360安域王枭卿：针对闭环式DDos攻击应同步检测与防护

2017-11-17 17:19:00 来源：亚太CDN产业联盟热度:

11月15日，2017亚太CDN年会进入第二天，大会由高清云论坛、视频云论坛和高防云论坛三大部分组成。当日下午，360安域产品研发经理王枭卿作了题为《闭环式的DDos防护》精彩演讲。

何为DoS攻击

王枭卿首先介绍道，安域的产品其实功能主要是两个部分，一个就是DDoS的防护，另外一块就是对于网站的运维安全。这里介绍的是，DDoS还有外部的一些工作。

王枭卿提到，第一部分是DDoS攻击，从比较早开始，上来第一页的话是一个基于分层的，低于DDoS攻击的一个分类的，现在还是DDoS。DDoS本身是指拒绝服务，可以分成两大类，一类是攻击者用比较少的资源，就可以让服务崩溃或者进入死循环，另外一种就是通过比较大量的攻击资源，发送大量的报文，连接请求，占用目标系统的计算资源，存储资源，带宽资源。王枭卿今天着重提到的是后者，后面这种其实防护起来还是属于至少说是个人觉得比较困难的一种，也会有很多细节问题在里面，主要的都是flood结尾，类似于洪水攻击。

王枭卿讲解道，DDoS分为两类，一个是对系统计算，内存占用一些攻击，比如UDPflood，ICMPflood和分片攻击；另一类是带宽资源的占用，前面计算还有存储资源占用，以及针对与带宽的占用的话有些攻击是两边都有的。

王枭卿还提到了单体DDoS攻击，当把这些单体DDoS攻击分布到多台的服务器上，则称为分布式的DDoS攻击。这种一个表现物理层面，有多台的主机参与，在低于方面有不同的省市国家和区域发起这种攻击。

针对分布式的DDoS攻击，王枭卿认为也有两种，一种是必须常见的，就相当于攻击者用这种已经感染病毒的攻击，导致攻击资源把其组成一个攻击程序，发起攻击指令，然后对目标系统发起攻击。这个用的不是本身资源，而是利用他人计算资源和带宽。

另外一种是反射性攻击，相当于这些本身直接发出流量的机器，它的控制权并不是在攻击者，只不过用同一个请求相应的报文的大小不一样，允许多数的反射工具UDP类的，无法进行有效验证的业务来发起这类的放射性攻击，这个主要是DDoS的两种途径。

王枭卿分析，DDoS发起演进的趋势，最早期攻击者手上的机器不是太多。这个其实也是一个性价比国际的过程，就找一些单台的机器，怎么把目标系统打死，攻击者手上是两台机器，想超过一个网站对外服务带宽是不大可能，所以这个时候用DDoS攻击还是以第一种就是刚才提到消耗计算资源，内存资源为目的的这种攻击方式，就是SYNFlood，早期都是以这个作为攻击的主要目标。

王枭卿认为这个时候其实消耗主要是计算资源和性能，后来随着反射技术或代理技术的发展，慢慢地攻击者掌握的带宽，超过被攻击目标，对外提供服务带宽这种趋势，还随着技术的演进，对于消耗计算性的攻击，逐渐有比较成熟的技术，这个时候攻击者混合去打一些攻击，有的是小包，其中也会夹杂一些大包的攻击，这种攻击会特意把负载加的最大，一个包一千多字节，用来占带宽，另外就是比较小的包，这个时候属于一个混合的阶段，然后同时攻击计算资源和带宽资源的。

之后就到了近几年，并且这个现象是最近两三年才发现的。其很多高贷款的攻击，就是三四百G的大宽带里面，由50%以上的流量攻击包的大小都是一千三四的以上的包，这个时候攻击者就放弃的技术性的攻击原理，直接简单粗暴就攻击带宽，这个跟攻击者掌握带宽资源的原因越来越多，基于这么个原因才出现这样的情况。

DDoS防护之问题

王枭卿还介绍了在DDoS的防护的时候，可能遇到的一些问题。他提到，其攻防一直是属于攻守交错的一个状态。在攻守交错的过程，DDoS出现和攻击的时候，大家对于这个没有完整的理论，第一印象是协议缺陷怎么办，比如说软件缺陷可以打补丁，协议缺陷怎么打补丁？在这种缺乏理论知识的情况下，可能给防护带来一些障碍，但是国家对于这种攻击的研究，慢慢的话也会用一些比较成熟的解决方案，比如说就是伪造IP的情况，可以做一些验证和探测。之后现在等于是防护原理那边有减了，如果攻击量比较小还可以解决，如果攻击量比较大，这个时候的话新的问题就出现了，主要是一个技术架构上面的话，还会有一些技术瓶颈。对于NP来说的话转发层面，IO上面是可以的，但是计算能力不足，去做一些复杂的计算处理以及内存交互的时候，这个问题就可能不行。专用芯片在灵活性和开发和维护成本上都有比较大的限制，这个是在架构上本身成为的制约DDoS防护的重要问题。

同时也是随着技术的发展，比如说有一些EP和X86混合的出现，解决的基础架构的一些问题，随之而来当前遇到攻击形式，很大的攻击带宽会让小防护产生很大的成本问题。

王枭卿提到，360安域作为防守方的话也是会想一些办法来解决这类问题，这里面三类基本上都是基于共享的思路压低成本，一种是IDC会开展一些高防业务，来充分利用下降带宽。二是CDN，CDN基于业务模式日常的话也是有比较充裕的带宽，可以用来做攻击流量的接受还有清晰过滤。三是云计算，很多云计算厂商都对外提供了或多或少的，1G2G的DDoS的防护能力。

王枭卿还提到，360安域也会存在一些新的挑战。对于CDN来说，现在对于这种CDN环境就是会跟遇到的问题进行一个阐述。我们一个CDN上有几千个域名，这个时候被攻击不知道谁被攻击，其实想做一些调度回源这个也很难做到的。

另外一个就是这种攻击发现靠投诉，这种就是介入CDN之后，真实客户端的IP放在的应用层。这个时候在精准性，灵敏性，限制没有那么精确，也会导致这类的问题，就是客户的源站已经死掉了，这个时候还要做这种防护。

这个是写的地主家也没有余粮，就算下沉带宽，也架不住几百G的攻击。王枭卿提到他曾经遇到攻击者就是一个节点一个节点打。这个期间节点是不可用的。

最后一个是是城门失火，王枭卿往往遇到一个人被攻击或者一个业务被攻击，会影响到其他的业务，或者是其他的客户，这个也是比较头疼的一个地方。

闭环式的防护

王枭卿提到，所谓闭环式的防护，最大的宗旨就是万事想到前面。这种防护设立小小的目标，可能是100G，或者200G，一个T的防护容量。他希望有快速防护响应的能力，实时的防护，报警的话30到60秒。

王枭卿讲到，未来达到这个目标需要做工作准备，检测和防护。从检测方面来说第一个是多维度的检测分析。除了对接口带宽或者出口带宽这一类之外，还要细化到IP，应用层乃至域名。另外就是独立的IP组服务域名和客户，这个主要是为了解决我们找不到哪个用户被攻击的情况。另外还有计费的问题，成本还是非常高。有一种解决方式的话那就是以定位为目的的调度。

王枭卿还提到实时的防护机制和架构。这在一定程度可以实施在线防护的能力，比如代理还有技术的话就是比较成熟的，剩下就是一个性能问题。之后是一个应用层防护和三四层防护的联动，这种对于应用层的发现还有攻击源的定位的话还是防护是最好的，对于防护角度来说就是拦截。应用层防护联动三四层的防护，效果还是不错的。还有则是防护过程的自动升级与迁移，这个时候需要准备迁移方案和降级方案。

王枭卿认为360安域还需要规划层面。一个是资源规划，他有意为大IP覆盖提供准备充足的IP和IP资源。比如说大流量攻击，相对来说大的一块单节点也是要在规划里面考虑的。之后就是业务隔离，360安域对所有服务规划是不一样的，且必要保证关键用户的服务质量，这些都需要考虑把用户业务单独隔离出来，那么攻击就对其产生的影响则减少许多。

王枭卿认为，其他服务则依靠运营。其中在整个服务的防护过程中，包括应急响应流程，还有外界风险的识别和管理，显得尤为重要。外界环境，风险是否增加，对风险有何措施，这也会直接影响未来一两个月的防护能力和效果。关于反馈机制，除了系统架构，单节点的反馈处理，从PlanB到PlanA预测到发生概率比较小的事件，需要其准备相互的资源和防护方式。

王枭卿还提到了IP信誉和客户风险级别。他提到有时360安域确实会识别攻击IP以及客户当前被攻击的风险。王枭卿认为其可以把数据作为下次防护的基准，并反馈到现有的防护和运营体系之中。下一个则是预测和预警。这个也是最后一个一个是结合feedback数据的预警，我们至少知道哪些客户更容易被攻击，哪些IP更容易产生攻击，这样就加大监控力度，提高级别，做得更敏感一点。另外是依据蜜罐做的一个检测，早期在七八年前做过一个检测，在蜜罐系统可以收到一些服务器的指令，根据这些指令其可做面向大众的指令，而且360安域也可以提前知道有哪些域名存在潜在攻击目标。

最后王枭卿总结道，剩下如果把刚才所有的事情全都做完了，360安域离目标还差的数，可能是80%，也可能是20%，然而剩下20%他认为是在攻击方可能会有一些新的技术。最后为了弥补剩下的20%，王枭卿呼吁业界专家还有人士应不停探索和研究，把20%逐渐缩小。

下一篇：咪咕视讯徐文忠：构建开放共赢的咪咕视频云平台上一篇：美团云吕程：线上线下深度融合构建弹性、安全、灵活云服务器

责任编辑：王刚

CDN 360 王枭卿

360安域王枭卿：针对闭环式DDos攻击应同步检测与防护

相关推荐