公有云平台DDoS防护系统揭秘
DDOS是DistributedDenial of Service的缩写,中文翻译为“分布式拒绝服务“攻击,是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务。
DDoS攻击分类包括:流量耗尽型攻击(Volumetric Attacks)、协议攻击(Protocol Attacks)、应用资源耗尽型攻击(ApplicationLayer Attacks)。
1. 流量耗尽型攻击:是指攻击者使用大量僵尸主机向目标发送大量流量,从而导致目标网络出现网络拥塞,无法对外提供正常网络服务。攻击手段包括:合法或者畸形ICMP包(ICMP Malformed Flood、ICMP Type 0 Flood)、UDP包(UDP Flood、Malformed UDP Flood)和伪造IP包攻击(Malformed Raw IP Packet Flood)等。
2. 协议攻击:在目标或目标和Internet之间的特定设备(如路由器和负载平衡器)上耗尽资源。在DDoS攻击消耗足够的设备资源后,设备无法打开任何新连接,因为它正在等待旧连接关闭或过期。 协议攻击包括SYN Flood、ACK Flood、RSTAttack和UDP fragment floods等。
3. 应用资源耗尽型攻击:利用应用程序层协议或应用程序本身的漏洞,通过缓慢打开连接,将它们打开直到不能建立新的连接来消耗应用程序层或应用程序资源。攻击形式包括:HTTP GET Flood(CC攻击)、NTP Reflection Attack、DNS Reflection Attack、SSDP Reflection Attack、慢速攻击(Slowloris、LOIC)、HTTP和SSL资源耗尽攻击等。
去年10月份Dyn DNS遭到大规模DDoS攻击,就是使用了协议攻击syn flood、UDP流量型攻击和DNS反射攻击。放大倍数在10-20倍,外加DNS正常重试请求叠加,总流量达到1.2T。攻击源怀疑大部分来至于真实IoT设备,大约10万IP。 伴随着攻击手段和攻击载体的不断变化,攻击峰值在逐年增加。
年限 | 攻击载体 | 攻击峰值 | 攻击类型 | 防御手段 |
2012年 | IDC僵尸主机 | 30~50Gbps | SYN Flood | Anti-DDoS硬件设备 |
2014年 | PC僵尸 IDC僵尸主机 | 100G 常态化 | 反射型UDP flood | IDC高防机房 |
2016年 | PC僵尸 IDC僵尸主机 IoT 移动终端 | 200G 常态化 | 真实设备流量型攻击,CC攻击 | 公有云高防服务方案 |
2017年 | PC僵尸 IDC僵尸主机 IoT 移动终端 | 1T攻击时有发生 | 模拟私有协议的真实设备流量攻击(CFA) | 带调度平台的公有云高防服务方案 |
将来 | PC僵尸 IDC僵尸主机 IoT 移动终端 | 1T攻击常态化 | 以上攻击类型总和 | 基于运营商近源清洗的公有云高防服务方案 |
从公有云厂商基础设施建设的第一天开始就在遭受DDoS攻击,为了解决自身公有云业务系统以及云上用户的业务连续性,各大公有云厂商都会建立一套DDoS基础防护系统。目前金山云为用户提供一定阈值的DDoS防御服务,但一旦攻击峰值超过此阈值,会在运营商黑洞此IP,避免攻击流量进入机房。对于经常被DDoS攻击的客户,建议考虑本文介绍的高防DDoS服务。
高防厂商类型 | 高防厂商 |
运营商 | 电信、联通、移动等 |
云平台厂商 | CloudFlare |
Akamai | |
阿里云 | |
腾讯云 | |
金山云 | |
设备厂商 | 绿盟 |
金盾 | |
傲盾 | |
华为 | |
Radware | |
Arbor Network |
伴随着DDoS攻击流量的不断攀高,在自建机房使用anti-DDoS防护设备抵御DDoS攻击的时代一去不复返了。公有云服务厂商成为主流的抗D服务提供商
目前的商务模式:
各家都有其核心资源:
(1) IDC/运营商:流量资源、基础设施。
(2) 硬件厂商:DDoS防护设备。
(3) 公有云:面对用户的销售能力和核心转发设备。
(一)金山云高防技术架构
系统组成:
(1) 高防机房DDoS防火墙集群:主要清洗3/4层流量型攻击,同时提供攻击流量高防IP状态,以及攻击日志。
(2) 4/7层转发设备,主要是为3/4层清洗后流量再次提供4/7层清洗,同时转发最终清洗后的正常流量回源到用户源站。
(3) 金山公有云控制台提供4层端口转发和7层清洗策略设置、攻击流量展示,以及高防计费相关接口。
(4) 后台高防调度系统,提供全自动和人工高防机房调度接口。
除了单个机房集成,同时提供各个高防机房之间的调度系统。调度系统主要适用于以下场景:
(1) 由于线路质量、转发设备异常等导致高防机房暂时无法使用,需要紧急调度到其它高防机房。
(2) 由于单一高防机房无法承受超大流量的攻击,需要通过分线路解析调度电信、联通、移动等访问者接入其它高防机房。
(3) 无攻击状态和有攻击状态下的线路质量监控。
(二)金山云高防优势:
(1) 高防性价比
BGP保底+弹性方式,为用户节省高防支出。
相应等级高防报价比主流竞品优惠5~10%
(2) 攻击防护峰值
流量型攻击:高防机房攻击防御峰值数T、具有过T防御阈值的机房
CC攻击阈值:单台设备30万QPS,可以水平扩展
(3) 高防高可用架构
高防转发架构可伸缩-根据攻击状态路由动态宣告和释放方式扩展。
4/7层转发设备负载均衡架构-云计算核心网络架构在高防上的应用。
分线路解析-整机房调度平台
(4) 实时监控
自建全国各省线路质量实时监控系统
1. 报告范围
为更好的让云上企业级用户了解DDoS攻击现状和趋势,本次报告数据采集范围:金山云防护中心基础防护,为增加报告的时效性,采集时间为:2016年Q4和2017年Q1。
2. 执行摘要
2017年第一季度,金山云安全团队发现无论是攻击流量峰值、攻击持续时间,均呈现上升趋势
A. 2017Q1,DDoS攻击告警事件同比2016年Q4增长率为33.6%
B. 本季度最大攻击峰值 810G ,2017年2月25日 14:16监控到持续了2分钟,攻击类型为:SYN Flood。金山云安全团队切换T级高防节点,成功拦截此次攻击。怀疑不安全的物联网设备成为本次DDoS攻击的重要来源
C. 从被攻击用户行业分布上看,游戏服务是DDoS攻击重点目标,55%的攻击来自于游戏服务器,特别是地方棋牌类游戏。DDoS攻击已经成为竞争激烈行业同行之间竞争的一个常用手段。
D. SaaS服务和游戏服务容易遭受应用层CC攻击,由于游戏服务的App特殊性,我们发现Websocket 长连接成为CC攻击的重点
E. 超过20G的DDoS攻击变得越来越普遍,32%攻击已经超过20G。
3. DDoS数据分析
A. DDoS攻击峰值趋势
B. 被攻击行业分析
被攻击行业分布
被攻击行业变化趋势
直播、金融、游戏成为攻击量增长最快的行业
C. 攻击流量峰值分析
攻击流量峰值
DDoS攻击峰值变化趋势
攻击峰值大于100G的快速增长,但总量还不多。
D. 攻击持续时间分析
DDoS攻击持续时间分布
DDoS攻击持续时间变化趋势
总结
近年来,随着黑客获取攻击源的能力的增加,巨量攻击(超过500G)的攻击越来越常见。运营商、服务提供商、抗D设备提供商、用户任何一方都无法彻底解决问题,必须联合大家的优势力量,共同抵御DDoS攻击的威胁。金山云在DDoS防御上,和业界伙伴建立了广泛、互利的合作关系,电信、联通、移动、青松云安全、云清联盟等,都与金山云有长期的战略合作。我们将来也将联合更多的业界伙伴,为DDoS防御贡献自己的力量。