随着移动互联的快速发展,互联网的安全情势也在加重恶化,其中DDoS(散布式谢绝服务攻击)攻击事件在互联网安全事件中占据了很大的比重。据《2016年DDoS攻击趋势分析报告》统计,2016年全球DDOS攻击的范围和频率均显现上升趋势,仅2016年上半年, 范围超过 100Gb/s的攻击就有274起,而2015年全年才只有223起。
针对DDoS攻击,虽然部份企业在网络出口位置部署了清洗防护装备,但是由于受企业本身网络出口带宽及清洗防护装备能力的限制,当DDoS攻击流量超过了企业本身出口带宽及其本身的清洗防护装备能力,企业本身针对此次攻击就没法进行有效的防护,此时企业就需要求助于上一级的网络服务提供商来进行协助。
运营商作为互联网的基础网络服务提供商,对向企业提供DDoS安全服务有着得天独厚的优势。大部份运营商都已在城域网出口部署了流量检测、流量清洗防护及溯源分析装备,其具有的网络出口带宽及配备的清洗能力远远超过企业本身建设能力,可以有效的帮助企业实现对DDoS攻击的防护,但是运营商提供的DDoS安全运营服务还存在以下几点不足:
●老旧的服务模式:运营商仍采取原始的电话沟通、工单下发等业务流程,没法满足企业客户开通时效性的要求。
●孤立的服务模块:运营商的流量检测、流量清洗、溯源分析等服务模块都是处理孤立状态的,用户开通服务时需要在区别的模块进行相应的业务开通,相关分析数据也没法进行整合分析,不能满足用户查看从攻击到防护,再到溯源的全部攻防进程数据的诉求。
●被忽视的用户体验:运营商目前部署的流量检测、流量清洗、溯源分析都是基于运营商运维的思路进行设计的,各模块都只提供了运维界面,对外没有统一针对用户的服务界面,用户没法实时查看当前的服务情况,对提供的防护服务处于没法感知的状态,没法体现安全服务的价值。
引发上述不足的根本缘由在于运营商的各个安全系统之间是相互独立的,没法实现各个系统之间业务及服务的串连,缺少一个核心系统将各安全系统进行整合后统一对外提供运营服务。
小刀网络介绍新推出的“立体式”DDOS安全防护体系的几大亮点:
亮点一:多重整合
有着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的小刀网络,数以万计的DDOS攻击防范克服经验证明了其防御体系的技高一筹。小刀网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系,由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB利用防火墙” “小刀云盾” “移动安全” “数据风控” “要挟感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成,从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。
亮点二:智能防御
小刀的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点,利用智能DNS解析系统设置监测端口,时刻防备可能存在的安全漏洞,如果一个节点遭受攻击时将会自动切换至另外一节点。在面临攻击要挟时,小刀采取的是目前较为理想的一种应对策略,以海量的容量和资源拖垮黑客的攻击,小刀的“立体式”安全防护体系能完全有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击,并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时,小刀组建的是散布式集群防御,可根据需求增加节点数量提高防御力度,宕机检测系统会快速响应更换已瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点,使攻击源变成瘫痪状态,从而削减攻击能力。
再就是定制的商用DDoS解决方案。
针对超大流量的攻击或复杂的游戏CC攻击,可以斟酌采取专业的DDoS解决方案。目前,通用的游戏行业安全解决方案,做法是在IDC机房前端部署防火墙或流量清洗的一些装备,或采取大带宽的高防机房来清洗攻击。
当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的本钱要求也比较高。
在小刀网络,我们团队去颠覆带宽“军备比赛”的策略,是提供一个可信的访问网络,这也是游戏盾诞生的初衷。
游戏盾风控模式的初衷,是从收到访问的第一刻起,便判断它是“好”或者“坏”,从而决定它是不是是可以访问到它想访问的资源;而当攻击真的产生时,也能够通过智能流量调度,将所有的业务流量切换到一个正常运作的机房,保证游戏正常运行。
某棋牌行业基于游戏盾的架构示意图
所以,通过风控理论和SDK接入技术,游戏盾可以有效地将黑客和正常玩家进行拆分,可以防御超过300G以上的超大流量攻击。
风控理论需要用到大量的云计算资源和网络资源,小刀网络天然的优势为游戏盾带来了很好的土壤,当游戏盾能调度10万以上节点进行快速计算和快速调度的时候,那给攻击者的感觉是这个游戏已从他们的攻击目标里面消失。
游戏盾,是小刀网络的人工智能技术与调度算法,在安全行业中的成功实践。
而随着攻防进程的推动,网络层和接入层逐渐壮大,我们希望“游戏盾”的风控模式,会逐渐延展到各个行业中,建立起一张安全、可信的网络。这张网络中,传输着干净的流量,而攻击被前置到网络的边沿处。所有的端,在接入这张网络时,都会经过“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB利用防火墙” “小刀云盾” “移动安全” “数据风控” “要挟感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”风险控制的辨认,网内的风控系统,也让坏人没法访问到他锁定资源。
未来,以资源为基础的DDoS防护时期终将被打破,演进出对DDoS真正免疫的风控架构。
