近年來(lái),隨著國(guó)內(nèi)互聯(lián)網(wǎng)市場(chǎng)巨頭壟斷下的流量競(jìng)爭(zhēng)愈演愈激烈�,越來(lái)越多的企業(yè)被迫“出海”,尤其是電商和游戲行業(yè)���。然而海外業(yè)務(wù)的快速擴(kuò)張往往也伴隨著勢(shì)不可擋的黑暗勢(shì)力——惡意DDoS攻擊�����,頻繁遭受DDoS攻擊就會(huì)讓本該為用戶提供服務(wù)的資源忙于應(yīng)付攻擊者的請(qǐng)求����,導(dǎo)致服務(wù)端瞬間失去服務(wù)能力���,難以對(duì)正常用戶的請(qǐng)求��。
為幫助更多的出海企業(yè)有效解決DDoS攻擊問(wèn)題���,在10月23日TIC大會(huì)的技術(shù)分論壇上,UCloud優(yōu)刻得安全產(chǎn)品經(jīng)理馮業(yè)浩圍繞DDoS攻擊防御方面的技術(shù)和安全產(chǎn)品進(jìn)行了解析��,并分享了幾個(gè)真實(shí)的攻擊防護(hù)案例�,供大家參考借鑒。
DDoS攻擊背后并不簡(jiǎn)單
眾所周知�����,DDoS攻擊是一種非常普遍且最為有效的網(wǎng)絡(luò)攻擊方式����。法國(guó)社會(huì)學(xué)家涂爾干曾經(jīng)說(shuō)過(guò):“一個(gè)行業(yè)的先進(jìn)程度與其行業(yè)的細(xì)分程度成正比��。”從這個(gè)角度看����,DDoS行業(yè)已經(jīng)是一個(gè)高度發(fā)達(dá)����、高度發(fā)展的行業(yè)。
DDoS攻擊行業(yè)涉及到多個(gè)利益環(huán)節(jié)�,首先,會(huì)有一個(gè)軟件開發(fā)團(tuán)隊(duì)專門用來(lái)負(fù)責(zé)寫木馬��,木馬開發(fā)完成之后��,將會(huì)交由木馬的運(yùn)營(yíng)團(tuán)隊(duì)和銷售團(tuán)隊(duì)進(jìn)行銷售�����。
而僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者將會(huì)拿到這些木馬并且進(jìn)行掛馬傳播��,最終使客戶的主機(jī)和電腦受到入侵���,成為僵尸網(wǎng)絡(luò)中的一員�,而僵尸網(wǎng)絡(luò)最終也會(huì)成為DDoS攻擊的一個(gè)資源的提供者。另外有一波軟件開發(fā)人員�����,他們用來(lái)開發(fā)DDoS攻擊平臺(tái)�,DDoS攻擊平臺(tái)開發(fā)完成之后�����,將會(huì)有DDoS開發(fā)平臺(tái)的銷售去向客戶進(jìn)行銷售����。而客戶最終只需要打開一個(gè)網(wǎng)頁(yè),輸入攻擊的域名或者輸入一個(gè)IP地址�����,就可以開展一次攻擊��。
從這個(gè)角度大家可以看到DDoS攻擊并不是一項(xiàng)技術(shù)門檻非常高的攻擊手段����,惡意競(jìng)爭(zhēng)者只需要付費(fèi)即可輕松展開一次DDoS攻擊,不需要任何的技術(shù)學(xué)習(xí)和門檻�����。
人潮熙熙,皆為利來(lái);人潮攘攘�,皆為利往。DDoS攻擊行業(yè)背后的利潤(rùn)巨大�����,例如�,基本每個(gè)游戲上線的時(shí)候都會(huì)遭受幾次DDoS攻擊,而DDoS攻擊的來(lái)源可能是勒索組織����,也可能是競(jìng)爭(zhēng)對(duì)手。因此�,企業(yè)要想出海好好發(fā)展業(yè)務(wù),必須將DDoS攻擊防御作為業(yè)務(wù)考慮中的關(guān)鍵一環(huán)����。
防御DDoS攻擊的兩種方式
但企業(yè)在DDoS攻擊防御的同時(shí),也將面臨兩個(gè)問(wèn)題:接入防護(hù)后的代理模式將攻擊流量引導(dǎo)至第三方�����,不可避免增加延時(shí); 防護(hù)能力越強(qiáng)防護(hù)成本越高,回源帶寬也是一筆很高的成本���。針對(duì)企業(yè)面臨的這兩個(gè)痛點(diǎn)�����,馮業(yè)浩接下來(lái)重點(diǎn)介紹了UCloud優(yōu)刻得在 DDoS攻擊防護(hù)方面做了哪些工作�。
DDoS攻擊一般來(lái)說(shuō)可以分成兩大類��,一類是協(xié)議攻擊��,一類是流量攻擊��。所謂協(xié)議攻擊����,最常見的是syn flood攻擊��,即攻擊者通過(guò)發(fā)送大量的syn包建立大量半開連接�,耗盡用戶主機(jī)的資源,從而導(dǎo)致用戶的主機(jī)崩潰�,不能夠正常對(duì)外提供服務(wù);流量攻擊,就是采用大流量的攻擊�,占滿用戶的帶寬,使得用戶的正常流量被丟棄。舉一個(gè)比較典型的例子:2018年GitHub遭遇到了史上最嚴(yán)重的一次DDoS攻擊�����,其峰值帶寬高達(dá)1.35T���,這次攻擊就是黑客利用了memcached的反射漏洞,發(fā)起了一次反射的流量攻擊��。
而防御DDoS攻擊一般來(lái)說(shuō)有兩種方式,一種方式就是在業(yè)務(wù)機(jī)房邊緣去做流量清洗���,此時(shí)業(yè)務(wù)機(jī)房需要具備足夠大的上聯(lián)帶寬,將正常流量和攻擊流量全部收進(jìn)來(lái)之后��,在業(yè)務(wù)機(jī)房的邊緣還需要有一套分析設(shè)備和一套清洗設(shè)備��,分析設(shè)備通過(guò)對(duì)流量的鏡像分析��,可以分析出哪個(gè)IP被攻擊了;而清洗設(shè)備一旦發(fā)現(xiàn)哪個(gè)IP被攻擊之后��,就會(huì)發(fā)起流量的牽引�,將被攻擊的IP的所有的流量引入清洗模塊;清洗模塊根據(jù)攻擊的特征篩選掉攻擊的流量,從而將正常的流量下放至客戶的源站����。
第二種方式則是用專門的高防機(jī)房���,比如說(shuō)客戶的業(yè)務(wù)需要部署在自己的業(yè)務(wù)機(jī)房?jī)?nèi),而將入口放在高防機(jī)房中���。高防機(jī)房通常都有足夠大的上聯(lián)帶寬�,會(huì)對(duì)流量進(jìn)行清洗�����,從而將正常的流量通過(guò)公網(wǎng)回源至用戶的源站��。
第一種方式要求業(yè)務(wù)機(jī)房有足夠大的上聯(lián)帶寬�,同時(shí)每個(gè)業(yè)務(wù)機(jī)房都必須有足夠強(qiáng)大的清洗和分析設(shè)備,這個(gè)條件對(duì)于很多企業(yè)來(lái)說(shuō)還是比較苛刻的���。而如果采用第二種專門的高防機(jī)房的方式,由于它是一種代理的模式�,因此不可避免會(huì)引入額外的網(wǎng)絡(luò)延時(shí)。此外回源機(jī)房也是需要一部分的外網(wǎng)帶寬的�,這部分成本也是相當(dāng)大的。
總的來(lái)說(shuō)���,一個(gè)高防防護(hù)的IP地址����,它的延時(shí)和它的防護(hù)能力,是魚和熊掌不可兼得的��。防護(hù)等級(jí)越高��,一般來(lái)說(shuō)��,延時(shí)會(huì)有一些比較明顯的影響�����。因此企業(yè)根據(jù)可能被攻擊的量級(jí)來(lái)選擇合適的DDoS攻擊防護(hù)方式才是最好的選擇��。
UCloud優(yōu)刻得基于全球的流量分級(jí)防護(hù)方案
對(duì)此�,UCloud優(yōu)刻得推出了一套基于全球清洗能力的全球分級(jí)解決方案。在攻擊的量級(jí)在20G以下的時(shí)候�����,推薦使用本地清洗;在70G以下的時(shí)候�,推薦使用高防EIP;而如果攻擊流量達(dá)到70G以上,則推薦使用分布式高防����,即UCloud優(yōu)刻得亞太高防和Anycast全球清洗����。
本地清洗產(chǎn)品的防護(hù)閾值上限為20G����,雖然它的防護(hù)閾值不是很高,但是可以抵御小規(guī)模的DDoS攻擊�,且好處是用戶一旦購(gòu)買該服務(wù)后,其賬戶下所有的EIP
都能夠享受到相關(guān)的DDoS防御的服務(wù)���。此外EIP的延時(shí)不會(huì)有任何的影響����,可以像使用正常的EIP一樣使用它���。
同時(shí)���,UCloud優(yōu)刻得在首爾��、胡志明��、曼谷和雅加達(dá)等地域支持分線路的封堵���。根據(jù)統(tǒng)計(jì),90%的攻擊來(lái)源都是美國(guó)��、俄羅斯以及中國(guó)��,因此在這些小地域進(jìn)行分線路的檢測(cè)和封堵����,是可以把大部分的攻擊直接阻斷,而不影響本地的覆蓋效果�。目前該產(chǎn)品已在北美、歐洲和亞太的主要節(jié)點(diǎn)全部上線�。
高防EIP則是引入了專門的線路進(jìn)行高防的清洗,這條線路的帶寬非常大�����。因此足夠我們將所有的攻擊流量和正常流量引入�����。同時(shí)這條線路還可以保證訪問(wèn)效果和普通的IP地址相比沒(méi)有明顯的差別����。目前這個(gè)產(chǎn)品已經(jīng)上線了臺(tái)北,擁有70G的防護(hù)能力���,它的延時(shí)卻等同于普通的彈性IP�����,使用體驗(yàn)與普通的EIP一致�����。
如果想要更大的防護(hù)能力�,那么UCloud優(yōu)刻得亞太高防和Anycast全球清洗將是不錯(cuò)的選擇。
亞太高防采用的思路就是用單獨(dú)的高防機(jī)房進(jìn)行清洗之后����,通過(guò)公網(wǎng)進(jìn)行回源。目前我們的高防機(jī)房位于香港�����,因此它覆蓋東南亞的效果相當(dāng)不錯(cuò)�����,從香港去覆蓋臺(tái)北��、新加坡���、越南���、首爾、雅加達(dá)等地域最高的延時(shí)也不會(huì)超過(guò)60毫秒���。此外從用戶體驗(yàn)上��,也可以像普通EIP一樣直接綁定在用戶的資源上�,只會(huì)增加一點(diǎn)額外的延時(shí)�。相對(duì)于普通的高防產(chǎn)品,亞太高防沒(méi)有域名和端口的限制���,也沒(méi)有QPS的數(shù)量限制����,因此非常適合用于大帶寬的DDoS攻擊相關(guān)的防御���。
AnycastClean全球清洗采用了另外一種思路�,就是分治法�,分治就是分而治之。UCloud優(yōu)刻得在全球八大入口點(diǎn)宣告了同樣的高防地址���,就是我們的 Anycast EIP ��,這樣所有的攻擊流量和正常業(yè)務(wù)流量都會(huì)通過(guò)這八個(gè)入口點(diǎn)分別就近流入����,而攻擊流量會(huì)在這8個(gè)入口點(diǎn)分別進(jìn)行清洗,清洗完成之后����,公網(wǎng)正常的業(yè)務(wù)流量將會(huì)通過(guò)UCloud優(yōu)刻得的全球骨干網(wǎng)進(jìn)行回源,送到最終的源站�����。Anycast全球清洗可以說(shuō)是集成了UCloud優(yōu)刻得海外所有的防護(hù)能力�����,因此它的防護(hù)能力是比較強(qiáng)的�����,目前防護(hù)上限為500G�,未來(lái)目標(biāo)是計(jì)劃升級(jí)到800G。AnycastClean不僅擁有較好的防護(hù)效果,同時(shí)它的回源采用了UCloud優(yōu)刻得骨干網(wǎng)����,因此回源是比較穩(wěn)定的����。此外,AnycastClean采用了時(shí)長(zhǎng)計(jì)費(fèi)的方式��,據(jù)統(tǒng)計(jì)90%的DDoS攻擊時(shí)長(zhǎng)都在一小時(shí)以下�,而AnycastClean采用在攻擊的時(shí)候才會(huì)計(jì)費(fèi),不攻擊的時(shí)候不計(jì)費(fèi)這種方式����,一個(gè)小時(shí)的售價(jià)在5000塊左右。通過(guò)這種方式企業(yè)就可以更低的成本去有效抵御高帶寬的DDoS攻擊����。
分享一個(gè)典型案例
2019 年 12 月下旬,某游戲公司突然遭到 70G 流量的 DDoS 攻擊��,并基于前期購(gòu)買的 UCloud 優(yōu)刻得高防服務(wù)抵抗住了這一波攻擊��。游戲公司負(fù)責(zé)人 G 先生本以為這就是一次小打小鬧�����,黑客方應(yīng)該已經(jīng)知難而退。
沒(méi)有料到的是���,這僅僅是一次攻擊的前奏曲�����。當(dāng)天晚上��,G 先生便收到了來(lái)自黑客組織的勒索消息�。黑客方聲稱來(lái)自 A 記���,A 記是一個(gè)臭名昭著的國(guó)際黑客組織����,從 2018 年起便陸續(xù)被各大安全廠商曝光 DDoS 勒索的行徑���。
在 G 先生與黑客的溝通過(guò)程中�����,黑客聲稱第一次的 70G DDoS 攻擊只是一個(gè)引子����,如若 G 先生不妥協(xié),將持續(xù)發(fā)動(dòng)更大規(guī)模的攻擊���。
這也是 A 記黑客組織一貫的攻擊套路��,通常先進(jìn)行小規(guī)模攻擊試探,并威脅企業(yè)支付“贖金”���,如果被拒便會(huì)發(fā)起更為猛烈的大流量攻擊��,以此脅迫企業(yè)就范���。黑客與 G 先生談崩以后,惱羞成怒��,在當(dāng)天下午 2 點(diǎn)鐘左右便開始發(fā)動(dòng)猛烈的攻勢(shì)����。攻擊流量瞬時(shí)達(dá)到了近 300G 的峰值!
在游戲公司遭受第一波小規(guī)模 DDoS 攻擊時(shí),UCloud優(yōu)刻得 安全中心便已介入了解該事件���。在了解到勒索情況后�,由于無(wú)法預(yù)估黑客具體的攻擊數(shù)字,UCloud優(yōu)刻得 和用戶溝通后建議采用彈性防護(hù)措施布防���,并先后采取高防 IP 分配�����、特殊轉(zhuǎn)發(fā)規(guī)則配置����、精細(xì)化防護(hù)策略添加等手段����,實(shí)現(xiàn)隱藏用戶源站 IP 的效果。
當(dāng)黑客開始進(jìn)一步大規(guī)模攻擊時(shí)����,所有的攻擊量及攻擊手段全部被轉(zhuǎn)移至 UCloud優(yōu)刻得 云端高防 IP 站點(diǎn),該高防站點(diǎn)設(shè)置攻擊上限為 1T�,可輕松實(shí)現(xiàn) 300G 的攻擊量抵御。最終�,成功逼退 A 記黑客組織。
道高一尺�,魔高一丈,為了保證用戶的業(yè)務(wù)更加安全穩(wěn)定的“出海航行“��,UCloud優(yōu)刻得還將進(jìn)一步提升DDoS防御能力,同時(shí)保證DDoS高防IP具備更好的訪問(wèn)質(zhì)量����。例如UCloud優(yōu)刻得即將推出的基于CN2線路的香港加速高防,擁有50G的CN2加速線路����,同時(shí)在國(guó)際方向擁有400G的保護(hù);另外計(jì)劃在亞太繼續(xù)建設(shè)高防,在年底覆蓋亞太所有的節(jié)點(diǎn)�,形成全球防御能力高達(dá)37T的高防節(jié)點(diǎn)���。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議�����,請(qǐng)謹(jǐn)慎對(duì)待���。投資者據(jù)此操作�����,風(fēng)險(xiǎn)自擔(dān)�。
京公網(wǎng)安備 11010502041587號(hào)