五一前夕

　　北京「健康宝」突遭黑客攻击

　　近日，相关机构披露了细节

　　攻击类型是典型的DDoS

　　说起DDoS这个“千年老妖”

　　那可真是作恶多端，声名狼藉

　　今天，我们就来扒一扒

　　DDoS平常都是怎么作恶的

　　老妖的全名叫做

　　分布式拒绝服务攻击Distributed Denial-of-Service

　　两个关键字：“拒绝服务”和“分布式”

　　啥是拒绝服务呢？

　　↓

　　举个简单的例子

　　你居家办公，正忙着跟老板线上开会

　　“熊孩子”在边上又吵又闹

　　让你完全没法投入到正常工作状态

　　这就相当于一种“拒绝服务”攻击

　　而在网络安全领域“拒绝服务”

　　就是攻击者用一系列的垃圾请求

　　把目标设备累死，失去正常服务能力

　　（带宽耗尽、CPU/内存/服务会话耗尽…）

　　↓

　　当然

　　现在的服务器身板都很壮

　　一两只小妖骚扰，构不成威胁

　　服务器都能扛得住，不会拉胯

　　此时，老妖就会发动“妖海战术”

　　控制一大堆“小妖”

　　从四面八方一起对服务器发难

　　再牛的服务器，最终也会倒下

　　这，就是“分布式”+“拒绝服务”

　　所以，DDoS奏是这么来的

　　被“老妖”控制的小妖，俗称肉鸡

　　肉鸡形态多种多样，不止PC/服务器

　　还与时俱进，囊括了

　　云主机、移动终端、IoT设备…

　　尤其IoT设备，多如牛毛

　　很容易被老妖操控成超大规模DDoS

　　出道数十年来

　　DDoS老妖就像一个雇佣兵

　　充当各种利益的打手

　　（经济的、政治的、报私仇的）

　　做下了无数伤天害理的大案子

　　所以，长期以来

　　DDoS一直是在线类业务的大患

　　越是热门的业务，越招DDoS

　　让你在最嗨的时候宕一下

　　那么，修炼了这么多年

　　老妖有什么新动向

　　我们再来扒一扒

　　在过去的2021年

　　老妖又犯下了累累罪行

　　↓

　　攻击频率倍增，T级攻击常态化

　　可能因为疫情线上业务更多

　　DDoS老妖显得格外欢腾

　　超过500Gbps的攻击次数

　　2021年增长了近10倍

　　T级攻击次数更是增加了40多倍

　　↓

　　除了频次高、流量大

　　攻击目标也不仅仅是经济利益

　　出现了很多以“关基设施”为目标的

　　高强度DDoS攻击

　　所以，健康宝被攻击，就不奇怪了

　　大流量攻击爬升快，防范响应难

　　2021年，Tbps级别的攻击

　　10秒内攻击流量就能飙到757Gbps

　　20秒内就完成加速

　　老妖的这种极速大流量排山倒海

　　经常让防御系统来不及准备

　　攻击更复杂，挑战防御算法和成本

　　过去的一年，老妖越发狡猾了

　　他不光会玩排山倒海的大流量

　　还会叠加抽风式的“脉冲攻击”

　　↓

　　比如，防御侧的线上资产比较多

　　老妖就会打一枪换一个地方

　　不同时间针对不同的地址段搞“脉冲”

　　打得防御方顾此失彼

　　如果做全时段/全量资产防护

　　防护成本就会大大提高

　　除了走位飘逸

　　老妖的攻击招式，也越来越凌厉

　　比如，针对当下流行的移动互联网应用

　　过去一年，有1/3攻击是HTTPS加密

　　↓

　　同时

　　因为近期国内大力发展IPv6

　　老妖也与时俱进修炼IPv6攻击能力

　　这就导致了一个怪现象

　　很多用户的IPv6业务流量没上来

　　IPv6的DDoS攻击流量反而上来了

　　新攻击类型，一年更比一年凶

　　近一年来

　　还涌现了不少嘎嘎新的攻击类型

　　比如去年5月IETF刚发布QUIC协议标准

　　隔了一个月，假冒QUIC的大攻击就杀到

　　某IDC在40天内遭到54次超800Gps攻击

　　全部都是假冒QUIC的UDP Flood

　　↓

　　QUIC是Google提出的一种新型的高效传输协议，基于UDP承载，越来越多的移动业务采用QUIC来代替TCP提供稳定&高效的传输，协议标准化后，安全设备逐步放宽了对80/443端口的UDP线速，就被DDoS钻了空子，冒充QUIC进行UDP Flood攻击。

　　再比如老妖善于“四两拨千斤”

　　找到中间网络安全设备的漏洞

　　发起HTTP反射放大攻击

　　一个96字节的小报文

　　就能诱发10200字节的反射流量

　　放大倍数高达106倍

　　↓

　　先利用TCP会话处理漏洞实现攻击反射，再利用内容检查模块配置漏洞实现放大，这种攻击去年8月被披露后，10月份在国内互联网大量出现。

　　总之吧，DDoS从来没消停过

　　一年更比一年凶，明年注定还更猛

　　而且，DDoS不可能被完全防止

　　只能进行“缓解”，将影响最小化

　　因为“D”与“抗D”本质是资源对抗

　　要达到更好的效果，就要投入更多资源

　　那么对于广大在线企业来说

　　DDoS究竟应该如何“缓解”呢

　　相关权威安全专家

　　给出了对付DDoS老妖的建议

　　首先，要从战略高度

　　研究和防范DDoS

　　DDoS攻击的“高性价比”

　　让其成为网络攻击中的常客

　　直接威胁“关基”和重要信息系统

　　第二，抗D没有一招鲜

　　针对老妖，要构建立体防御工事

　　比如，采用本地防御+云端清洗混合抗D

　　让有网络资源优势的防御者把守外围

　　在骨干网上清洗或压制超大型攻击流量

　　在内层企业侧，由安全能力强的防御者

　　对“漏过”的攻击流量，进行精准防守

　　但是，大家都知道

　　一旦涉及到多厂商协作干大事

　　往往就存在各种配合问题，不好落地

　　so，必须要有非常成熟的合作支撑

　　而电信云堤和华为就整出了

　　非常靠谱的联合防御方案

　　↓

　　先看中国电信天翼安全公司

　　作为运营商，拥有天然网络优势

　　“云堤”是他们的招牌抗D产品

　　基于BGP Flowspec

　　进行近源压制和近目的清洗

　　轻松应对超大流量攻击

　　运营商在网络侧

　　适合过滤带宽型超大流量攻击

　　保护企业的网络管道不被打满

　　因为一旦带宽被打满

　　企业任何本地防护都会失去价值

　　不过，运营商的这种Flow过滤机制

　　难以防范业务层/网络层的CC攻击

　　也不适合小流量、细粒度防护

　　应对“短平快”攻击，就像高射炮打蚊子

　　机动性和准确性不够

　　此时，就需要配合本地抗D防御

　　华为与电信云堤强强联合，各施所长

　　云堤负责把大流量防死

　　华为则拿出强悍的客户侧抗D实力

　　01、T级卓越性能，平滑扩展

　　T级攻击常态化怎么破？

　　↓

　　华为抗D系统提供单机T级防护

　　平滑扩展，IPv4/v6双栈防护

　　满足未来业务发展

　　电信级硬件架构，系统可靠性极高

　　02、逐包检测，毫秒响应

　　流量爬升快，脉冲攻击多

　　挑战防御响应速度怎么破？

　　↓

　　通过NP与CPU智能协同、分层防御

　　CPU进行逐包检测

　　发现网络层攻击时，CPU启动防御

　　同时将大流量防御卸载到NP

　　处理性能强，响应速度快

　　03、七层“滤板”，AI加持，精准全面

　　攻击变化多端

　　挑战防御算法和成本怎么破？

　　↓

　　华为抗D系列产品

　　采用7层“滤板”技术

　　逐层过滤100+攻击，保护业务永续

　　对Web/App/DNS业务全面防护

　　通过AI加持，智能检测

　　用聚类分析算法精准识别僵尸机器人

　　让看似合法的低频CC无处遁形

　　同时基于多维度源访问分析

　　精准识别高频CC

　　对于加密攻击，不需要解密也能识别

　　从而实现高性能防御

　　04、智能运维，轻松部署

　　为降低抗D系统部署的复杂度

　　华为提供SecoManager管理系统

　　（集设备管理、策略配置、告警管理、运维运营于一体）

　　同时，融合专家经验和智能技术

　　实现新设备开箱即用

　　在防御实战过程中

　　智能检测实时评估，漏防自动收紧

　　完事精准溯源复盘

　　并将攻击源上传到云端威胁情报

　　从而一处发现，全局免疫

　　另外，在具体的抗D部署时

　　华为与“云堤”可以基于API打通

　　端云互动，实现联防联控

　　↓

　　就酱，华为在企业侧完成本地精准防护

　　以云堤为代表的运营商在云网侧

　　对大流量攻击进行压制和清洗

　　共同组建立体化的DDoS缓解方案

　　为各类关基系统和重要业务护航

　　↓

　　本文关于DDoS最新动向和趋势

　　数据均来源于一份权威报告

　　↓

　　该报告由中国信通院、中国电信天翼安全公司、华为三方联合发布，干货满满。