DDoS攻擊如此猖獗，我們該如何解決？

網路安全始終是人們討論的熱點話題，對於網際網路企業而言：無安全、無生存。

網易雲易盾的產品架構師高洪亮

在攻擊日益氾濫的今天，如何保障企業安全成為了大家研究的熱點。4月14日架構和運維技術高峰論壇上，來自網易雲易盾的產品架構師高洪亮就此問題，做了關於企業網路安全威脅分析，以及網路安全服務SaaS服務實踐的分享。

網路安全現狀

當前的安全威脅問題歸類為三方面：服務穩定性安全、資料安全和運營安全。

一是服務穩定可靠性：一方面取決於資訊系統自身的穩定可靠性，特別是資訊系統雲化之後，影響因素增多。如：虛擬機器效能、虛擬機器的遷移機制、網路鏈路冗餘、資訊系統災備機制等；另外一方面來自於外部的攻擊的影響，如DDoS攻擊，DNS域名劫持等，兩方面因素綜合決定了系統服務的穩定可靠性。

二是資料安全：資料安全問題主要集中在資料的洩露和資料的篡改兩個方面，近期發生的Facebook使用者資料洩露問題，體現了資料洩露的危害與嚴重性。事件原因主要是與其他公司合作，對於資料銷燬環節未加以驗證，導致了合作方洩露資料的後果，給Facebook帶來了史無前例的企業生存問題，引起更多網際網路企業對資料保護的重視。此事也充分體現了企業安全的“三分技術、七分管理”的道理，除了內部管理機制或人員問題導致的資料洩露問題，外部的網路攻擊帶來的危害也是不容忽視。常見的WEB應用攻擊、系統級別的漏洞利用，以及愈加複雜的具有針對性的APT攻擊等，都給企業的生存、運營，甚至國家安全帶來嚴重危害。

三是運營安全：釣魚網站、山寨應用、垃圾內容，這些問題嚴重影響了使用者的體驗，危及使用者的利益，給企業造成聲譽危害及盈利的損害。

DDoS攻擊現狀

從統計的資料中可以看到DDoS攻擊的幾個特點：

1.    南方遭受的DDoS攻擊較多，其中浙江省遭受的攻擊最多；

2.    電信線路DDoS攻擊規模較大，動輒達到TB級別；

3.    攻擊的時長上，三分之二的DDoS攻擊持續時間小於10分鐘，而持續時間在10分鐘至1小時的攻擊佔比約30.5%，不到0.1%的攻擊時長在一個小時之上。

為什麼DDoS攻擊如此猖獗？

第一， 攻擊利益鏈成熟，攻擊成本越來越低。DDoS攻擊地下產業鏈可以提供一整套的完善的服務，包含各種套餐，其中一個月幾十元就可以購買到DDoS攻擊服務。

第二， 攻擊流量規模逐年增大一方面是由於個人、企業的頻寬都在增加，另一方面智慧家居、物聯網裝置的大量使用，薄弱的安全防護給力攻擊者更多可利用的機會，容易形成大規模的攻擊裝置叢集。

第三， 難溯源。因為從攻擊指令發出端，到實際攻擊的伺服器，中間可能經過了數道跳轉，再加上IP偽造等技術，查到攻擊源頭非常困難。對於攻擊者來說，現在基本上就是有恃無恐。想做到“溯源追凶”，需要投入極高的成本，並且需要經驗豐富的攻防專家或團隊來完成。對於被攻擊者來說，基本上只能被動防護。

故事解析：Memcache反射性攻擊

故事主角——Memcache伺服器。本身這個伺服器是企業的應用系統對於資料訪問的一些內容的快取，以加快響應速度。

從管理角度出發，Memcache伺服器作為內網應用的伺服器，不應該暴露於公網之中。但還是有很多公司的運維管理者為了運維的方便，通過公網進行管理，這是利用Memcache進行DDoS攻擊的基本前提。

另一個關鍵因素是Memcache伺服器，不存在身份驗證的環節，任何人掃描到IP和埠，就可以訪問。完成攻擊的最核心的因素，是memcache訪問的協議，請求memcache伺服器之後，回覆的資料的大小遠高於請求的資料大小，形成了放大的效果，攻擊者利用memcache伺服器，偽造源IP，最後形成了反射放大型的DDoS攻擊，攻擊量達到5W倍，這樣，一個超大規模的DDoS攻擊方法就形成了，典型的事件是：GitHub遭受了超過T級的memcache伺服器的反射放大型DDoS攻擊。

值得注意的是，Memcache攻擊，規模如此之大，但是它只是新興的一種攻擊手段。從DDoS的全部資料來看，它的佔比不到百分之一。更多的還是一些已經的攻擊手段，比如DNS反射性攻擊、SSDP攻擊（是利用物聯網裝置的1900埠進行反射性攻擊）。

如何解決Memcache反射性攻擊？

從Memcache伺服器的規模分佈來看，國內有超過2W臺的可利用的Memcache伺服器，全球有超過10W臺的Memcache伺服器。從影響規模來看，解決Memcache伺服器反射性攻擊問題已經刻不容緩了。

在分享中網易雲易盾的產品架構師高洪亮建議，從預防階段來看，需要Memcache伺服器的運維管理者，關閉被利用的11211埠，將memcache伺服器放置內網之中以避免被利用。但是，這個也不可能完全杜絕此類事件的發生，畢竟有人為因素在，網際網路上還是會存在可被利用的裝置。那麼對於對於已經形成的攻擊，受攻擊者可以利用雲清洗服務進行防護。

DDoS攻擊分類及防護情況

攻擊分類：

DDoS攻擊的分型，從效果上來看，可以分為兩種。第一種，消耗頻寬資源的。典型的就是反射性的流量攻擊。

第二種，就是耗盡伺服器的資源的：伺服器的連線數、伺服器的CPU、提供域名解析的DNS伺服器。都屬於資源，通過佔用伺服器資源，使伺服器無法對外提供服務，從而達到攻擊效果。典型的如CC攻擊，或者對DNS伺服器，大規模查詢不存在的網址以消耗DNS伺服器的資源，從而形成間接的對伺服器的攻擊。

防護情況：

對於DDoS攻擊，國內目前來看，防護手段不外乎三種：本地化部署安全裝置、雲端流量清洗、移動運營商的清洗系統及路由黑洞策略。

三種防護方法，從投入成本，適用場景，來看均有所不同。所以使用者還需要根據自身的情況來選擇合適的防護方案。

網易雲易盾是如何解決這一難題的？

網易雲抗D三部曲：

1.    網易在電信、聯通、移動大區入口部署了高防清洗叢集；

2.    高防客戶的業務流量，先引流到網易雲高防機房進行清洗防護；

3.    清洗完成後，使用者的業務流量，可通過高防IP轉發回客戶源站伺服器。

接入雲抗D之前，使用者是直接訪問服務系統。接入雲抗D之後，訪問資料先到易盾的雲清洗的高防機房，流量經過清洗之後，高防機房將正常的業務流量再回傳給實際的伺服器。

這裡有兩個前提，首先防護的業務是通過域名來訪問的，第二，就是上了高防業務之後，使用者系統實際的IP要對外隱藏，避免攻擊方繞過雲清洗系統直接攻擊IP。

在實際的防護過程中，流量要經過數道清洗。在檢測的方式上，主要是通過閾值和資料特徵以及行為分析等演算法模型來進行檢測，如：客戶端真實性驗證等、黑名單、ACL管控、流量限速的方式。

網易雲易盾雲抗D服務，對於四層攻擊、七層攻擊，能夠進行全面的檢測和防護。在策略配置上，預置有多套模板，可以根據業務具體情況來進行鍼對性的配置，並且支援嚮導性配置。在業務流量狀態展示上，支援多種維度的圖形介面展示。

在整體的防護能力上，目前網易雲易盾，支援三線運營商的業務防護。提供1T的超大頻寬防護，SLA可用性達到99.9%。

業務接入抗D後，延遲時間在100MS以內。

業務接入上，我們支援網易雲客戶和非網易雲客戶，並且只需5分鐘就可以完成接入。一般分為四步：

1.   在易盾控制檯購買高防IP，選擇聯通/電信/移動線路；

2.   對高防IP配置轉發規則，將清洗後的流量轉發到源站IP；

3.   配置防護策略；

4.   切換業務DNS指向高防IP。

網易雲易盾領先在哪裡？

DDoS防護：可對畸形包進行有效攔截，抵禦SYN Flood、ACK Flood、ICMPFlood、UDP Flood、NTP Flood 、SSDPFlood、DNS Flood等4層攻擊。

CC防護：通過JS驗證、瀏覽器指紋、ACL等技術有效抵禦CC攻擊、HTTPFlood等7層攻擊。

容器隔離：針對不同高防IP分配獨立的清洗容器，不同容器間相互隔離，保障不同高防IP間互不影響。

彈性防護：選擇彈性防護後，當受到的攻擊超過基礎防護峰值時，業務仍將繼續得到網易雲易盾的防護。

點選“閱讀原文”，一鍵接入易盾網路安全解決方案