網路安全始終是人們討論的熱點話題,對於網際網路企業而言:無安全、無生存。
網易雲易盾的產品架構師高洪亮
在攻擊日益氾濫的今天,如何保障企業安全成為了大家研究的熱點。4月14日架構和運維技術高峰論壇上,來自網易雲易盾的產品架構師高洪亮就此問題,做了關於企業網路安全威脅分析,以及網路安全服務SaaS服務實踐的分享。
網路安全現狀
當前的安全威脅問題歸類為三方面:服務穩定性安全、資料安全和運營安全。
一是服務穩定可靠性:一方面取決於資訊系統自身的穩定可靠性,特別是資訊系統雲化之後,影響因素增多。如:虛擬機器效能、虛擬機器的遷移機制、網路鏈路冗餘、資訊系統災備機制等;另外一方面來自於外部的攻擊的影響,如DDoS攻擊,DNS域名劫持等,兩方面因素綜合決定了系統服務的穩定可靠性。
二是資料安全:資料安全問題主要集中在資料的洩露和資料的篡改兩個方面,近期發生的Facebook使用者資料洩露問題,體現了資料洩露的危害與嚴重性。事件原因主要是與其他公司合作,對於資料銷燬環節未加以驗證,導致了合作方洩露資料的後果,給Facebook帶來了史無前例的企業生存問題,引起更多網際網路企業對資料保護的重視。此事也充分體現了企業安全的“三分技術、七分管理”的道理,除了內部管理機制或人員問題導致的資料洩露問題,外部的網路攻擊帶來的危害也是不容忽視。常見的WEB應用攻擊、系統級別的漏洞利用,以及愈加複雜的具有針對性的APT攻擊等,都給企業的生存、運營,甚至國家安全帶來嚴重危害。
三是運營安全:釣魚網站、山寨應用、垃圾內容,這些問題嚴重影響了使用者的體驗,危及使用者的利益,給企業造成聲譽危害及盈利的損害。
DDoS攻擊現狀
從統計的資料中可以看到DDoS攻擊的幾個特點:
1. 南方遭受的DDoS攻擊較多,其中浙江省遭受的攻擊最多;
2. 電信線路DDoS攻擊規模較大,動輒達到TB級別;
3. 攻擊的時長上,三分之二的DDoS攻擊持續時間小於10分鐘,而持續時間在10分鐘至1小時的攻擊佔比約30.5%,不到0.1%的攻擊時長在一個小時之上。
為什麼DDoS攻擊如此猖獗?
第一, 攻擊利益鏈成熟,攻擊成本越來越低。DDoS攻擊地下產業鏈可以提供一整套的完善的服務,包含各種套餐,其中一個月幾十元就可以購買到DDoS攻擊服務。
第二, 攻擊流量規模逐年增大一方面是由於個人、企業的頻寬都在增加,另一方面智慧家居、物聯網裝置的大量使用,薄弱的安全防護給力攻擊者更多可利用的機會,容易形成大規模的攻擊裝置叢集。
第三, 難溯源。因為從攻擊指令發出端,到實際攻擊的伺服器,中間可能經過了數道跳轉,再加上IP偽造等技術,查到攻擊源頭非常困難。對於攻擊者來說,現在基本上就是有恃無恐。想做到“溯源追兇”,需要投入極高的成本,並且需要經驗豐富的攻防專家或團隊來完成。對於被攻擊者來說,基本上只能被動防護。
故事解析:Memcache反射性攻擊
故事主角——Memcache伺服器。本身這個伺服器是企業的應用系統對於資料訪問的一些內容的快取,以加快響應速度。
從管理角度出發,Memcache伺服器作為內網應用的伺服器,不應該暴露於公網之中。但還是有很多公司的運維管理者為了運維的方便,透過公網進行管理,這是利用Memcache進行DDoS攻擊的基本前提。
另一個關鍵因素是Memcache伺服器,不存在身份驗證的環節,任何人掃描到IP和埠,就可以訪問。完成攻擊的最核心的因素,是memcache訪問的協議,請求memcache伺服器之後,回覆的資料的大小遠高於請求的資料大小,形成了放大的效果,攻擊者利用memcache伺服器,偽造源IP,最後形成了反射放大型的DDoS攻擊,攻擊量達到5W倍,這樣,一個超大規模的DDoS攻擊方法就形成了,典型的事件是:GitHub遭受了超過T級的memcache伺服器的反射放大型DDoS攻擊。
值得注意的是,Memcache攻擊,規模如此之大,但是它只是新興的一種攻擊手段。從DDoS的全部資料來看,它的佔比不到百分之一。更多的還是一些已經的攻擊手段,比如DNS反射性攻擊、SSDP攻擊(是利用物聯網裝置的1900埠進行反射性攻擊)。
如何解決Memcache反射性攻擊?
從Memcache伺服器的規模分佈來看,國內有超過2W臺的可利用的Memcache伺服器,全球有超過10W臺的Memcache伺服器。從影響規模來看,解決Memcache伺服器反射性攻擊問題已經刻不容緩了。
在分享中網易雲易盾的產品架構師高洪亮建議,從預防階段來看,需要Memcache伺服器的運維管理者,關閉被利用的11211埠,將memcache伺服器放置內網之中以避免被利用。但是,這個也不可能完全杜絕此類事件的發生,畢竟有人為因素在,網際網路上還是會存在可被利用的裝置。那麼對於對於已經形成的攻擊,受攻擊者可以利用雲清洗服務進行防護。
DDoS攻擊分類及防護情況
攻擊分類:
DDoS攻擊的分型,從效果上來看,可以分為兩種。第一種,消耗頻寬資源的。典型的就是反射性的流量攻擊。
第二種,就是耗盡伺服器的資源的:伺服器的連線數、伺服器的CPU、提供域名解析的DNS伺服器。都屬於資源,透過佔用伺服器資源,使伺服器無法對外提供服務,從而達到攻擊效果。典型的如CC攻擊,或者對DNS伺服器,大規模查詢不存在的網址以消耗DNS伺服器的資源,從而形成間接的對伺服器的攻擊。
防護情況:
對於DDoS攻擊,國內目前來看,防護手段不外乎三種:本地化部署安全裝置、雲端流量清洗、移動運營商的清洗系統及路由黑洞策略。
三種防護方法,從投入成本,適用場景,來看均有所不同。所以使用者還需要根據自身的情況來選擇合適的防護方案。
網易雲易盾是如何解決這一難題的?
網易雲抗D三部曲:
1. 網易在電信、聯通、移動大區入口部署了高防清洗叢集;
2. 高防客戶的業務流量,先引流到網易雲高防機房進行清洗防護;
3. 清洗完成後,使用者的業務流量,可透過高防IP轉發回客戶源站伺服器。
接入雲抗D之前,使用者是直接訪問服務系統。接入雲抗D之後,訪問資料先到易盾的雲清洗的高防機房,流量經過清洗之後,高防機房將正常的業務流量再回傳給實際的伺服器。
這裡有兩個前提,首先防護的業務是透過域名來訪問的,第二,就是上了高防業務之後,使用者系統實際的IP要對外隱藏,避免攻擊方繞過雲清洗系統直接攻擊IP。
在實際的防護過程中,流量要經過數道清洗。在檢測的方式上,主要是透過閾值和資料特徵以及行為分析等演算法模型來進行檢測,如:客戶端真實性驗證等、黑名單、ACL管控、流量限速的方式。
網易雲易盾雲抗D服務,對於四層攻擊、七層攻擊,能夠進行全面的檢測和防護。在策略配置上,預置有多套模板,可以根據業務具體情況來進行針對性的配置,並且支援嚮導性配置。在業務流量狀態展示上,支援多種維度的圖形介面展示。
在整體的防護能力上,目前網易雲易盾,支援三線運營商的業務防護。提供1T的超大頻寬防護,SLA可用性達到99.9%。
業務接入抗D後,延遲時間在100MS以內。
業務接入上,我們支援網易雲客戶和非網易雲客戶,並且只需5分鐘就可以完成接入。一般分為四步:
1. 在易盾控制檯購買高防IP,選擇聯通/電信/移動線路;
2. 對高防IP配置轉發規則,將清洗後的流量轉發到源站IP;
3. 配置防護策略;
4. 切換業務DNS指向高防IP。
網易雲易盾領先在哪裡?
DDoS防護:可對畸形包進行有效攔截,抵禦SYN Flood、ACK Flood、ICMPFlood、UDP Flood、NTP Flood 、SSDPFlood、DNS Flood等4層攻擊。
CC防護:透過JS驗證、瀏覽器指紋、ACL等技術有效抵禦CC攻擊、HTTPFlood等7層攻擊。
容器隔離:針對不同高防IP分配獨立的清洗容器,不同容器間相互隔離,保障不同高防IP間互不影響。
彈性防護:選擇彈性防護後,當受到的攻擊超過基礎防護峰值時,業務仍將繼續得到網易雲易盾的防護。
點選“閱讀原文”,一鍵接入易盾網路安全解決方案