隨著互聯網的高速發展��,黑客攻擊手段的不斷演進���,行業內的惡意競爭愈演愈烈,而攻擊平臺化����、自動化又不斷地降低著攻擊成本�,促使DDoS攻擊的強度�����、頻率和復雜度持續提升��,企業網絡DDoS防護面臨著越多來越多的挑戰:
大流量DDoS攻擊峰值帶寬不斷攀升,T級攻擊越來越頻繁,依賴CPU抵御大流量攻擊遭遇瓶頸�����;
CC攻擊(Challenge
Collapsar)是一種常見的DDoS攻擊方式�����,通過僵尸網絡或代理對被攻擊服務器應用發起大量貌似合法的請求�����,耗盡服務器的處理性能?���;ヂ摼W業務由單一的WEB網站發展成WEB網站����、APP���、API調用共存的多業務模式��,傳統的CC防御是基于WEB網站業務特點進行源挑戰認證,防御效果不佳���;同時,越來越多的業務采用TLS加密模式�,進一步提升了CC防御難度����;另一方面,CC攻擊通過高��、低頻率攻擊混合的方式挑戰防御系統靈敏度�,傳統依靠速率判定攻擊源的防御技術難以奏效;
DDoS攻擊越來越多的采用速戰速決的手法�����,根據《2021年H1全球DDoS攻擊現狀與趨勢分析》顯示���,
53.56%的攻擊持續時間在10分鐘以內��,依靠專家經驗進行防御策略手工調優的傳統手段無法及時應對攻擊����。
華為根據大量IDC����、云DC以及高防攻防對抗經驗,創新地在HiSecEngine
AntiDDoS系列產品上采用了NP加速+智能防御雙引擎�,可以有效應對這些新挑戰�����。一方面�����,NP(Network
Processor)加速引擎與CPU智能協同����,實現對大流量DDoS攻擊的快速抵御����,另一方面使用智能防御引擎提供多維度行為分析能力,結合滑動窗口檢測算法�����,可以根據僵尸主機(機器人)訪問服務器資源的規律性����、周期性特征,快速識別��、阻斷高頻的CC攻擊�。
同時,為了提升防御效率,華為HiSecEngine
AntiDDoS系列產品結合實時流量統計數據�,智能判定防御效果并實現自動策略調優�����,將攻擊響應由10分鐘降低到秒級響應。針對大流量攻擊、CC攻擊的防御方法以及自動化防御的技術細節如下:
NP+CPU分層防御處置大流量DDoS攻擊
隨著新的UDP反射源��、TCP反射源不斷被挖掘�����,大流量DDoS攻擊峰值帶寬不斷攀升,防御成本越來越高。T級攻擊在IDC行業逐漸常態化����。
同時��,大流量DDoS攻擊秒級加速,如下圖所示,平均每秒加速可以超過70Gbits���,攻擊者通過“Fast
Flooding”、脈沖攻擊手法達到理想的效果,不斷挑戰防御系統的響應速度����。
華為HiSecEngine
AntiDDoS系列產品通過NP和CPU智能協同���、分層防御的架構����,提供逐包檢測和毫秒級攻擊響應,有效降低了防御成本。CPU進行逐包檢測,當檢測到網絡層大流量攻擊時��,啟動防御并將抵御大流量攻擊的“重任”卸載到NP防御流程�����,經現網實測��,單IP的“Fast
Flooding”攻擊可在20毫秒內快速阻斷,針對200個C的掃段攻擊則可在30毫秒內有效阻斷。
智能化技術防御CC攻擊
HTTP CC攻擊是應用層最常見的攻擊手法���,傳統基于HTTP
302重定向、JS等的源挑戰認證僅適合HTTP網站防護。隨著互聯網業務變得復雜多樣化�����,HTTP流量不僅包含WEB網站��,還攜帶了大量的APP���、API調用,傳統DDoS防御手段無法有效識別�����。同時�����,越來越多的HTTP流量采用TLS加密����,提升了CC攻擊防御復雜度�����,如下圖所示��,HTTPS
CC攻擊占比高達18%(HTTPS Flood 6.68%,TLS異常會話11.4%)��。
為提升防御成本����,CC攻擊多采用高頻CC和低頻CC混合的攻擊模式,如下圖所示�。
基于業務訪問的行為往往是突發性���、無序的����,而CC攻擊屬于機器人訪問���,攻擊目標URI具有相似性���,且訪問行為具有明顯的周期性����。華為HiSecEngine
AntiDDoS產品的智能化防護引擎提供多維度的源訪問行為分析��,精準鎖定攻擊資源�����,并結合滑動窗口動態模擬機器人攻擊的周期性特點,從而快速識別����、阻斷高頻CC����。
多維度行為分析防御技術徹底摒棄源挑戰認證的“侵入式”防御思路,能夠兼容各類HTTP業務����。尤其是在IDC防護場景下����,運維人員很難以租戶來判定被攻擊IP的業務類型���,所以基于多維度行為分析的防御方法更加簡單實用�����,對比針對攻擊人工調整防御策略,使用智能化防御引擎使得攻擊響應速度從分鐘級降至秒級���,并且減少了防御效果對運維人員專業性的依賴度。
隨著5G及IPv6的發展��,僵尸數量也快速增長�����,采用大量攻擊源降低單源CC頻率的攻擊方法已成為CC攻擊的新趨勢���。面對海量僵尸源的單源低頻CC攻擊��,華為HiSecEngine
AntiDDoS系列產品針對攻擊源IP進行多維度流量統計分析并上送到管理系統進行智能離線學習,精準識別出攻擊源并針對攻擊流量進行實時清洗。現網實際防御效果顯示�����,通過使用智能離線學習����,19秒即可實現阻斷。
“自動駕駛”降低運維難度
DDoS攻擊防御效果依賴防御策略的制定,防御策略配置不當���,不僅導致攻擊漏防,更有誤防影響業務的風險�����。好的抗D產品不僅要求防御技術具有先進性���,能應對快速演進的DDoS攻擊���,而且要求防御系統具有良好的易用性���。
為了增加防御難度�����,DDoS攻擊越來越傾向于使用混合攻擊,運維人員通過手工調小防御閾值來抵御某種攻擊的同時也可能導致了業務的誤防����。手工調優在漏防和誤防之間尋求平衡需要花費了大量的時間成本����,尤其是當發生海量僵尸單源低頻CC攻擊��,依靠人工經驗進行策略調優的過程變得更加困難���,攻擊應急響應時間往往超過10分鐘����。
為了改變DDoS攻擊防御依賴運維人員的專業性����,華為HiSecEngine
AntiDDoS系列產品使用大數據+智能技術,通過歷史流量日志離線分析+實時流量日志檢測��,基于本地業務流量進行多維度的基線學習,制作業務畫像并生成業務白名單。攻擊發生時��,管理系統一方面根據基線自動優化防御策略有效抵御攻擊�,一方面針對攻擊IP進行防御策略“備份”,將策略調優影響控制到最小范圍,保證業務的正常訪問。同時,防御過程中會針對攻擊數據進行收集��,作為后期的攻擊溯源分析和復盤使用�。
DDoS攻擊的不斷升級推動著防御技術的快速發展,華為不斷探索、創新�,全新推出HiSecEngine
AntiDDoS系列產品���,依托NP加速+智能防御雙引擎,有效應對DDoS攻擊帶來的新挑戰���。
