基于云的DDoS发现及防御 | U刻
  • 基于云的DDoS发现及防御

    栏目:技术分享

    摘 要

    据全球知名IT安全杂志Info Security的报道, 2015年Q1的DDoS攻击次数同比2014年增长7%,针对云上的DDoS攻击流量比以往任何时候都大,其中10%的攻击,流量在10Gbps以上,2014年最大的DDoS攻击流量甚至达到400Gbps以上。随着越来越多的组织将业务和服务迁移到云上,一个单独的组件受到攻击可能就会导致重大故障,DDoS攻击防御就显得非常的重要,本文将介绍UCloud 基于云的DDoS防御系统。

    基于云的DDoS发现及防御2

    DDoS(Distributed Denial of Service)攻击作为常见的高危害性安全威胁之一,一直是安全部门的心头大患。在实际的DDoS攻击防护过程中,攻击流量动辄10G左右,相当于100个100M的光纤宽带。当我们感叹互联网的大带宽、高速度的同时,攻击流量也在随之增大,实际攻击流量远不止10G,有时会达到百G甚至是数百G,如此大规模的攻击流量,只有具备超大带宽、超大的数据存储、分析能力和计算能力的DDoS服务商才能快速发现攻击,开启防护系统对攻击流量进行外科手术式的精准过滤,并在不对正常业务产生影响的情况下拦截恶意攻击。
    大多数企业不具备这样的能力,通常对万兆以上大规模DDoS,攻击对象的出口带宽可能被完全拥塞,此时企业内部的DDoS检测和防护措施已经无法解决问题,选择基于云计算方式来防护DDoS攻击成为现实的选择。UCloud安全工程师借助于UCloud领先的云计算技术,设计并开发了一套UCloud DDoS防护解决方案,包括DDoS IN高性能防护系统和DDoS OUT 监测隔离方案。

    DDoS 防护系统

    高性能DDoS防护系统,主要是由DDoS云检测集群、DDoS云清洗集群和DDoS云策略中心这三个部分组成,可实现对DDoS攻击的精准过滤,秒级防护,整体防护能力接近T级。

    基于云的DDoS发现及防御1.webp

    • DDoS云检测集群

    DDoS云检测集群是由数台分析机器组成的高性能集群,检测输入机房的流量是否包含恶意行为,并实时上报策略中心。目前,DDoS云检测集群可实现对数T级别的流量进行实时分析,实现秒级检测。

    当流量进入机房时,通过分光的方式,从物理层复制一份进入机房的流量,然后将流量接入超过容量负载分担系统,由负载分担系统将流量打散,转给后端由数台分析机器组成的高性能集群,集群会对每一个数据包进行仔细识别,找出其中任何的恶意行为,实时上报策略中心。

    • DDoS云清洗集群

    DDoS云清洗集群是防护系统中最重要的组成部分,实现对攻击流量的清洗工作,保证业务的正常访问。

    如何实现清洗?首先,通过BGP路由协议,从云端路由器直接牵引攻击流量,进而实现近源清洗,避免攻击流量在目标服务器处汇聚,影响网络质量。我们会将 BGP牵引过来的流量,导入由多台大容量机框式清洗设备组成的集群,在这里实现对攻击流量的实时识别,精确过滤,丢弃所有的恶意流量后,然后再通过MPLS VPN的方式,将用户的正常业务流量回送到目标服务器,保证正常业务访问不中断。

    清洗集群的开发难度非常大,其对实时性要求非常高,对网络延时的影响小于1ms,容量需求大,当前单个集群需要处于数百G的流量;并通过云端调度的方式,多个清洗集群协同工作,全网云清洗中心总容量可达到T级。

    • DDoS云策略中心

    策略中心是整个DDoS防护系统的控制中枢,所有的信息在这里汇聚,它会根据安全工程师预先为客户定制配置的防护策略,对各种威胁进行实时处理,将各项指令实时下发到云检测集群和云清洗中心,类似美国海军的宙斯盾防空控制中心应对饱和攻击时的场景。

    DDoS OUT监控隔离方案


    目前,云计算平台上的DDoS OUT越来越常见,一般情况下是用户的虚拟机感染病毒或直接被破解了密码导致的,最终被他人控制恶意攻击别人。由于这种情况一般都满负荷工作,不仅占满相对昂贵的网络带宽资源,还很有可能影响到同一台宿主机上的其他用户,所以部分服务商甚至直接采取了极端的一经发现就直接关机的措施。当前,UCloud在DDoS OUT主要开展三个方面的工作:监控检测、隔离和排障处理。

    • 监控检测

    首先,会定期抓包,按照数据包类型(ACK、SYN、PING和UDP等)分类存储,再按时间和IP粒度来分析,通过长时间的迭代改进判断经验值,目前已经能够做到相当精准的区分开正常业务和恶意攻击。

    另外,由于现在的DDoS已经形成完善的地下产业,且攻击行为多变,很多时候攻击行为都是转瞬而逝,打垮目标后就不再攻击了,客户自己甚至可能毫无感知自己购买的云主机被挟持攻击了其他人。针对这种情况,我们会保留现场,将现场保存在UCloud的对象存储产品UFile上,供用户核查。

    • 隔离方案

    隔离方案是增强用户体验的关键所在,目的是确保当虚拟机受挟持发起攻击行为时不会影响到同一台宿主机上的其他用户。首先,划分出一个隔离区,将检测到的用户IP迁移到隔离区,迁移过程用户无感知,并且由于在隔离区只会存在这个一个用户,等同独享,给工程师处理争取了宝贵的时间。

    • 排障处理

    当用户IP迁移到隔离区之后,系统会通过短信和邮件的方式通知到用户,同时安全中心的工程师也会帮忙查杀病毒木马,对于处理成本高的用户,建议用户备份数据后重装系统。

    未来,越来越多的人将使用公有云,依据经验工程师给到两个建议:1. 一定要设置强密码,并定期更换;2. 至少做到每周检查SSH日志,了解是否有人在暴力破解自己的云主机。

    结 语


    当前针对DDoS攻击,无论是对云上客户的攻击,还是由云上客户服务器发起的攻击,UCloud均提供了完整的攻击发现和处理机制,并建设一套完整的解决方案。不但确保了云上客户的服务器不受DDoS攻击影响,同时确保客户资源不被滥用,用来发起DDoS攻击。