前 言 ·
互聯網發展到今天,無論是對經濟、科技還是社會發展都發揮了巨大的積極的影響,但是在互聯網輝煌成就的背後,也催生了一系列互聯網黑灰產業鏈,對於目前互聯網強依賴的經濟發展現狀來說,互聯網的安全問題愈來愈嚴峻。
互聯網安全問題是一個非常複雜而又龐大的體系,從整體上劃分可分爲基礎安全和業務安全,每一塊都能繼續細分下去,自成一個體系。
如果把互聯網安全防護比喻成一系列的防護門,那麼基礎安全就是最前面的幾道門,DDoS防護則是第一道門。
對於企業來說,最佳的發展狀態就是在專業的領域持續發展和盈利,形成一個良性的發展模式,始終把精力集中在一個點上,但是安全問題不得不會分散企業的精力。在分工越來越精細化的企業發展模式下,很多企業無暇去顧及但又不得不面對安全問題,如果互聯網安全防護能夠以一種“即時防護”服務的形勢提供將會非常有吸引力,不同規模的企業根據自身業務特點去定製套餐,不僅極大的節約了成本,也會有非常好的安全體驗。
網易易盾的DDoS防護體系結合雲計算,契合”防護即服務”的路線,在雲時代的DDoS防護體系已有了長足的實踐。
· 來理解一下DDoS ·
DDoS***一直都不是獨立發展的,它得益於互聯網的發展,互聯網的規模越大,它的市場也越大,***方式也越來越繁多和複雜。
近十年來,DDoS流量規模迅速飆升。2016年,美國域名服務提供商Dyn公司遭受大規模的DDoS***,導致大半個美國的網絡服務癱瘓,多個知名公司服務受到影響。事後分析,此次的DDoS規模已經超過Tbps,DDoS***達成了Tbps的里程碑,T級的DDoS就已成爲常態。
我們不得不要去思考一下這個問題,是什麼原因造成了DDoS威脅愈演愈烈,互聯網的發展已經把安全問題放在很重要的一個位置上,但是一直沒有遏制住DDoS安全問題,反而DDoS反撲越來越兇猛。分析一下當前互聯網發展現狀和趨勢,可以總結出以下幾個原因:
老舊的網絡設備更新換代成本太大,安全問題一直沒有得到很好解決;IoT設備數量的暴增,2018年就已達90億之多,而傳統的IoT廠商在網絡安全上投入太少,導致IoT設備存在很大的安全隱患;DDoS***花樣型越來越豐富,網絡協議棧、公共服務器等的安全漏洞一直沒法解決或者是解決的代價太大導致被***利用。DDoS威脅在互聯網蓬勃發展的大背景下,並沒有得到很好的解決,反而愈演愈烈,究其原因就是:東西都是人設計的,人設計的東西不能說100%沒漏洞,所以互聯網的體量越大,出現漏洞的概率越大,那麼DDoS威脅就會一直存在。
· 網易DDoS防護體系最佳實踐 ·
網易分佈式DDoS防護體系簡稱爲NDS,經過多年的不斷積累和改進,NDS在防護配置和防護效果方面日臻完善。
· NDS組成原理 ·
當部署在企業內部時,NDS的組成及原理如下圖所示。NDS產品主要由異常流量檢測、異常流量清洗兩個系統組成。工作流程有4步:流量檢測、流量牽引、流量清洗、流量回注。
當部署在第三方IDC機房時,NDS產品的組成及原理如下圖所示。
· NDS防護算法 ·
網絡層防護
網絡層防護的主要流程是:每50毫秒分析一次業務流程的成分、新建連接
併發連接、業務請求,發現***成分發生變化時,依據客戶的配置情況調用相應的清洗模塊。網絡層清洗模塊主要有:TCP SYN認證模塊、畸形包模塊、ACL模塊、TCP/UDP狀態機模塊、黑名單模塊、大數據分析過濾模塊、限速模塊。
NDS產品對UDP業務的防護流程如下圖所示:
NDS產品對TCP業務的防護流程比較複雜,這裏僅僅介紹SYN Flood的防護,如下圖所示。
應用層防護
應用層DDoS***之所以難以防範,就在於***流和正常流混合在一起,很難有效地分辨出***流,想要取得良好的防護效果,要求NDS必須對業務進行深入的分析。
NDS產品業務層防護由JS認證、瀏覽器指紋、CC工具識別、高級ACL、IP名單庫等防護模塊組成。這些模塊可以單獨或者組合使用,以保護客戶的業務。
1.JS驗證:用於驗證來自互聯網的訪問是否來自於真實瀏覽器,會區分HTTP API調用和瀏覽器。其防護流程如下圖所示:
2.瀏覽器指紋:用於驗證來自於互聯網的訪問是否僞造瀏覽器的請求;
3.CC工具識別:一款CC工具識別模塊,能識別出互聯網的90%以上的CC工具。包括且不限於空連接、長連接、慢速連接、故意拆分成小包、故意重傳、回放***、無負載連接等行爲;
4.高級ACL:支持客戶根據業務特徵書寫ACL,直接過濾非法流量,支持與黑名單聯動;
5.IP名單庫:根據大數據的分析結果,形成各種特徵的IP名單。
除上述方法之外,NDS產品應用防護層還提供了深度定製防護方式:清洗插件,允許在NDS軟件運行客戶的清洗邏輯。
防護算法
NDS內置了多種防護算法,目前各種算法單獨工作時的可用性指標如下:
畸形包丟棄:對特定格式的IP/TCP/ICMP報文進行丟棄,成功率接近100%;SYN Reset認證:用於過濾SYN Flood,成功率95%,源IP首次建TCP連接會延遲1-3秒;SYN Cookie認證:用於過濾SYN Flood,成功率接近100%,通用高防的SYN Flood的默認防護策略;TCP狀態機過濾:用於過濾ACK/Fin/Reset Flood,防護閾值配置正確時,成功率100%;UDP狀態機過濾:用於過濾UDP Flood,對於雙向UDP業務,成功率95,單向成功率50%;HTTP JS反射驗證:用於過濾HTTP Flood,改進模型的成功率96%,可能對驗證碼URI會有誤殺;瀏覽器指紋:用於HTTP Flood,成功率90%;地域開關過濾:用於過濾CC,和其他開關清洗不掉的DDoS流量,成功率75%;大數據分析結果校驗:用於過濾CC,和其他開關清洗不掉的DDoS流量,成功率70%;黑/白名單過濾:用於過濾CC,防護閾值配置正確時,成功率80%;限速:有很多種類型的限速,一般用於其他開關清洗不掉的DDoS流量。靜態開關
靜態開關是由用戶(或易盾安全專家)配置的,NDS軟件會依據配置值預設清洗策略。
動態開關
動態開關是由NDS軟件按照DDoS***特徵和客戶指定的閾值,動態打開關閉的,用戶只能看不能改,但可以通過修改與之關聯的防護閾值來間接改變它。
由於複合型DDoS***非常常見,因此發生DDoS時開啓多個動態開關是常態。當前時刻和歷史任意時刻的動態開關可以通過“清洗效果分析系統”的app_SW成員來查看,如下圖所示。
動態開關通常會因DDoS流量的成分的變化而變化,且反應速度很快。其中SYN認證開關的反應時間爲≤50毫秒,其他動態開關的反應時間爲≤1秒。
動態開關依據成功率以及開銷的不同,劃分爲若干個級別。NDS軟件會參考客戶的配置值,優先選擇成功率高、開銷小的算法。當無法滿足需求(例如檢測到有嚴重誤殺)時,會自動疊加成功率低的算法。
· 2018年網易DDoS案例盤點分析 ·
超過了250Gbps,***類型基本上覆蓋了所有的DDoS類型。混合型DDoS***往往是最難防的,其不僅考驗DDoS防護系統的完備性、穩定性,也對運維構成了挑戰。
本次長達一個月的DDoS***,不僅DDoS流量規模大,其DDoS流量類型也繁多,NDS實現了7*24小時自動防護,無人干預,這是對NDS防護系統的完備性、穩定性以及靈活性的最佳驗證。
DDoS流量峯值與類型
250Gbps的SYN Flood
混合型的DDoS***
NDS之所以能夠實現7*24小時的自動防護是因爲NDS具備一套精密的自動防護算法開關,能夠根據當前的***形勢以及防護效果進行調整,實現DDoS防護算法自動開啓與疊加,以達到最佳的防護效果。