DDoS(Distributed Denial of Service)攻击作为常见的高危害性安全威胁之一,一直是安全部门的心头大患。越来越多的数据显示,DDoS攻击正在成为目前企业面临的最大安全威胁。而且在步入云计算时代后,DDoS攻击又呈现了新的特点。近日, UCloud安全中心资深DDOS防护专家白惊涛就目前的DDoS热点问题接受了媒体的采访。
目前,针对云上的DDoS攻击流量比以往任何时候都大,攻击流量动辄10G左右。随着越来越多的组织将业务和服务迁移到云上,一个单独的组件受到攻击可能就会导致重大故障,DDoS攻击防御就显得非常的重要。在白惊涛看来,目前DDoS攻击呈现了如下新特点。
攻击流量大。大流量攻击呈现增长的趋势之下,过百G的攻击越来越多。数据显示,2014年最大的DDoS攻击流量甚至达到450Gbps以上。当我们感叹互联网的大带宽、高速度的同时,攻击流量也在随之增大,实际攻击流量远不止10G,有时会达到百G甚至是数百G,如此大规模的攻击流量,只有具备超大带宽、超大的数据存储、分析能力和计算能力的DDoS服务商才能快速发现攻击。
DDoS攻击者技术水平高,DDoS攻防博弈需要专业的安全团队。这就是DDoS攻击手段专业化,以前的攻击,绝大部分只需要开启防护设备,基本上都能防住,现在的攻击,经常要求DDOS防护安全专家介入,不能通过简单的买设备来解决,需要非常专业的DDOS团队,同时需要有非常强的研发能力,能够快速对抗新的攻击手段。
DDoS攻击攻击成本低,宽带基础设施越来越完善。白惊涛表示,特别是随着云计算的发展,攻击者获取参与攻击服务器成本低,可以批量购买用于发起攻击的云主机。如果云计算提供商没有强大的检测手段,这个时候往往就容易成为DDoS的帮凶。
所以,白惊涛表示,作为云计算提供商在保护平台用户,对抗DDoS攻击方面拥有非常重要的责任,UCloud在这方面进行了非常多的探索。UCloud研发了高性能DDoS防护系统,主要是由DDoS云检测集群、DDoS云清洗集群和DDoS云策略中心这三个部分组成,可实现对DDoS攻击的精准过滤,秒级防护,整体防护能力接近T级。
DDoS云检测集群是由多台分析机器组成的高性能集群,检测输入机房的流量是否包含恶意行为,并实时上报策略中心。目前,DDoS云检测集群可实现对数T级别的流量进行实时分析,实现秒级检测。
DDoS云清洗集群是防护系统中最重要的组成部分,通过多种专利算法,实现对攻击流量的精准过滤,保证业务的正常访问。
DDOS云策略中心是整个DDoS防护系统的控制中枢,所有的信息在这里汇聚,它会根据安全工程师预先为客户定制配置的防护策略,对各种威胁进行实时处理,将各项指令实时下发到云检测集群和云清洗中心;同时将各系统的日志与状态信息采集上报到策略中心。
白惊涛表示,目前,云计算平台上的DDoS OUT越来越常见,一般情况下是用户的虚拟机被入侵、感染木马或直接被破解了密码导致的,最终被他人控制恶意攻击别人。由于这种情况一般都满负荷工作,不仅占满昂贵的网络带宽资源,还很有可能影响到同一台宿主机上的其他用户。对此,UCloud在DDoS OUT主要开展三个方面的工作:监控检测、隔离和排障处理。
监控检测
首先,会定期抓包,按照数据包类型(TCP、UDP、ICMP、其它)分类存储,再按时间和IP粒度来分析,通过长时间的迭代改进判断经验值,目前已经能够做到相当精准的区分开正常业务和恶意攻击。另外,由于现在的DDoS已经形成完善的地下产业,且攻击行为多变,很多时候攻击行为都是转瞬而逝,打垮目标后就不再攻击了,客户自己甚至可能毫无感知自己购买的云主机被挟持攻击了其他人。针对这种情况,我们会保留攻击抓包,攻击现场,将这些证据信息在UCloud的对象存储产品UFile上,供用户核查,以及相关部门调查取证。
隔离方案
隔离方案是增强用户体验的关键所在,目的是确保当虚拟机受挟持发起攻击行为时不会影响到同一台宿主机上的其他用户。首先,划分出一个隔离区,将检测到的用户IP迁移到隔离区,迁移过程用户无感知,并且由于在隔离区只会存在这个一个用户,等同独享,给工程师处理争取了宝贵的时间。
排障处理
当用户IP迁移到隔离区之后,系统会通过短信和邮件的方式通知到用户,同时安全工程师也会帮忙查杀病毒木马,对于处理成本高的用户,建议用户备份数据后重装系统。
最后,白惊涛总结说,作为云计算提供商一定要保护好用户,做好平台保护,不参与攻击。此外,在出现攻击后,积极配合相关部门的调查,锁定DDoS攻击黑手,净化网络环境。此外,云计算提供商保持与运营商的紧密合作也非常重要,比如UCloud与三大电信运营商都有很好的合作,在处理DDoS攻击方面,运营商可以提供非常好的支持。
另外,目前在对抗DDoS攻击上面,网络厂商、云计算提供商、电信运营商、公安网监等纷纷成了联盟,对于这种行为,白惊涛表示,联盟其实很重要,本来对抗DDoS攻击就需要各个方面进行协同,但是联盟不能流于形式,需要各方共同努力,进行著有成效的工作,共同打击黑产。
文章原文链接:https://www.anquanke.com/post/id/82866