安全路透社
当前位置:安全路透社 > 网络转载 > 正文

WitAwards 2017“年度云安全产品”参评巡礼 | 知道创宇抗D保产品解读

* 本文属“WitAwards 2017年度安全评选”专题报道

ddos.jpg

背景

DDOS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追溯到1996年,这种古老的攻击方式经过近二十年的演变沿用至今,技术方面没有特别大的提升,但威胁程度却不断上升,成为了各种规模的企业都挥之不去的噩梦。

根据reportsnreports的统计,2016年全年全球DDoS防御市场规模达到8.24亿美元(54.77亿元人民币),到2021年,预计达到21.62亿美元(约合143.72亿人民币)。然而摆在企业和安全厂商面前的一个难题是DDoS规模的不断上升,尤其是去年Mirai病毒爆发后,DDoS攻击的特点日益明显。

去年下半年,Mirai病毒爆发,Mirai通过感染那些存在漏洞或内置有默认密码的IoT设备,像“寄生虫”一样存在设备中,操控它们,针对目标网络系统发起定向攻击。网络监控摄像头、DVRs、路由器等其它家用网络设备都可能成为Mirai僵尸网络的“猎物”,据ISP服务商Level3调查,全球受Mirai感染的IoT设备达50万。

10月21日的DDoS攻击从上午开始,致使大面积网络中断,其中包括域名提供商DYN,而DYN为Amazon、Spotify、Twitter等知名网站提供域名服务,攻击导致众多网站与在线服务无法访问。而另据报道可能还有其它恶意软件僵尸网络参与攻击。在CNBC的采访中,DYN声称黑客使用了数千万个IP地址。

mirai-botnet-infections-5-minutes-sensorstechforum-com.jpg

Mirai的特色在于通过构建基于智能设备的僵尸网络,这不同于以前通过攻击计算机建立僵尸网络的思路。这样的新方法在降低了攻击成本的同时却提升了DDoS流量的规模,事实是如此大规模的DDoS流量让各大厂商都措手不及。

我们不妨来设想一下在Mirai思路下未来DDoS的前景:

随着物联网的兴起,网络设备数量呈指数型上升,截至2020年全球将有400-800亿设备接入到物联网,不难想象,一旦这些互联网设备被劫持,形成僵尸网络,就能够生成巨大的DDoS流量,作为防御方由于没有那么多的资源,很容易会败下阵来。因此在资源不对等的情况下,提升技术能力将成为未来防御DDoS攻击的关键,这也是知道创宇抗D保产品的思路。

产品介绍

TIM截图20171031192637.png

抗D保是知道创宇云安全旗下的DDoS流量清洗服务,我们从官网了解到的信息显示,抗D保提供DDoS 攻击防护、CC 攻击防护和DNS 攻击防护等多种DDoS攻击威胁:

DDoS 攻击防护

有效解决黑客控制僵尸网络对服务器发起的流量攻击造成服务器IP被封、带宽被打满等现象,100%清洗SYN Flood、UDP Flood、ICMP Flood等攻击流量。

CC 攻击防护

有效解决大批量网络僵尸攻击引起的服务器CPU100%、IIS无法响应等攻击现象,对伪造搜索爬虫攻击、伪造浏览器攻击、假人攻击等效果极佳。

DNS 攻击防护

有效解决突发的大量随机HOST A记录查询攻击、递归DNS穿透攻击、DNS流量攻击等多种针对域名解析的攻击请求。

抗DDos攻击

根据网宿科技在今年9月发布的《2017上半年中国互联网安全报告》对上半年检测到的网络层DDoS攻击进行的统计显示,上半年网络层DDoS攻击带宽峰值达774Gbps。其中,多数攻击事件带宽在50Gbps以内,而50Gbps以上规模的DDoS攻击事件主要集中在游戏网站和视听影音类门户。

TIM截图20171031192920.png

抗D保使用了腾讯宙斯盾流量清洗设备并结合由知道创宇安全团队研发的Anti-DDoS引擎。抗D保在全国部署了分布式的数据中心,拥有600G以上的带宽用来防御DDoS,并且抗D保证可以随时应急调用腾讯自有带宽1.5TB,也就是说,抗D保总共拥有的防御带宽有2T之多,即便遇到大规模的DDoS攻击也能轻松应对。

此外,抗D保具备多种防御手段,防御各种类型DDoS攻击,包括基于网络层的攻击,如 TCP Flood、UDP Flood、ICMP Flood,以及应用层攻击,类似HTTP Flood这种试图耗尽服务器资源的攻击,同时还可以对各种反射攻击和僵尸网络攻击进行防御。

而根据知道创宇的官方介绍,Anti-DDoS引擎可以在“5秒内发现恶意攻击,10秒快速阻断”。

抗CC攻击

攻击者借助代理服务器生成指向受害主机的合法请求,这种攻击手法被叫做CC(Challenge Collapsar)攻击。

黑客通过CC攻击,不停地模拟大量的正常请求发送到服务器,最终造成服务器资源耗尽,一直到服务器宕机。

CC攻击的危害性在于:

导致网站带宽资源严重被消耗,网站瘫痪。

网站CPU、内存利用率飙升,主机瘫痪。

瞬间快速打击,无法快速响应。

而由于CC攻击成本低、威力大,因此倍受黑客们青睐。事实上,现今网络环境中,80%的DDoS攻击都是CC攻击。

为了抵御CC攻击,知道创宇研发了Anti-CC引擎,据访问者的URL,频率、行为等访问特征,识别CC攻击并进行拦截,在大规模CC攻击时避免源站资源耗尽,保证企业网站的正常访问。

数据.png

CC防护后台界面

在CC攻击防御方面,知道创宇提供了“无上限的CC攻击防护”,并且“100%拦截无漏传”。除了上面提到的访问特征甄别,Anti-CC引擎还用到了下面的技术。根据官网的介绍,在防御CC攻击上,抗D保可以做到“1分钟发现,2分钟启动全网拦截,5分钟过滤所有黑客攻击源”,并且“100%拦截无漏传”。

动态阈值

前面讲到,CC攻击的原理是通过模拟大量的正常请求发送到服务器,最终造成服务器资源耗尽。因此,限制请求成为了最直接的办法,抗D保的Anti-CC引擎会根据每个网站、每个URL自动设定连接数阈值,从而可以限制过高的连接数导致攻击者无法访问。

值得一提的是,抗D保的阈值设置是根据Anti-CC引擎的学习结果动态自动调整的,并非手动更改。这样的动态调整机制一方面能够保证小网站在遭遇较小流量攻击时也能够精准防御;另一方面,在网站访问高峰期能够保证正常用户的访问。

协同防御

抗D保拥有大量数据中心和防御节点,而这些节点所采用的安全策略是实时同步的。

抗D保一个节点发现CC攻击,即会自动全部节点进行协同防御实现全网拦截,让网站完全与黑客攻击隔离。黑客攻击一个网站时,攻击行为即会被记录、分析、评级并将攻击IP下发至所有防护节点,从而所有接入抗D保的网站都可免疫后续攻击。

Cookie校验

在原URL请求的最后面添加一个独一无二的 cookie,作为 URL的一部分,当包含该cookie的URL重新返回时,抗D保先检查该cookie是否合法,如果合法,则说明该URL是合法的再次连接,将URL中的cookie部分抹去,恢复为原始的 URL 请求再发给 服务器进行正常访问,否则拒绝该URL请求。

访问行为分析

Anti-CC 引擎会通过访问者的行为识别是否是正常用户访问。简单来说,普通访客在浏览网页时,必定会连续抓取网页的HTML文件、 CSS文件、JS文件和图片等一系列相关文件,而CC攻击者由于使用了自动化的配置,仅仅只会抓取一个URL地址的文件,不会抓取其他类型的文件,另外,攻击者的User Agent信息也有大部分和普通浏览者不同,综合这一系列访问信息,Anti-CC引擎可以判定访问是否为攻击。

基于以上的这些原理,抗D保能够识别出正常用户和伪造请求的恶意用户,正因如此,CC攻击防护功能同样可以用于防止刷单和羊毛党。

Anti-CC引擎能够阻止已知的恶意或可疑的僵尸网络活动,比如羊毛党常见的恶意刷取企业优惠券及恶意提交非法内容等行为,于此同时确保合法的搜索引擎请求,如谷歌、百度可以自由地访问网站,保证网站安全性、可用性的同时提高网站的访问性能。

每一个请求到达抗D保的清洗节点后,抗D保会对每一个请求进行指纹标记并指令本地浏览器进行请求重发,在重发后当请求再次到达清洗节点时,二次判断访客指纹正确性,如果错误直接进行拦截。该指纹与客户端上网环境度度绑定,恶意攻击者不可预估,更不可能批量伪造。

抗DNS海啸攻击

DNS海啸攻击(DNS Query Flood)就是攻击者操纵大量傀儡机器,对目标发起海量的域名查询请求,从而消耗DNS服务器的CPU资源,进而导致企业DNS域名解析的问题。

为了防御攻击,抗D保在全国多个城市采用分布式集群方式部署了大量DNS服务器,保证各个地区的查询响应速度,根据知道创宇介绍,旗下有1000多个分布式服务节点,对网站浏览的提速最高达到300%。

除此之外,这套DNS系统可以支持74种解析线路,可以按省市地区、 运营商分别解析对应的线路,优化用户访问速度,并且相互之间数据同步同时又相互隔离,在其中一组DNS出现故障时可以迅速 由另一组DNS接管,从而保证业务连续性。

除了上面提到的产品技术,抗D保还具备一些其他的产品特色:

1. 接入简单

TIM截图20171031192944.png

得益于云平台的便携性,使用抗D保不需要安装软硬件,也无需对网站做任何改动,只需要更改DNS解析就可以接入服务,这一点相比传统网络设备繁琐复杂的接入过程有很大的优势,另一方面也起到了隔离的作用。

2. 联动其他安全产品

抗D保是知道创宇云安全旗下的安全产品之一,还有入侵防护产品创宇盾、网站加速服务加速乐。更重要的是,知道创宇具有成熟的网络威胁态势感知产品,不仅涵盖了区域网络的攻击监测,还丰富到了APT攻击和未知漏洞攻击的检测与防护,这些产品提供了对各类安全威胁完整的防护。

除此之外,抗D保为最容易遭受攻击的金融借贷平台、游戏、电商、教育培训、竞价排名、医疗等高危网站制定了现成的解决方案。这些措施对突出的安全威胁有针对性的进行防御,提高防御效果。

总结

“抗D保”于2015年发布,根据知道创宇的资料,抗D保虽然上线两年,却已经“战果累累”:

2015年初,抗D保防御住了当时最大规模的DDoS攻击: 171Gbps。

2015年底,网贷之家遭受DDoS攻击最高达到190Gbps,抗D保成功防御!

2016年5月,抗D保帮助旗下某游戏网站成功防御414Gbps DDoS攻击!

2016年7月,抗D保帮助平台某金融客户成功防御峰值高达685Gbps DDoS,这已经是目前已知的2016年全球网络安全领域成功抵御的最大规模DDoS,刷新了峰值。

2017年2月,某游戏客户遭受了峰值600Gbps+ SYN Flood攻击,知道创宇云安全成功防御!

几乎同时,另一江苏客户遭遇连续16次的混合攻击,整体攻击规模峰值达到600Gbps+,且有丰富肉鸡。抗D保帮助客户成功防御。

这些例子都证明,在攻击成本下降,DDoS流量的规模不断上升的新环境下,资源的不对等成为了DDoS防御者需要面对的新问题,通过累计大量设备与攻击者对抗不再是唯一的解决方案,安全厂商应该做的则是更智慧地解决问题,通过准确的过滤和分析,将有限的资源发挥到极致,这是“四两拨千斤”的智慧,也是知道创宇抗D保的思路。


WitAwards 2017「公众投票」通道现已开启

WitAwards年度互联网安全评选活动由国内信息安全新媒体领导者FreeBuf.COM主办。评选周期历时3个月,评委包括顶尖行业专家、行业媒体和安全从业者,颁奖盛典将在FreeBuf 互联网安全创新大会(FIT 2018)举办。「FIT 2018大会官网

15094363996316.jpg

WitAwards 2017互联网安全年度评选,旨在发掘全年卓越的安全产品和杰出人物;给予在2017年为安全行业做出贡献的个人、团队及产品以掌声和肯定。

历时55天,近500项申报及提名,经WIT组委会严格审核,共预录取71席入围项目。FreeBuf现邀请每一位安全领域从业者、爱好者,共同选出安全领域Top Icon,一起见证年度安全盛誉的诞生,为数万名从业者和数百款安全产品的努力与创新喝彩!

27abee774abc4448f8b7312947ffd818.png

WitAwards 2017公众投票入口:WIT投票进行中

除此之外,我们还送上对话WitAdwards 2017专家评委系列人物专访:

默安科技联合创始人兼CTO云舒 探访普华永道高级经理刘广坤 独角兽安全团队创始人杨卿 君源创投管理合伙人金湘宇(Nuke)

* FreeBuf官方出品,作者:Sphinx

未经允许不得转载:安全路透社 » WitAwards 2017“年度云安全产品”参评巡礼 | 知道创宇抗D保产品解读

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册