本文是WOT2016互聯(lián)網(wǎng)運(yùn)維與開發(fā)者大會(huì)的現(xiàn)場干貨，  新一屆主題為WOT2016企業(yè)安全技術(shù)峰會(huì)將在2016年6月24日-25日于北京珠三角JW萬豪酒店隆重召開！

【嘉賓簡介】

劉紫千博士，CISSP，加州大學(xué)訪問學(xué)者，中國通信企業(yè)協(xié)會(huì)通信網(wǎng)絡(luò)安全專業(yè)委員會(huì)委員。現(xiàn)為中國電信網(wǎng)絡(luò)安全產(chǎn)品運(yùn)營中心CEO兼首席架構(gòu)師，“云堤”團(tuán)隊(duì)負(fù)責(zé)人。曾任中國電信ChinaNet網(wǎng)絡(luò)負(fù)責(zé)人、DNS系統(tǒng)負(fù)責(zé)人和集團(tuán)SOC主任。

WOT2016互聯(lián)網(wǎng)運(yùn)維與開發(fā)者大會(huì)的運(yùn)維安全專場的演講中，中國電信網(wǎng)絡(luò)安全運(yùn)營中心CEO劉紫千做了關(guān)于抗“2D(DDoS + DNS)”的精彩演講，他表示：“似乎在運(yùn)維角度，大家考慮更多的是架構(gòu)，是高并發(fā)，使用什么樣的自動(dòng)化運(yùn)維的工具去解決面對海量服務(wù)器的維護(hù)的問題。但是還是有一些問題，我們似乎是回避不了的，比如說安全的問題。”

DDoS + DNS

DNS通道是DDoS主控與被控聯(lián)系的主要方式之一;

DNS協(xié)議是DDoS攻擊的主要利用協(xié)議之一;

DNS節(jié)點(diǎn)直接或間接成為DDoS攻擊目標(biāo);

DNS數(shù)據(jù)十分有助于發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的活動(dòng);

DNS解析是DDoS防護(hù)中牽引生效的主要手段之一。

DDoS攻擊

有些安全問題不是通過企業(yè)自身或者運(yùn)維團(tuán)隊(duì)自身能夠搞定的事情，DDoS攻擊就是其中之一。談到DDoS的范疇，劉老師認(rèn)為：“DDoS攻擊限定于資源消耗型的攻擊，無論這種資源消耗型是對你帶寬的占用，還是對于你計(jì)算資源的耗盡。其實(shí)，DDoS攻擊都是在‘局部’造成壓倒性資源消耗。”

上圖展示的是4月9日當(dāng)日24小時(shí)江蘇省的攻擊，To指站在中國范圍內(nèi)，中國電信可監(jiān)控的網(wǎng)絡(luò)范圍有多少流量去了江蘇省。圖中顏色越紅的區(qū)域表示從那個(gè)省發(fā)出的攻擊流量越多。From是指站在江蘇省的角度，從江蘇省發(fā)起了多少攻擊流量打到其他省。下面我們來看看具體的地域分布：

這也是4月9日當(dāng)天24小時(shí)的圖。左圖，我們可以看到?jīng)]一個(gè)省遭受的攻擊，顏色表示嚴(yán)重程度，顏色越深越紅表示遭受的攻擊越多。右圖表示從這些省有多少流量打出來，顏色越紅表示從這個(gè)省發(fā)出的DDoS攻擊流量越多。從圖中，我們可以看出，遭受攻擊最多的是東南沿海，以及北京、遼寧等地經(jīng)濟(jì)比較發(fā)達(dá)的省。因?yàn)檫@些省有很多IDC的資源，他的互聯(lián)網(wǎng)接近國際出口和一些互聯(lián)互通的出口。但是比較有意思的是發(fā)起攻擊的這些地方，其實(shí)你會(huì)看到一些非常非常生僻的省，它的顏色大家覺得它在互聯(lián)網(wǎng)經(jīng)濟(jì)上不是很繁榮的一些省，比如像甘肅、新疆的顏色也很深，所以這張圖對比起來，就會(huì)感覺到其實(shí)我們要面對的這些攻擊發(fā)起點(diǎn)，真的是非常非常的分散的。

DDoS到底從哪里來

DDoS到底從哪里來?為了回答這個(gè)問題，劉老師為我們展示了下圖：

圖中，按照攻擊的發(fā)起點(diǎn)進(jìn)行劃分，橙色代表的國際方向，藍(lán)色代表的國內(nèi)其他運(yùn)營商，聯(lián)通、鐵通、移動(dòng)教育網(wǎng)，以及紫色代表的中國電信，發(fā)起的攻擊流量，做了三個(gè)緯度的刻劃。從2013年到2015年，我們可以看到，假如中國電信網(wǎng)內(nèi)的一個(gè)IP遭受攻擊，那么基本上有六至七成的攻擊流量不是從中國電信的網(wǎng)上發(fā)起的，也就是說可能會(huì)有橙色代表的三成攻擊流量是從其他方向打過來的，還有大概兩到三成的攻擊流量是從國際發(fā)起的。

劉老師表示，站在電信的全網(wǎng)角度，其實(shí)所有大家知道的著名的大的互聯(lián)網(wǎng)公司以及大的云服務(wù)提供商，都在使用云堤的防DDOS防護(hù)服務(wù)的一個(gè)API，來去幫他們?nèi)サ謸醭笠?guī)模的流量型攻擊。當(dāng)一個(gè)攻擊過來的時(shí)候，云堤會(huì)賦予它一種能力，就是你可以去限制從某個(gè)方向打過來的流量，再妙擊，我們把它叫壓制掉。大家可以去想像，現(xiàn)在很多大的網(wǎng)站都在使用CDN。那么CDN的技術(shù)其實(shí)就是就近覆蓋。如果電信的一個(gè)IP遭受DDOS攻擊，從正常的用戶訪問行為上，他不應(yīng)該有來自大量聯(lián)通過來的流量。因?yàn)檎５腄NS選擇也好，BGP的選錄也好，這個(gè)流量應(yīng)該是直接去訪問聯(lián)通的IP，聯(lián)通的用戶應(yīng)該訪問聯(lián)通的IP，不應(yīng)該訪問電信的。如果有這個(gè)方向大量的聯(lián)通過來的訪問電信IP的流向，那么它極有可能是一個(gè)高概率的惡意訪問。所以，可以把那個(gè)方向過來的流量全部屏蔽掉。

當(dāng)用戶在使用云堤去解決跨網(wǎng)不合理的訪問功能時(shí)，紫色區(qū)域顯示的就是電信網(wǎng)內(nèi)的攻擊流量似乎占比就會(huì)大。這張圖背后的含義，其實(shí)是說數(shù)據(jù)是有一定的變化的。那變化是因?yàn)?，有更多的用戶在使用這種分方向的流量壓制云堤獨(dú)特的優(yōu)勢。

DDoS攻擊規(guī)模如洪水猛獸

DDoS攻擊趨勢圖

這張趨勢圖說明了從2013年1月到2016年3月，三年多的時(shí)間里，每一個(gè)月云堤所看到的在中國電信的互聯(lián)網(wǎng)上，當(dāng)月累積的攻擊總量，每一個(gè)柱代表，在這個(gè)月我們監(jiān)測到全網(wǎng)DDOS攻擊的總流量，縱坐標(biāo)是T字節(jié)，是一個(gè)絕對值。所以這個(gè)圖其實(shí)告訴我們，雖然每個(gè)月似乎全網(wǎng)的DDOS流量高高低低，有起有浮，但是它的總體趨勢還是越來越大的。我們的峰值出現(xiàn)在15年的7月份，當(dāng)月超過三萬三千TB。我們可以看到，2016年3月份，這個(gè)峰值也非常接近歷史峰值。那么，三種顏色其實(shí)和之前看到的餅圖代表的物理含義是一樣的。所以我們可以看到說，基本上這個(gè)攻擊如果按照三個(gè)緯度來說，有一點(diǎn)三分天下的感覺。

單次攻擊峰值規(guī)模到底有多大?

在上圖中，劉老師比較了連續(xù)三個(gè)半年的數(shù)字。他監(jiān)測到的DDOS攻擊的峰值，按照橫坐標(biāo)所示的六個(gè)區(qū)間，做了歸納。也就是說，在這個(gè)坐標(biāo)軸最右側(cè)大于100GBPS的單次攻擊。我們在這六個(gè)月里，我們看到了多少次峰值大于100G的攻擊，去除以分母，這六個(gè)月監(jiān)測到的所有的DDOS攻擊，大于100G的攻擊的占比。請大家去注意一下，我們最右側(cè)這張圖，前面好像似乎，看著這個(gè)比例高高低低差不多，但是對那些單次攻擊峰值超過100Gbps的這些DDOS攻擊，我們會(huì)看到15年的上半年、下半年比14年的百分之比基本上要高出兩到三個(gè)百分點(diǎn)。這其實(shí)已經(jīng)是非常非常明顯的一個(gè)差別了。

在2015年上半年，電信網(wǎng)內(nèi)監(jiān)測到的單次攻擊超過200G的有三次，平均一天超過100G的也有19次。那到了下半年，這個(gè)指標(biāo)幾乎要翻番，就是說到15年的下半年，超過100G到200G峰值的，一天差不多31次，那超過200G的攻擊峰值一天也有六次，所以大家可以想像說什么樣的用戶能夠去抵擋類似這樣規(guī)模的DDOS攻擊呢?其實(shí)現(xiàn)在除了BAT體量的公司，任何一家SP，就不用提一般的政企類的客戶，他其實(shí)是沒有能力去訪的，如果真是被攻了這么大的體量。即便是現(xiàn)在BAT體量的公司，他有足夠的資金在單點(diǎn)購買足夠大的帶寬，也需要去衡量他的運(yùn)維成本。也就是他為了吸納這些流量，他去付出的帶寬成本，他去付出的計(jì)算資源，以及他為吸納這些流量，造成的他在那個(gè)節(jié)點(diǎn)，整體用戶的影響。

DDoS攻擊應(yīng)對

回顧DDoS的歷程，從PC、IDC到云和智能設(shè)備，DDoS攻擊的發(fā)起點(diǎn)也在發(fā)生變化。我們該如何應(yīng)對DDoS攻擊呢?劉老師建議從以下三點(diǎn)出發(fā)：檢測、防護(hù)、溯源。即是先要看得見攻擊，然后防住攻擊，再去追查究竟是誰在攻擊，形成一個(gè)閉環(huán)。

關(guān)于檢測：通過基于Netflow的方式，在擁有全網(wǎng)Netflow數(shù)據(jù)的時(shí)候，通過云堤可以清楚的告訴客戶，或者運(yùn)維團(tuán)隊(duì)，現(xiàn)在企業(yè)所面臨的是多

大的攻擊，面對的是貓，是老虎，還是龐然大物。這位后期的攻擊防護(hù)是處置的帶寬資源以及計(jì)算資源，是一個(gè)非常直接的測度。

關(guān)于防護(hù)：主要有兩種方式，一種是壓制，另一種是清洗。

◆壓制：有的運(yùn)維人員可能會(huì)說，壓制是一種黑洞。其實(shí)，壓制能做的比黑洞更多。因?yàn)樵频陶{(diào)動(dòng)的是中國電信整個(gè)骨干網(wǎng)的邊緣路由器的防護(hù)，所以它可以讓運(yùn)維人員有選擇的丟棄國際、國內(nèi)互聯(lián)互通、單一運(yùn)營商內(nèi)、IDC等某個(gè)方向的流量，這是云堤一種獨(dú)特的能力，它可以區(qū)分方向的流量壓制。這樣做的優(yōu)勢是，可以再路由器性能穩(wěn)定前提下，防護(hù)能力無上限。

◆清洗：清洗是國內(nèi)的概念，這個(gè)概念在國外叫mitigation，意思是緩解。其實(shí)是說，在某種程度上會(huì)有流量損失和特征損失的。但是當(dāng)一個(gè)已經(jīng)被打癱了的網(wǎng)站，因?yàn)榍逑礃I(yè)務(wù)的疊加，會(huì)在一定程度上讓網(wǎng)站攻擊情況得到緩解。云堤的分布式清洗中心，覆蓋全網(wǎng)骨干26個(gè)清洗節(jié)點(diǎn)+數(shù)百臺(tái)核心路由器。具有全網(wǎng)BGP的定制化能力，實(shí)現(xiàn)分布式的攻擊，分布式的處置，通過專用攻擊牽引帶寬VS業(yè)務(wù)混跑。

關(guān)于溯源：首先要明白什么是源，溯什么源?源有兩類：第一類是攻擊流量從哪里發(fā)出，攻擊發(fā)起的實(shí)際載體是什么即肉雞或者叫受控端。第二類是主控，控制源——C&C，明白到底是誰在打你。云堤是做第一類的，因?yàn)橹袊娦庞腥W(wǎng)的Netflow數(shù)據(jù)，清楚每一個(gè)流量是從路由器哪個(gè)接口進(jìn)入的。云堤根本不用戶體會(huì)攻擊發(fā)起采用的是什么源IP，現(xiàn)在所有在云端做的或者叫進(jìn)目的端防護(hù)的所謂的溯源，去溯那個(gè)攻擊發(fā)起源，基本上都是基于IP—Geo mapping，其實(shí)那個(gè)是不那么準(zhǔn)確的。而云堤的方式是，這個(gè)流量是從路由器的接口進(jìn)來，這個(gè)接口所對的就是某個(gè)D的，某個(gè)IDC。那我不管你的IP變幻是美國的，是英國的，是法國的，加拿大的，我都知道你就是從這個(gè)IDC出來的。

演講最后，劉老師表示，抗D的坑，罄竹難書……比如：檢測時(shí)出現(xiàn)漏報(bào)、誤報(bào)以及遲報(bào)等情況。