DDoS属于资源消耗型的攻击,要末是消耗带宽资源,要末是消耗计算资源,如果是某黑客利用漏洞入侵了系统,把服务器ShutDown了,这不该是抗D探讨范畴,这需要安全的另外一个分支IPS去弄。
作为一枚圣斗士粉,小黑羊用下面两张动图来给DDoS分类,非常形象,不了解圣斗士的85后小朋友请自行百度>>
星矢把小宇宙发挥到极限,不断提高出拳速度和气力,让对手目不暇接,终究被打倒。
流量型DDoS属于用牛蛮之力消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器。
不过最近出现的流量型DDoS不止会用蛮力,比如DNS、NTP反射攻击,可以将流量放大数百倍,到达四两拨千斤的攻击效果。
天蝎座黄金战士米罗利用对手缺点,直接打击要害部位,如点穴一般,令对手失去战役能力。
利用型DDoS走的是巧劲,利用TCP和HTTP等协议定义的行动来不断占用计算资源以禁止它们处理正常事务和要求,典型的如CC攻击。
这个局部,多是一台服务器、一个数据中心出口乃至是一个运营商的网络,而攻击者在某一时段、某一情境下,依托“提升小宇宙”,集众成群,积小成大,对这个“局部”构成了压倒性的资源优势,因而,攻击就产生了。
在“局部”造成压倒优势,拼的不是整体兵力,而是兵力调度和整合能力,“局部”可以大到运营商骨干网,比如著名的狂风影音519事件,就曾DDoS了大半个中国的电信网络。
世界上没有没有缘无故的爱,也没有没有缘无故的恨,DDoS不是无根之水,任何一次DDoS,几近都与经济利益和政治利益相联系的。
如果你遭到了攻击,首先要想一想,你动了谁的奶酪。
上图来自中国电信云堤对DDoS的监测统计,可以读出一些内涵。
凡是发起攻击的人都不希望被抓到,所以,他们最初的攻击都是用虚假地址。
但中国电信全网在12年已启用了虚假地址检测技术(基于uRPF LOOSE模式外加ACL,虚假IP地址占比低于2‰),坏人固然不愿意采取真实地址攻击,也不愿意暴露自己肉鸡的踪影,所以,在13年的饼图里,来自互联互通的攻击流量占比增高。
而互联互通的流量主要来自中国联通,到了2014年,联通也启用了虚假地址检测,所以,坏人只能到海外发展肉鸡,来自联通的攻击流量锐减,而国际攻击流量暴涨到四成。
今年的数据,国际攻击流量依然保持在四成左右,“敌对权势”无私之心不死啊。
上图依然是来自云堤的监测数据,从13年1月到15年9月,攻击流量的整体增长趋势非常明显,其中7月份单月攻击流量总和接近35000TBytes,这个趋势与CERT的统计是一致的。
这是从去年7月到今年6月两个半年区间的攻击峰值占比对照,可以看到一个明显的变化,那就是高流量的攻击在增长,特别是峰值流量大于100Gbps的攻击,今年上半年是去年的三倍还多!其中大于200Gbps的攻击平均每天有2.8次!
在DDoS的攻击类型上,趋向于多元化混合攻击,攻击时长又增加的趋势,有6%的攻击延续超过6小时。
第一个观点:抗D服务是一种减缓方案,而不是一种治愈方案,它可以减缓DDoS对业务的影响,而不是完全根除DDoS攻击,Mitigation not Clean。
第二个观点:没有哪种抗D服务是包打全能的,需要根据实际情况灵活应对,必要时采取多种组合,任何宣称完善抗D解决方案的都是耍流氓。
第三个观点:即使所有组合方案全上,抗D服务也不可能完全实现自动化,有必要的人工干预、定制策略才能更好实现抗D效果,特别是混合型攻击、利用层攻击。
一句话,三观不可不清!
在上期《十全大补帖》 里,小黑羊已介绍了各大抗D服务阵营,这次重点聊聊电信云堤。
运营商作为管道侧的特殊角色,构成了抗D服务的差异化。
我们把抗D服务分为三个进程:监测、防护和溯源。
监测是防护的条件,云堤的对DDoS的监测基于中国电信IP承载网里的上千台骨干路由器,利用NetFlow技术,可使用NetFlow包括的所有字段组合,但最经常使用的或者五原组。
主要根据pps/bps设定的阈值进行DDoS流量的监测,你是不是觉得仅仅基于这点儿阈值策略来监测过于简单粗鲁了?
其实在大范围网络中这是最有效最公道的手段,任何看上去完善周详的方案反而在大网中不具有可操作性。
由于NetFlow本身的响应局限,这类DDoS检测技术是分钟级的,固然如果在目的段增加监测装备,对特服客户实现定制化的秒级监测也是可能的。
基于上述手段,云堤可以对全网范围的DDoS攻击情况进行准确测度,这对研究攻击趋势、制定防范策略非常重要,上面援用的图表趋势都来自云堤的监测数据。
云堤的防护手段有两种,压抑和清洗。
压抑就是封堵攻击源,或对来自攻击源的流量进行限速处理,基于路由黑洞(RTBH)、FLow-Spec和QoS来实现,压抑策略基于BGP路由动态下发,7秒钟就能够完成策略更新。
由于本身网络特点,云堤能够实现近源压抑,压抑是抗D的一种非常有效的手段,但缺点是会对来自被压抑方向上的访问进行无差别处理,正常的访问要求也会遭到影响。
近源的优势是可以就近封堵,把攻击流量限制在最出发点,如果攻击流量打到了家门口,那就甚么都来不及啦。
三种压抑手段和三个压抑方
清洗就是将攻击流量辨认并剔除,将正常流再回注到目的站点,一样,云堤也是基于网络的近源清洗。流量基于BGP实现秒级牵引,比DNS牵引的响应速度更快,全网26个清洗节点200余台骨干路由器参与,利用BGP AnyCast路由可以指哪牵哪。
牵引--清洗--回注的流程不再赘述了,云堤的牵引带宽是独享的,不会占用业务带宽,而且可以ChinaNet牵引,CN2回注,最大限度保障业务带宽独立性,也能够避免传统GRE回送带来的MTU毛病问题。
溯源也是抗D服务不可或缺的一部份,相信每一个被“D”到的同学都想知道究竟是谁在弄我呀,不能被弄得不明不白忍气吞声呀,我一定要给丫点Color See See。
云堤的溯源功能基于NetFlow的Input Index和全网拓扑结构信息来完成:即,我知道攻击流量是从路由器的哪一个接口打进来的,同时我又知道路由器位于网络的那个位置,按图索骥就能够了,不管你源地址是不是是捏造的,全部疏忽,直接从装备层面抓到坏人。
而常规的溯源手段基于GEO IP地址库,如果攻击者用了捏造地址,那就很难清查了(除360,由于人家有遍及大量PC真个安全卫士,也能够精准溯源)。
固然云堤的溯源仅限于电信全网,对跨网的攻击只能追溯的边界路由器,剩下的就是对端运营商的事情了。
孰强孰弱有定论吗?没有。
其实在上面的“三观”已说明了一些问题,抗D没有一招鲜!
电信云堤在抗D的三个层面(监测、防御、溯源)是具有客观优势的,这类优势不是由于电信的安全研发和技术有多么牛X,而是运营商的网络角色使然。
像我们之条件到的互联网系、CDN系、装备商系都不可能具有运营商的网络资源,没条件去做近源型的抗D服务,而对流量型攻击和源站IP型攻击,近源抗D无疑是最有效的。
1、成也网络,败也网络。如果在跨网的环境下(其他运营商客户),监测、防御和溯源都会大打折扣,比如用户在其他运营商的地址被攻击,云堤就无能为力了。所以我们倒是希望中国乃至全球的运营商联合起来,共同筑堤抗D。
2、对脉冲型DDoS攻击,近源方式也是无解的,由于近源方式依赖BGP路由更新(固然,白名单不算,这是万不得已的方法)。近目的防御对付脉冲型攻击比较有效。但就当前的网络环境,想要发动脉冲型攻击也绝非易事。
3、云堤的市场化程度较低,还没有成熟的价格体系,销售模式也主要依赖电信政企客户部门。与目前已SaaS化的互联网系、CDN系相比,差距很大,只合适于大B定制化服务,对C类或小B客户,门坎较高。
更新一下之前对照表
既然抗D没有一招鲜,那末用户在选择抗D服务的时候,就需要根据情况综合斟酌,而对各大阵营来说,也应当是竞合关系,而非你死我活的竞争。
不管云公司、CDN公司或者抗D装备商,都可以利用一下运营商的网络先天优势,构成互补:本地端、系统端、云端参与攻击检测,然后通过云堤API接口,调用云堤的抗D功能,把运营商网络的近源防御功能与本身抗D功能相结合,实现立体化防御。
