本地端、系統端、云端參與攻擊檢測,然后通過云堤API接口,調用云堤的抗D功能,把運營商網絡的近源防御功能與自身抗D功能相結合,實現立體化防御。
聯合起來的抗D,才是最強抗D!
京公網安備 11010502049343號