ddos|「华为」杨莉:IPv6+云时代DDoS挑战与对策

2021年,分布式云成为云计算领域关注的热点。经过一年时间的探索与沉淀,分布式云开始从理论走向实践,诸多云计算头部企业夯实分布式基础设施建设、优化分布式资源调度、开发分布式应用,为构建分布式云打下了坚实的基础。

12月15日,以“引领分布式云变革 助力湾区数字经济”为主题的全球分布式云大会在深圳隆重召开,本届大会由全球分布式云联盟、深圳科技交流服务中心、深圳市通信学会、众视Tech联合主办。组委会携手阿里云、腾讯云、Google Cloud、华为云、蚂蚁集团、浪潮云、金山云等海内外顶尖云计算团队和分布式云先锋企业,为粤港澳大湾区数字经济发展注入分布式云动力,更将中国分布式云计算发展推上全新高度!

在16日下午举办的分布式安全存储论坛上,华为 AntiDDoS产品研发总监 杨莉发表了题为《IPv6+云时代DDoS挑战与对策》的精彩演讲。
ddos|「华为」杨莉:IPv6+云时代DDoS挑战与对策
文章插图

随着互联网业务向云迁移,DDoS攻击因简单、低廉及难防御成为云基础设施最大威胁。从IPv4时代来看,DDoS攻击呈现出强度持续攀升趋势,T级攻击时代到来。今年六七月份,全国多个机房遭受到了T级攻击,华为记录的某个机房最多一天遭受了9次T级攻击;甚至网络层CC的攻击强度也提升至50G-100G。第二个趋势是攻击复杂度持续攀升, 扫断叠加脉冲,对云基础设施构成了巨大威胁。IPv6网络时代,DDoS对云的威胁会持续加剧,云抗D技术必须有更大的变更,才能应对IPv6时代的DDoS威胁。

俗话说“道高一尺魔高一丈”,抗D技术永远是跟随攻击被动发展。总的来说,利益趋势下,网络环境和互联网业务发展变化促使DDoS攻击形态发生变化,为了防住攻击,防御技术需要随之变革。

当前网络环境最大变化自然是IPv4向IPv6演进。

从协议安全性角度看,IPv6相比IPv4在DDoS上没有任何改观,IPv4面临的攻击IPv6几乎都存在。2018年,CERNET北美网络节点遭受了IPv6 Memcached反射;2021年国内IPv6网络层和应用层攻击频发,可以说,IPv4网络向IPv6网络发展过程中,IPv4出现过的网络层DDoS攻击和应用层DDoS攻击,IPv6网络照单全收。

IPv6的发展需要经历一个漫长的过程,虽然大多数国家运营商IPv6网络已经建设完毕,但互联网业务依然处于以IPv4为主的时代,所以IPv4和IPv6会处于长期共存状态,双栈共存时期的DDoS攻击也有新的形态。首先是双栈攻击,一个业务既有IPv4地址又有IPv6地址,两者会同时遭受攻击;其次,双栈攻击时期,IPv6的数据会通过IPv4隧道转发,而DDoS攻击会隐藏在隧道中,形成IP6over4隧道攻击。

IPv6协议在IPv4协议基础上演进,因IPv6协议自身特点引入了一些新型的DDoS。首先IPv6的报文头引入了扩展字段,增加了灵活性,但也因此引入了利用特殊构筑的IPv6扩展头发起的扩展头攻击。其次,基于ICMPv6的邻居发现协议(Neighbor Discovery Protocol),发起的NDP flood。

总结来说,IPv6时代有三类威胁形态,第一类是IPv4、IPv6共有的DDoS攻击形态,第二类是IPv4向IPv6过渡时期的DDoS攻击形态,第三类是针对IPv6协议的攻击形态。

针对这三类攻击,从防御角度讲,主要要做到双栈防御;针对IP6over4流量,一般来说直接做限速即可,因为运营商IPv6网络建设已经非常完善,不应该出现IP6over4流量,尤其是国内各种云已经不存在IP6over4流量,如果的确有这类特殊场景,建议把隧道做白名单管理,其它隧道流量直接做限速;对IPv6流量则默认提供报文头合法性检查,以及NDP流量限速。