華為安全產(chǎn)品領(lǐng)域總經(jīng)理 左文樹(shù)/
伴隨著(zhù)互聯(lián)網(wǎng)的發(fā)展,黑客網(wǎng)絡(luò )攻擊也在不斷增加和發(fā)展,在眾多的網(wǎng)絡(luò )攻擊中,拒絕服務(wù)攻擊DDoS(Distributed Denial of Service)始終被認為是黑客攻擊的終極武器,在互聯(lián)網(wǎng)發(fā)展不同階段均能掀起血雨腥風(fēng)。
當前,DDoS攻擊產(chǎn)生了革命性的變化,由純粹的黑客技術(shù)炫耀逐漸形成了完整的黑客產(chǎn)業(yè)鏈,進(jìn)而以惡意競爭、黑色產(chǎn)業(yè)鏈為目的的DDoS攻擊越來(lái)越多,攻擊流量也越來(lái)越高,2013年3月,針對歐洲反垃圾郵件公司Spamhaus的300G DDoS攻擊創(chuàng )歷史新高。DDoS攻擊,可謂互聯(lián)網(wǎng)揮之不去的夢(mèng)魘。
防御技術(shù)面臨新挑戰在開(kāi)始談DDoS流量清洗或者防護技術(shù)之前,先一起來(lái)看看DDoS攻擊發(fā)展趨勢:一方面,以SYN Flood、UDP Flood、DNS Flood為代表的虛假源攻擊,大部分僵尸主機都來(lái)自IDC服務(wù)器,因此攻擊峰值流量帶寬越來(lái)越大,直接威脅網(wǎng)絡(luò )基礎設施,如網(wǎng)絡(luò )帶寬擁塞導致網(wǎng)絡(luò )訪(fǎng)問(wèn)變慢、DNS服務(wù)器癱瘓造成網(wǎng)絡(luò )業(yè)務(wù)大面積癱瘓;另一方面,針對具體應用的真實(shí)源攻擊越來(lái)越多,典型代表如針對電子商務(wù)、網(wǎng)頁(yè)游戲的CC攻擊,此類(lèi)攻擊因需要僵尸主機和被攻擊服務(wù)器建立TCP連接,為了隱藏僵尸網(wǎng)絡(luò ),攻擊流量越來(lái)越小,仿真程度越來(lái)越高,以有效躲避安全設備的識別。
2013年3月,歐洲反垃圾郵件公司Spamhaus的網(wǎng)站遭遇史上最大流量DDoS攻擊,攻擊流量峰值高達300G。同樣從業(yè)界最大Anti-DDoS服務(wù)提供商Prolexic于2013年Q2發(fā)布的《Prolexic Quarterly Global DDoS Attack Report》可看到,有17%的DDoS攻擊流量平均帶寬超過(guò)60G。大流量DDoS攻擊相對容易檢測,但直接挑戰防御系統的處理性能及對攻擊的快速響應能力,否則攻擊流量如決堤的洪水般會(huì )瞬間涌至被攻擊網(wǎng)絡(luò ),導致網(wǎng)絡(luò )鏈路完全擁塞,部署在接入側的安全設備完全失效。此類(lèi)攻擊必須依靠部署在網(wǎng)絡(luò )上游的超大容量防御系統阻斷,可見(jiàn)對超大帶寬DDoS攻擊的清洗系統比較適合由運營(yíng)商或專(zhuān)業(yè)Anti-DDoS服務(wù)提供商構筑。業(yè)界針對大流量DDoS攻擊的檢測技術(shù)比較成熟,采用低成本的flow流分析技術(shù)即可。但清洗系統必須由高性能的硬件平臺構成,單機可提供上百G的防御能力,否則防御設備本身就會(huì )成為網(wǎng)絡(luò )瓶頸。
從DDoS攻擊技術(shù)發(fā)展趨勢看,攻擊手段越來(lái)越復雜,應用層攻擊越來(lái)越像客戶(hù)端訪(fǎng)問(wèn),直接威脅業(yè)務(wù)可用性。針對業(yè)務(wù)的應用層DDoS攻擊,最大特點(diǎn)是攻擊目標經(jīng)過(guò)精心挑選,攻擊流量小,攻擊流量速度慢、持續時(shí)間長(cháng)、手段隱蔽、攻擊源分散等,最終形成的攻擊效果是服務(wù)器IP可達,業(yè)務(wù)不可用。
DDoS攻擊檢測系統主要依靠流量模型識別攻擊,流量模型越精確,越容易發(fā)現攻擊。應用層小流量攻擊檢測難點(diǎn)在于小流量的攻擊報文淹沒(méi)在大流量的網(wǎng)絡(luò )訪(fǎng)問(wèn)報文中,直接挑戰檢測設備流量模型的精準度。以10G訪(fǎng)問(wèn)背景流量下,針對移動(dòng)Web應用的DDoS攻擊為例,攻擊流量峰值僅有250kbps(50QPS,平均包長(cháng)600字節),但只要攻擊目標選擇合理,比如請求不存在的資源,每次查詢(xún)都需要查詢(xún)數據庫,即可導致被攻擊URI無(wú)法響應正常用戶(hù)請求。當采用傳統flow檢測技術(shù)時(shí),為了減少flow流日志對路由器轉發(fā)性能的影響,一般抽樣比設置為10000:1,而250k的攻擊流量隱藏在10G的正常訪(fǎng)問(wèn)流量中,攻擊報文僅占三十萬(wàn)分之一,這么大的抽樣比,很難抽取到攻擊報文。因此對flow流分析設備而言,攻擊流量越小,越難反映到流量基線(xiàn)的變化。此外,flow流技術(shù)描述流量基線(xiàn)的模型僅限于pps和bps,無(wú)法深入到應用層,無(wú)法用QPS描述業(yè)務(wù)訪(fǎng)問(wèn)流量模型。由此可見(jiàn),flow流技術(shù)確實(shí)不適合做應用層攻擊檢測。
而且針對應用層的攻擊高度模擬業(yè)務(wù)訪(fǎng)問(wèn)行為,攻擊源分散,每個(gè)源的訪(fǎng)問(wèn)流量甚至還小于正常客戶(hù)端的訪(fǎng)問(wèn)流量。尤其是針對移動(dòng)Web應用的DDoS攻擊,導致傳統防御系統重定向防御技術(shù)失效,傳統防御系統則只能采取類(lèi)似限制源的連接數以緩解攻擊。但對移動(dòng)應用而言,正常訪(fǎng)問(wèn)源即智能終端來(lái)自大量移動(dòng)網(wǎng)關(guān),最終體現為每個(gè)正常源IP(移動(dòng)網(wǎng)關(guān)IP)的連接數比攻擊源的連接數還高,因此限制連接數的做法會(huì )直接導致訪(fǎng)問(wèn)中斷。
引入大數據分析華為率先把“大數據”技術(shù)應用到DDoS檢測和防御中,從而在高仿真、高隱蔽性DDoS攻擊檢測與防御方面走在了業(yè)界前列。
為什么要大數據?
RSA執行主席Art Coviello在2013年RSA大會(huì )上談到他對安全行業(yè)中大數據應用的觀(guān)點(diǎn):“我看好大數據。從大數據分析中獲取情報意味著(zhù)我們不再只是響應攻擊。黑客將如何攻擊我們,這并不重要。重點(diǎn)在于從預防模式跳出來(lái),大數據將讓你更快速地檢測和響應攻擊。”
快速發(fā)現和響應應用層攻擊的首要條件是防御系統能夠多維度地精確描述流量模型。流量模型又可分為業(yè)務(wù)訪(fǎng)問(wèn)的流量模型和攻擊的流量模型兩種,業(yè)務(wù)訪(fǎng)問(wèn)的流量模型用于描述沒(méi)有攻擊時(shí)的網(wǎng)絡(luò )狀態(tài),一旦業(yè)務(wù)訪(fǎng)問(wèn)流量模型發(fā)生變化,說(shuō)明網(wǎng)絡(luò )有異常。對于一次50QPS的CC攻擊,250k的攻擊流量隱藏在10G的正常訪(fǎng)問(wèn)流量中,攻擊報文僅占30萬(wàn)分之一,僅僅用針對80端口的TCP報文的pps顯然難以描述出業(yè)務(wù)訪(fǎng)問(wèn)模型的變化。事實(shí)上,用于檢測攻擊的業(yè)務(wù)訪(fǎng)問(wèn)模型必須用到目的IP的http get報文速率即QPS描述。為了防止正常訪(fǎng)問(wèn)流量突變,比如“雙11”網(wǎng)絡(luò )購物熱潮引起的QPS突變引入檢測誤判,還可以依靠高危URI訪(fǎng)問(wèn)流量模型變化監控攻擊。而對攻擊的流量模型則比較適合各類(lèi)針對會(huì )話(huà)缺陷或應用缺陷的慢速攻擊檢測,比如TCP retransmission attack、socktress、SSL-DoS/DDoS、http slow headers/post attack,此類(lèi)攻擊流量更小,隱蔽性更強,但攻擊效果非常明顯。此類(lèi)攻擊必須基于源+會(huì )話(huà)的維度描述,由此可見(jiàn),針對攻擊的流量模型的描述是否準確是快速檢測慢速攻擊的關(guān)鍵。
由以上分析可以看出,防御系統要想快速發(fā)現和響應攻擊,必須具備完整、無(wú)誤地描述防護網(wǎng)絡(luò )的各種流量模型的能力,這就要求防御系統能夠對防護網(wǎng)絡(luò )做全流量拷貝,基于大數據逐包統計、分析、對比。
華為擁有一個(gè)超過(guò)300人的專(zhuān)業(yè)攻防團隊,實(shí)時(shí)監控和分析全球安全事件,針對每一類(lèi)新型DDoS構建數據模型、開(kāi)發(fā)關(guān)聯(lián)分析算法,以確保高檢出率。
大數據全流量采集及分析
- 全流量采集:首先從流量選取上一定要“全”,大數據的核心理念之一就是只有提取全面,后續的分析才能精準。華為Anti-DDoS方案采用旁路部署方式,對1:1鏡像或者分光過(guò)來(lái)的流量進(jìn)行全流量分析,以確保防護網(wǎng)絡(luò )流量模型學(xué)習及攻擊檢測的精準度。以數據中心邊界防護為例進(jìn)行說(shuō)明,要以低成本部署實(shí)現對來(lái)自外部的DDoS攻擊的防御能力,僅對入數據中心的流量進(jìn)行全流量采集。以百G帶寬數據中心為例,假設數據中心入和出的流量比例為1:10,進(jìn)入檢測系統的流量,1秒鐘10G,1分鐘600G,1天高達864T,1周的數據就更大得驚人——756TB!
華為Anti-DDoS方案對從防護網(wǎng)絡(luò )鏈路拷貝到的流量,從3/4/7層分60多種維度建立流量模型,進(jìn)行關(guān)聯(lián)分析,生成業(yè)務(wù)訪(fǎng)問(wèn)動(dòng)態(tài)流量基線(xiàn),然后基于動(dòng)態(tài)流量基線(xiàn)自動(dòng)生成攻擊防護策略檢測閾值。動(dòng)態(tài)流量基線(xiàn)的學(xué)習周期默認為1周,為適應網(wǎng)絡(luò )流量模型因業(yè)務(wù)變化而發(fā)生變化,流量基線(xiàn)學(xué)習也是以學(xué)習周期為一個(gè)循環(huán),不斷學(xué)習不斷調整、更新檢測閾值。因此,對一個(gè)10G帶寬網(wǎng)絡(luò )鏈路,華為Anti-DDoS方案每建立一套DDoS檢測閾值,就必須處理高達756TB的數據。帶寬越大,需要處理的數據就越多。
- 大數據關(guān)聯(lián)分析技術(shù),提升檢測和防御精度:華為Anti-DDoS方案對防護網(wǎng)絡(luò )進(jìn)行60多種維度的流量基線(xiàn)模型學(xué)習時(shí),基于高性能多核CPU并行處理硬件,采用大數據處理技術(shù),以確保基線(xiàn)學(xué)習的高效性。基本工作原理是:流量進(jìn)入Anti-DDoS系統的接口板,進(jìn)行并發(fā)分流處理,到達各業(yè)務(wù)板的每個(gè)CPU,一個(gè)CPU又可分為多個(gè)微處理器,各微處理器同一時(shí)間并行處理采集到的流量,以提升處理性能。整個(gè)系統采用“MapReduce”大數據處理思想,將學(xué)習的60多種維度的流量模型定義成層次化的數據結構,根據報文類(lèi)型有針對性地分解、統計、分析,最后將分析結果記錄到相應的數據結構。
動(dòng)態(tài)基線(xiàn)學(xué)習結束后,攻擊檢測流程實(shí)質(zhì)上就是不斷將進(jìn)入設備的報文按3/4/7層逐層解析,以1秒為計算單位,按照這60多種維度進(jìn)行精細化統計,然后將統計結果和攻擊檢測閾值相比較,當流量統計值大于攻擊檢測閾值,則認為流量異常,觸發(fā)防御流程,這個(gè)響應時(shí)間在秒級。一般現網(wǎng)DDoS攻擊在5分鐘之內,可輕松升至20G,可見(jiàn),秒級的響應攻擊延遲是領(lǐng)先的Anti-DDoS系統的必備條件。
由此可見(jiàn),Anti-DDoS系統要做到輕松應對網(wǎng)絡(luò )層攻擊、應用層攻擊、會(huì )話(huà)層威脅及各類(lèi)慢速攻擊,且做到秒級攻擊響應延遲,必須依托高性能的硬件平臺,在大數據全流量采集的前提下,實(shí)施多維度的統計和檢測,真正有能力做到不漏判、不誤判。
精準與實(shí)時(shí)性缺一不可
攻擊檢測的精準度完全取決于流量模型的精細化程度。華為Anti-DDoS系統可實(shí)現從防護網(wǎng)段、防護目標IP、及源IP這3個(gè)維度展開(kāi)學(xué)習,按網(wǎng)絡(luò )層次不同又可將統計點(diǎn)分為網(wǎng)絡(luò )層、會(huì )話(huà)層、應用層3大縱向維度,統計點(diǎn)又可以進(jìn)一步細分為pps、bps、QPS、訪(fǎng)問(wèn)比例。為了提升檢測精度和降低防御誤判,系統還分別從網(wǎng)絡(luò )層、會(huì )話(huà)層及應用層對TOP N訪(fǎng)問(wèn)源IP及訪(fǎng)問(wèn)資源進(jìn)行學(xué)習,這些業(yè)務(wù)訪(fǎng)問(wèn)TOP N流量模型,不僅可用來(lái)快速發(fā)現攻擊,還可用于檢驗防御效果。其中基于會(huì )話(huà)的多維度統計分析,并結合行為分析技術(shù)進(jìn)行關(guān)聯(lián)分析發(fā)現和防御各類(lèi)慢速攻擊是華為Anti-DDoS解決方案的特有技術(shù)。
同時(shí)為提升防御時(shí)的客戶(hù)體驗,華為Anti-DDoS系統采用會(huì )話(huà)維度建立業(yè)務(wù)訪(fǎng)問(wèn)IP信譽(yù)體系,當攻擊發(fā)生時(shí),直接作為白名單,快速轉發(fā)業(yè)務(wù)訪(fǎng)問(wèn)流量。業(yè)務(wù)訪(fǎng)問(wèn)IP信譽(yù)的數量最大最高可達40M,足以滿(mǎn)足攻擊發(fā)生時(shí)業(yè)務(wù)訪(fǎng)問(wèn)流量快速轉發(fā)需求。
從以上分析可以看出,為了應對越來(lái)越像正常用戶(hù)業(yè)務(wù)訪(fǎng)問(wèn)的DDoS攻擊,基于大數據的DDoS攻擊檢測,必須保證攻擊檢測的精準以確保快速響應攻擊,同時(shí)又要保證防御的精準,以確保防御不影響用戶(hù)體驗。
歷經(jīng)考驗,表現卓越2013年11月11日——“雙11”網(wǎng)絡(luò )購物節當天,國內著(zhù)名的電子商務(wù)網(wǎng)站阿里巴巴的網(wǎng)上流量峰值達到了數Tbps,與此同時(shí)阿里巴巴的業(yè)務(wù)系統也遭受著(zhù)多輪DDoS攻擊,有近20Gbps的大流量攻擊,也有小于500Mbps的應用層攻擊,每輪攻擊華為的清洗方案均在2秒內成功阻斷,無(wú)漏報誤報現象,有力地保障了阿里巴巴“雙11”的業(yè)務(wù)正常運轉,充分驗證了大數據時(shí)代華為Anti-DDoS技術(shù)的優(yōu)勢。
除此之外,華為Anti-DDoS系統在全球多個(gè)國家的數據中心均有成功部署,每天成功抵御攻擊次數上萬(wàn)次,防護效果獲得客戶(hù)的一致好評。
