ddos|「华为」杨莉:IPv6+云时代DDoS挑战与对策( 三 )



同样,为了获利,互联网业务发生变化亦驱使DDoS攻击形态发生变化,最终引发抗D技术随之变革。过去互联网业务以网站为主,结果以WEB CC为主。如今互联网业务复杂了,针对APP的CC攻击,针对云微服务API的CC攻击日渐猖獗。

另外,80%的流量都加密了,但DDoS攻击并没有因为加密而减少,反而让防御更加困难,再加上随着IPv6发展,5G、物联网兴起,海量僵尸主机越来越廉价,导致CC攻击速率越来越高。

ddos|「华为」杨莉:IPv6+云时代DDoS挑战与对策
文章插图

互联网业务变化对防御技术产生的影响非常大,可以说传统防御技术失效。首先,过去网站防御通常采用基于重定向的源挑战认证技术,但这类防御技术不能应用于APP和API业务防护,不仅认证强度不够,攻击会绕过,关键APP和API访问会中断。

其次,针对加密攻击,很多厂商提倡的是解密防御,但解密防御的性能非常低,导致边界抗D丧失成本优势,最重要的是会成为网络的性能瓶颈。

最后面对海量僵尸发起的低速CC,每一个僵尸攻击速率非常低,导致源限速失效。

杨莉提到,针对这些变化,华为对HTTP CC及HTTPS CC防御根技术进行了变革,摒弃源认证技术,采用多维度的源行为分析技术防御高频CC,同时引入滑动窗口模拟机器人周期性攻击行为,提升行为分析识别CC攻击的准确率。行为分析防御属于非侵入式防御技术,对业务的兼容性好,且防御性能有明显优势。

尤其基于行为分析防御加密CC,不解密防御性能是解密防御的几十倍,且完美地规避了边界抗D解密防御的部署缺陷。近年来AI技术火热, AI的智能分类技术非常适合用于僵尸识别,华为主要用于防御低频HTTP CC。

ddos|「华为」杨莉:IPv6+云时代DDoS挑战与对策
文章插图

近年云原生安全火热,过去云边界抗D主要职责是防御网络层攻击,但随着CC攻击强度大幅度攀升,危及云网络基础设施,因此云边界抗D必须过滤大流量CC。比如,2019年3月某云上广告API调用遭受175Gbps的CC攻击,其中25Gbps网络层CC,150Gbps HTTP CC。

因此,云原生安全已经逐步将CC攻击纳入DDoS防护服务看护范畴。那么,华为云原生安全到底怎么做的?首先针对网络层泛洪攻击,华为云依据租户具体防护带宽划分为不同的防御组,比如10G防御组,50G防御组,依靠专家策略模版,即可做到全程无干预防御。其次,针对复杂的CC攻击主要 借助“防御自动驾驶”实现防御全程自动化。

大家知道,华为的网络已经成功实现了“自动驾驶”,当前DDoS防御华为也在主推 “自动驾驶”。所谓“自动驾驶”,就是过去CC防御效果不好,全靠运维人员手工去调优策略,现在这个过程是系统自动去执行。

简单来说,就是当某IP遭受CC攻击且出现漏防时,系统会自动对被攻击IP各种维度流量做做快照,自动分析、评估防御效果,找出漏防流量,同时将被攻击的IP的防御环境进行克隆创建新的防护组,基于新的防护组进行防御策略针对性地收紧调优,同时持续进行流量快照、防御效果评估循环,只有当防御后多维度的转发流量和流量基线相符合,即说明防御效果达成,,此时停止策略调优过程。攻击结束,系统自动进行攻击数据归档, IP防御环境复原。

最后,杨莉表示,云网络租户和云主机数量庞大,大流量CC攻击如果还依靠传统的人工响应策略调优,成本将达到难以想象。华为希望借助防御自动驾驶,实现云原生CC防御全程自动化。