ddos|「华为」杨莉：IPv6+云时代DDoS挑战与对策( 二 )

IPv6另一个特点是地址无限，这导致IPv6时代主流DDoS攻击形态包括虚假源网络泛洪、UDP反射、TCP反射、扫段、CC攻击的攻击强度相比IPv4时代会更加猛烈。

文章插图

大流量攻击频发，且攻击成本廉价，经常不足百元就能发起大规模DDoS攻击，但防御需要花费数万甚至数百万。而攻防对抗本质上是成本对抗，因此，防御技术亟待变革。

【 ddos|「华为」杨莉：IPv6+云时代DDoS挑战与对策】以华为自身为例，5年前，抗D算法以CPU即C码实现为主，即“软防”，面对日益攀升的攻击强度，没有任何成本优势，不得已、华为摒弃单一的“软防”，借助专业硬件即NP（Network Processor）防御网络层大流量攻击，即“硬防”。针对单节点的云，可以有效降低防御成本。

此外，面对T级攻击常态化态势，对任何云而言，边界On-premise防御失效；为了解决这个问题，有些云会借助T级高防预洗攻击，干净的流量回源到云，但自建高防成本较高，毕竟攻防本质上就是成本对抗，防御如果成本太高，等于防御失败；还有一些云会借助运营商的云云清洗在网络上游拦截攻击，但同样面临成本高的问题，同时运营商云清洗还存在调度慢的问题，T级攻击多是秒级加速（2021年多个攻击样本统计结果显示每秒加速可高达70G以上），且攻击持续时间短到不足2分钟，结果调度还未完成，攻击就已经结束了。

文章插图

杨莉表示，国内头部云厂商主流的做法，是依托云骨干和边缘节点，利用Anycast的调度，形成全网分布式近源清洗网络，但受国内运营商网络环境限制，很难真正做到路由随时随地的Anycast，因此也引发出一种叫做运营商代播的技术。

文章插图

扫段攻击已经成为互联网公害，几乎所有网络层DDoS攻击形态都可以被用来做扫段，近年来数十甚至上百的C段同时被攻击已经成为云面临的最普遍网络威胁。到了IPv6时代地址海量，有可能出现上千C段同时被扫段的情况。

杨莉举例说，2021H1，香港100多个C段同时被攻击，到每一个目的IP地址的攻击报文速率不到100PPS，对单目的IP而言，无法触发防御，这类扫段攻击叫做“单IP低速扫段”。

虽然攻击对单目的IP而言，没有形成直接的DDoS威胁，但因为同时被攻击的IP数量庞大，所有IP加起来形成的攻击强度还是比较大的，最终导致机房的带宽拥塞，整个机房的业务受损。还有一种扫段是“单IP高速扫段”，“单IP高速扫段”是指攻击速率高，能触发每一个目的IP的防御，但要求云边界抗D系统具有高并发主机防护能力。

2021年，扫段攻击复杂化，叠加了脉冲攻击形态，使防御更加困难。过去单IP流量太大危及云基础网络设施安全，云通常采用秒级黑洞保护云自身网络，但是扫段无法使用黑洞，如果对被攻击的C段全部采用黑洞则大部分网络也会被切断，相当于杀敌一千自损八百。

针对IPv6面临扫段攻击更严重的情况，华为采用三层防御架构，对单个云网络来说是两层防御，即第一层网段防御，第二层是主机防御，网段防御层过滤扫段攻击，保护云网络，主机防御层过滤传统的针对单IP的DDoS攻击，保护云租户业务。

如果扫段攻击流量大到危及云网络链路带宽，则启用BGP flowspec，在运营商网络阻断扫段攻击，将对云的攻击损失降低到最小。当前运营商已经逐步采用BGP flowspec替代传统的单一的基于黑洞路由的流量封堵技术。