DDo(Distributed Denial of Service),即分布式拒絕服務攻擊,是指黑客通過控制由多個肉雞或服務器組成的僵屍網絡,向目標發送大量看似合法的請求,從而占用大量網絡資源使網絡癱瘓,阻止用戶對網絡資源的正常訪問。
從各安全廠商的DDoS分析報告不難看出,DDoS攻擊的規模及趨勢正在成倍增長。由於攻擊的成本不斷降低,技術門檻要求越來越低,攻擊工具的肆意傳播,互聯網上隨處可見成群的肉雞,使發動壹起DDoS攻擊變得輕而易舉。
DDoS攻擊技術包括:常見的流量直接攻擊(如SYN/ACK/ICMP/UDP FLOOD),利用特定應用或協議進行反射型的流量攻擊(如,NTP/DNS/SSDP反射攻擊,2018年2月28日GitHub所遭受的Memcached反射攻擊),基於應用的CC、慢速HTTP等。關於這些攻擊技術的原理及利用工具網上有大量的資源,不再贅述。
1.1 DDoS防禦常規套路
防禦DDoS的常規套路包括:本地設備清洗,運營商清洗,雲清洗。
1.本地設備清洗
抗DDoS設備(業內習慣稱ADS設備)壹般以盒子的形式部署在網絡出口處,可串聯也可旁路部署。旁路部署需要在發生攻擊時進行流量牽引,其基本部署方案如圖18-1所示。
圖18-1 ADS 設備部署方式
圖18-1中的檢測設備對鏡像過來的流量進行分析,檢測到DDoS攻擊後通知清洗設備,清洗設備通過BGP或OSPF協議將發往被攻擊目標主機的流量牽引到清洗設備,然後將清洗後的幹凈流量通過策略路由或者MPLS LSP等方式回註到網絡中;當檢測設備檢測到DDoS攻擊停止後,會通知清洗設備停止流量牽引。
將ADS設備部署在本地,企業用戶可依靠設備內置的壹些防禦算法和模型有效抵擋壹些小規模的常見流量攻擊,同時結合盒子提供的可定制化策略和服務,方便有壹定經驗的企業用戶對攻擊報文進行分析,定制針對性的防禦策略。目前國內市場上,主要以綠盟的黑洞為代表,具體可以訪問其官網進壹步了解。
本地清洗最大的問題是當DDoS攻擊流量超出企業出口帶寬時,即使ADS設備處理性能夠,也無法解決這個問題。壹般金融證券等企業用戶的出口帶寬可能在幾百兆到幾G,如果遇到十G以上甚至上百G的流量,就真的麻煩了,更別談T級別的DDoS攻擊了。
?2.運營商清洗
當本地設備清洗解決不了流量超過出口帶寬的問題時,往往需要借助運營商的能力了,緊急擴容或者開啟清洗服務是壹般做法,前提是要采購相應的清洗服務,而且壹般需要通過電話或郵件確認,有的可能還要求傳真。
運營商的清洗服務基本是根據netflow抽樣檢測網絡是否存在DDoS攻擊,而且策略的顆粒度較粗,因此針對低流量特征的DDoS攻擊類型檢測效果往往不夠理想。再加上壹些流程上的操作如電話、郵件、傳真等,真正攻擊到來時處理可能會更慢,需要重點關註。
值得壹提的是中國電信的雲堤服務,提供了“流量壓制”和“近源清洗”服務,而且還提供了自助平臺供用戶操作,查看流量、開啟清洗也非常方便。
?3.雲清洗
內容分發網絡(Content Delivery Network,CDN)是指,通過在網絡各處放置節點服務器,讓用戶能夠在離自己最近的地方訪問服務,以此來提高訪問速度和服務質量。CDN主要利用了四大關鍵技術:內容路由,內容分發,內存存儲,內容管理。更詳細的技術原理可以參考中國電信研究院出版的《CDN技術詳解》。
CDN技術的初衷是為了提高互聯網用戶對靜態網站的訪問速度,但是由於分布式、就近訪問的特點,能對攻擊流量進行稀釋,因此,壹些傳統CDN廠商除了提供雲加速功能外,也開始推出雲清洗的服務,當然還有壹些安全公司基於其自身優勢進入雲清洗市場。基本原理都壹樣,需要先在雲端配置好相應的記錄,當企業遭受大規模攻擊時,通過修改其DNS記錄將要保護的域名CNAME到雲端事先配好的記錄上,等待DNS生效即可。
使用雲清洗需要註意以下幾個問題:
1. -·雲清洗廠商需要提前配置好相應記錄。 ·DNS修改記錄後,需要等待TTL超時才生效。?
2.? ·直接針對源IP的攻擊,無法使用雲清洗防護,還要依靠本地和運營商清冼。?
3. ·針對HTTPS網站的防禦,還涉及HTTPS證書,由此帶來的數據安全風險需要考慮,市面上也有相應的Keyless方案{n1}。
由於國內環境不支持Anycast技術,所以不再贅述,如果有海外分支機構的網站需要防護,可以關註。
{nt1|其細節可以參考cloudflare公司博客上的文章,鏈接:[/keyless-ssl-the-nitty-gritty-technical-details/](/keyless-ssl-the-nitty-gritty-technical-details/)。
壹些經驗
結合筆者的壹些經驗,對DDoS防護落地做壹些補充,僅供參考。
1.自動化平臺
金融企業由於高可用要求,往往會有多個數據中心,壹個數據中心還會接入多家運營商線路,通過廣域網負載均衡系統對用戶的訪問進行調度,使之訪問到最近最優的資源。當任何壹條接入線路存在DDoS攻擊時,能通過廣域網負載均衡系統將該線路上的訪問需求轉移至其他互聯網線路。在針對IP地址開展的DDoS攻擊中,此方案能夠有效保障正常客戶的訪問不受影響,為了實現快速切換,需要通過自動化運維平臺來實現,如圖18-2所示。
圖18-2
線路調整壹鍵應急配合必要的應知應會學習和應急演練,使團隊成員都能快速掌握方法,在事件發生第壹時間進行切換,將影響降到最小。接下來才是通知運營商進行清洗處理,等待流量恢復正常後再進行回切。
當某壹個業務的IP受到攻擊時,可以針對性地處置,比如壹鍵停用,讓正常用戶訪問其他IP;也可以壹鍵開啟清洗服務。
?2.設備抗D能力
除了ADS設備外,還有壹些設備也需要關註抗DDoS能力,包括防火墻、負載均衡設備等。
出於安全可控需求,金融企業往往會采用異構模式部署防火墻,比如最外層用產品A,裏面可能會用產品B。假如產品A的抗DDoS能力差,在發生攻擊時,可能還沒等到ADS設備清洗,產品A已經出問題了,比如發生了HA切換或者無法再處理新的連接等。
在產品選型測試時,需要關註這方面的能力,結合筆者所在團隊經驗,有以下幾點供參考:
1. ·某些產品在開啟日誌記錄模塊後會存在極嚴重的性能消耗,在可能存在攻擊的環境內建議關閉。
2. ·盡管理論和實際會有偏差,但根據實際測試情況,還是建議當存在大量TCP、UDP新建連接時,防火墻的最大連接數越大越好
3. 多測試多對比,從對比中可以發現更優的方案,通過適當的調整優化引入更優方案。
4. ·監控防火墻CPU和連接數,當超過壹定值時開始著手優化規則,將訪問量多的規則前移、減少規則數目等都是手段。
負載均衡設備也需要關註以上問題,此外,負載均衡由於承接了應用訪問請求分發調度,可以壹定程度上針對性地防護基於IP速率、基於URL速率的DDoS攻擊以及慢速攻擊等。圖18-3所示為F5的ASM的DDoS防護策略。
圖18-3
負載均衡設備ASM防DDoS功能
請求經過防火墻和負載均衡,最後到了目標機器上處理的時候,也需要關註。系統的性能調優設置、Nginx的性能參數調整以及限制連接模塊配置等,都是在實際工作中會涉及的。
3.應急演練
部署好產品,開發好自動化運維平臺,還要配合必要的應知應會、應急演練才行。因為金融行業的特殊性,DDoS攻擊發生的次數相比互聯網行業還是少很多的,有的企業可能幾年也碰不到壹次。時間久了技能就生疏了,真正需要用到時,可能連登錄設備的賬號口令都忘了,又或者需要現場接線的連設備都找不到,那就太糟糕了。
此外,采購的外圍的監控服務、運營商和雲清洗產品的服務能力也需要通過演練來檢驗有效性。簽訂合同時承諾的秒級發現、分鐘級響應是否經得起考驗,要先在心裏打上壹個問號。建議在不事先通知的情況下進行演練,觀察這中間的問題並做好記錄,待演練完成後壹並提交給服務商要求整改。這樣的演練每年要不定期組織幾次。