近日,以“引領(lǐng)分布式云變革 助力灣區(qū)數(shù)字經(jīng)濟”為主題的全球分布式云大會在深圳隆重召開。在本次峰會舉辦的分布式安全存儲論壇上,華為AntiDDoS產(chǎn)品研發(fā)總監(jiān)楊莉發(fā)表了題為《IPv6+云時代DDoS挑戰(zhàn)與對策》的精彩演講。
隨著互聯(lián)網(wǎng)業(yè)務(wù)向云遷移,DDoS攻擊因簡單、低廉及難防御成為云基礎(chǔ)設(shè)施最大威脅。從IPv4時代來看,DDoS攻擊呈現(xiàn)出強度持續(xù)攀升趨勢,T級攻擊時代到來。今年六七月份,全國多個機房遭受到了T級攻擊,華為記錄的某個機房最多一天遭受了9次T級攻擊;甚至網(wǎng)絡(luò)層CC的攻擊強度也提升至50G-100G。第二個趨勢是攻擊復(fù)雜度持續(xù)攀升, 掃斷疊加脈沖,對云基礎(chǔ)設(shè)施構(gòu)成了巨大威脅。IPv6網(wǎng)絡(luò)時代,DDoS對云的威脅會持續(xù)加劇,云抗D技術(shù)必須有更大的變更,才能應(yīng)對IPv6時代的DDoS威脅。
俗話說“道高一尺魔高一丈”,抗D技術(shù)永遠是跟隨攻擊被動發(fā)展?偟膩碚f,利益趨勢下,網(wǎng)絡(luò)環(huán)境和互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展變化促使DDoS攻擊形態(tài)發(fā)生變化,為了防住攻擊,防御技術(shù)需要隨之變革。
當前網(wǎng)絡(luò)環(huán)境最大變化自然是IPv4向IPv6演進。
從協(xié)議安全性角度看,IPv6相比IPv4在DDoS上沒有任何改觀,IPv4面臨的攻擊IPv6幾乎都存在。2018年,CERNET北美網(wǎng)絡(luò)節(jié)點遭受了IPv6 Memcached反射;2021年國內(nèi)IPv6網(wǎng)絡(luò)層和應(yīng)用層攻擊頻發(fā),可以說,IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)發(fā)展過程中,IPv4出現(xiàn)過的網(wǎng)絡(luò)層DDoS攻擊和應(yīng)用層DDoS攻擊,IPv6網(wǎng)絡(luò)照單全收。
IPv6的發(fā)展需要經(jīng)歷一個漫長的過程,雖然大多數(shù)國家運營商IPv6網(wǎng)絡(luò)已經(jīng)建設(shè)完畢,但互聯(lián)網(wǎng)業(yè)務(wù)依然處于以IPv4為主的時代,所以IPv4和IPv6會處于長期共存狀態(tài),雙棧共存時期的DDoS攻擊也有新的形態(tài)。首先是雙棧攻擊,一個業(yè)務(wù)既有IPv4地址又有IPv6地址,兩者會同時遭受攻擊;其次,雙棧攻擊時期,IPv6的數(shù)據(jù)會通過IPv4隧道轉(zhuǎn)發(fā),而DDoS攻擊會隱藏在隧道中,形成IP6over4隧道攻擊。
IPv6協(xié)議在IPv4協(xié)議基礎(chǔ)上演進,因IPv6協(xié)議自身特點引入了一些新型的DDoS。首先IPv6的報文頭引入了擴展字段,增加了靈活性,但也因此引入了利用特殊構(gòu)筑的IPv6擴展頭發(fā)起的擴展頭攻擊。其次,基于ICMPv6的鄰居發(fā)現(xiàn)協(xié)議(Neighbor Discovery Protocol),發(fā)起的NDP flood。
總結(jié)來說,IPv6時代有三類威脅形態(tài),第一類是IPv4、IPv6共有的DDoS攻擊形態(tài),第二類是IPv4向IPv6過渡時期的DDoS攻擊形態(tài),第三類是針對IPv6協(xié)議的攻擊形態(tài)。
針對這三類攻擊,從防御角度講,主要要做到雙棧防御;針對IPv6over4流量,一般來說直接做限速即可,因為運營商IPv6網(wǎng)絡(luò)建設(shè)已經(jīng)非常完善,不應(yīng)該出現(xiàn)IPv6over4流量,尤其是國內(nèi)各種云已經(jīng)不存在IPv6over4流量,如果的確有這類特殊場景,建議把隧道做白名單管理,其它隧道流量直接做限速;對IPv6流量則默認提供報文頭合法性檢查,以及NDP流量限速。
IPv6另一個特點是地址無限, 這導(dǎo)致IPv6時代主流DDoS攻擊形態(tài)包括虛假源網(wǎng)絡(luò)泛洪、UDP反射、TCP反射、掃段、CC攻擊的攻擊強度相比IPv4時代會更加猛烈。
大流量攻擊頻發(fā),且攻擊成本廉價,經(jīng)常不足百元就能發(fā)起大規(guī)模DDoS攻擊,但防御需要花費數(shù)萬甚至數(shù)百萬。而攻防對抗本質(zhì)上是成本對抗,因此,防御技術(shù)亟待變革。
以華為自身為例,5年前,抗D算法以CPU即C碼實現(xiàn)為主,即“軟防”,面對日益攀升的攻擊強度,沒有任何成本優(yōu)勢,不得已、華為摒棄單一的“軟防”,借助專業(yè)硬件即NP(Network Processor)防御網(wǎng)絡(luò)層大流量攻擊,即“硬防”。針對單節(jié)點的云,可以有效降低防御成本。
此外,面對T級攻擊常態(tài)化態(tài)勢,對任何云而言,邊界On-premise防御失效;為了解決這個問題,有些云會借助T級高防預(yù)洗攻擊,干凈的流量回源到云,但自建高防成本較高,畢竟攻防本質(zhì)上就是成本對抗,防御如果成本太高,等于防御失敗;還有一些云會借助運營商的云云清洗在網(wǎng)絡(luò)上游攔截攻擊,但同樣面臨成本高的問題,同時運營商云清洗還存在調(diào)度慢的問題,T級攻擊多是秒級加速(2021年多個攻擊樣本統(tǒng)計結(jié)果顯示每秒加速可高達70G以上),且攻擊持續(xù)時間短到不足2分鐘,結(jié)果調(diào)度還未完成,攻擊就已經(jīng)結(jié)束了。
楊莉表示,國內(nèi)頭部云廠商主流的做法,是依托云骨干和邊緣節(jié)點,利用Anycast的調(diào)度,形成全網(wǎng)分布式近源清洗網(wǎng)絡(luò),但受國內(nèi)運營商網(wǎng)絡(luò)環(huán)境限制,很難真正做到路由隨時隨地的Anycast,因此也引發(fā)出一種叫做運營商代播的技術(shù)。
掃段攻擊已經(jīng)成為互聯(lián)網(wǎng)公害,幾乎所有網(wǎng)絡(luò)層DDoS攻擊形態(tài)都可以被用來做掃段,近年來數(shù)十甚至上百的C段同時被攻擊已經(jīng)成為云面臨的最普遍網(wǎng)絡(luò)威脅。到了IPv6時代地址海量,有可能出現(xiàn)上千C段同時被掃段的情況。
楊莉舉例說,2021H1,香港100多個C段同時被攻擊,到每一個目的IP地址的攻擊報文速率不到100PPS,對單目的IP而言,無法觸發(fā)防御,這類掃段攻擊叫做“單IP低速掃段”。
雖然攻擊對單目的IP而言,沒有形成直接的DDoS威脅,但因為同時被攻擊的IP數(shù)量龐大,所有IP加起來形成的攻擊強度還是比較大的,最終導(dǎo)致機房的帶寬擁塞,整個機房的業(yè)務(wù)受損。還有一種掃段是“單IP高速掃段”,“單IP高速掃段”是指攻擊速率高,能觸發(fā)每一個目的IP的防御,但要求云邊界抗D系統(tǒng)具有高并發(fā)主機防護能力。
2021年,掃段攻擊復(fù)雜化,疊加了脈沖攻擊形態(tài),使防御更加困難。過去單IP流量太大危及云基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全,云通常采用秒級黑洞保護云自身網(wǎng)絡(luò),但是掃段無法使用黑洞,如果對被攻擊的C段全部采用黑洞則大部分網(wǎng)絡(luò)也會被切斷,相當于殺敵一千自損八百。
針對IPv6面臨掃段攻擊更嚴重的情況,華為采用三層防御架構(gòu),對單個云網(wǎng)絡(luò)來說是兩層防御,即第一層網(wǎng)段防御,第二層是主機防御,網(wǎng)段防御層過濾掃段攻擊,保護云網(wǎng)絡(luò),主機防御層過濾傳統(tǒng)的針對單IP的DDoS攻擊,保護云租戶業(yè)務(wù)。
如果掃段攻擊流量大到危及云網(wǎng)絡(luò)鏈路帶寬,則啟用BGP flowspec,在運營商網(wǎng)絡(luò)阻斷掃段攻擊,將對云的攻擊損失降低到最小。當前運營商已經(jīng)逐步采用BGP flowspec替代傳統(tǒng)的單一的基于黑洞路由的流量封堵技術(shù)。
同樣,為了獲利,互聯(lián)網(wǎng)業(yè)務(wù)發(fā)生變化亦驅(qū)使DDoS攻擊形態(tài)發(fā)生變化,最終引發(fā)抗D技術(shù)隨之變革。過去互聯(lián)網(wǎng)業(yè)務(wù)以網(wǎng)站為主,結(jié)果以WEB CC為主。如今互聯(lián)網(wǎng)業(yè)務(wù)復(fù)雜了,針對APP的CC攻擊,針對云微服務(wù)API的CC攻擊日漸猖獗。
另外,80%的流量都加密了,但DDoS攻擊并沒有因為加密而減少,反而讓防御更加困難,再加上隨著IPv6發(fā)展,5G、物聯(lián)網(wǎng)興起,海量僵尸主機越來越廉價,導(dǎo)致CC攻擊速率越來越高。
互聯(lián)網(wǎng)業(yè)務(wù)變化對防御技術(shù)產(chǎn)生的影響非常大,可以說傳統(tǒng)防御技術(shù)失效。首先,過去網(wǎng)站防御通常采用基于重定向的源挑戰(zhàn)認證技術(shù),但這類防御技術(shù)不能應(yīng)用于APP和API業(yè)務(wù)防護,不僅認證強度不夠,攻擊會繞過,關(guān)鍵APP和API訪問會中斷。
其次,針對加密攻擊,很多廠商提倡的是解密防御,但解密防御的性能非常低,導(dǎo)致邊界抗D喪失成本優(yōu)勢,最重要的是會成為網(wǎng)絡(luò)的性能瓶頸。
最后面對海量僵尸發(fā)起的低速CC,每一個僵尸攻擊速率非常低,導(dǎo)致源限速失效。
楊莉提到,針對這些變化,華為對HTTP CC及HTTPS CC防御根技術(shù)進行了變革,摒棄源認證技術(shù),采用多維度的源行為分析技術(shù)防御高頻CC,同時引入滑動窗口模擬機器人周期性攻擊行為,提升行為分析識別CC攻擊的準確率。行為分析防御屬于非侵入式防御技術(shù),對業(yè)務(wù)的兼容性好,且防御性能有明顯優(yōu)勢。
尤其基于行為分析防御加密CC,不解密防御性能是解密防御的幾十倍,且完美地規(guī)避了邊界抗D解密防御的部署缺陷。近年來AI技術(shù)火熱, AI的智能分類技術(shù)非常適合用于僵尸識別,華為主要用于防御低頻HTTP CC。
近年云原生安全火熱,過去云邊界抗D主要職責(zé)是防御網(wǎng)絡(luò)層攻擊,但隨著CC攻擊強度大幅度攀升,危及云網(wǎng)絡(luò)基礎(chǔ)設(shè)施,因此云邊界抗D必須過濾大流量CC。比如,2019年3月某云上廣告API調(diào)用遭受175Gbps的CC攻擊,其中25Gbps網(wǎng)絡(luò)層CC,150Gbps HTTP CC。
因此,云原生安全已經(jīng)逐步將CC攻擊納入DDoS防護服務(wù)看護范疇。那么,華為云原生安全到底怎么做的?首先針對網(wǎng)絡(luò)層泛洪攻擊,華為云依據(jù)租戶具體防護帶寬劃分為不同的防御組,比如10G防御組,50G防御組,依靠專家策略模版,即可做到全程無干預(yù)防御。其次,針對復(fù)雜的CC攻擊主要 借助“防御自動駕駛”實現(xiàn)防御全程自動化。
大家知道,華為的網(wǎng)絡(luò)已經(jīng)成功實現(xiàn)了“自動駕駛”,當前DDoS防御華為也在主推 “自動駕駛”。所謂“自動駕駛”,就是過去CC防御效果不好,全靠運維人員手工去調(diào)優(yōu)策略,現(xiàn)在這個過程是系統(tǒng)自動去執(zhí)行。
簡單來說,就是當某IP遭受CC攻擊且出現(xiàn)漏防時,系統(tǒng)會自動對被攻擊IP各種維度流量做做快照,自動分析、評估防御效果,找出漏防流量,同時將被攻擊的IP的防御環(huán)境進行克隆創(chuàng)建新的防護組,基于新的防護組進行防御策略針對性地收緊調(diào)優(yōu),同時持續(xù)進行流量快照、防御效果評估循環(huán),只有當防御后多維度的轉(zhuǎn)發(fā)流量和流量基線相符合,即說明防御效果達成,此時停止策略調(diào)優(yōu)過程。攻擊結(jié)束,系統(tǒng)自動進行攻擊數(shù)據(jù)歸檔, IP防御環(huán)境復(fù)原。
最后,楊莉表示,云網(wǎng)絡(luò)租戶和云主機數(shù)量龐大,大流量CC攻擊如果還依靠傳統(tǒng)的人工響應(yīng)策略調(diào)優(yōu),成本將達到難以想象。華為希望借助防御自動駕駛,實現(xiàn)云原生CC防御全程自動化。