华为借助防御自动驾驶实现云原生CC防御全程自动化
2021年,分布式云成为云计算领域关注的热点。经过一年时间的探索与沉淀,分布式云开始从理论走向实践,诸多云计算头部企业夯实分布式基础设施建设、优化分布式资源调度、开发分布式应用,为构建分布式云打下了坚实的基础。
近日,以“引领分布式云变革 助力湾区数字经济”为主题的全球分布式云大会在深圳隆重召开。在本次峰会举办的分布式安全存储论坛上,华为antiddos产品研发总监杨莉发表了题为《ipv6+云时代ddos挑战与对策》的精彩演讲。
随着互联网业务向云迁移,ddos攻击因简单、低廉及难防御成为云基础设施最大威胁。从ipv4时代来看,ddos攻击呈现出强度持续攀升趋势,t级攻击时代到来。今年六七月份,全国多个机房遭受到了t级攻击,华为记录的某个机房最多一天遭受了9次t级攻击;甚至网络层cc的攻击强度也提升至50g-100g。第二个趋势是攻击复杂度持续攀升, 扫断叠加脉冲,对云基础设施构成了巨大威胁。ipv6网络时代,ddos对云的威胁会持续加剧,云抗d技术必须有更大的变更,才能应对ipv6时代的ddos威胁。
俗话说“道高一尺魔高一丈”,抗d技术永远是跟随攻击被动发展。总的来说,利益趋势下,网络环境和互联网业务发展变化促使ddos攻击形态发生变化,为了防住攻击,防御技术需要随之变革。
当前网络环境最大变化自然是ipv4向ipv6演进。
从协议安全性角度看,ipv6相比ipv4在ddos上没有任何改观,ipv4面临的攻击ipv6几乎都存在。2018年,cernet北美网络节点遭受了ipv6 memcached反射;2021年国内ipv6网络层和应用层攻击频发,可以说,ipv4网络向ipv6网络发展过程中,ipv4出现过的网络层ddos攻击和应用层ddos攻击,ipv6网络照单全收。
ipv6的发展需要经历一个漫长的过程,虽然大多数国家运营商ipv6网络已经建设完毕,但互联网业务依然处于以ipv4为主的时代,所以ipv4和ipv6会处于长期共存状态,双栈共存时期的ddos攻击也有新的形态。首先是双栈攻击,一个业务既有ipv4地址又有ipv6地址,两者会同时遭受攻击;其次,双栈攻击时期,ipv6的数据会通过ipv4隧道转发,而ddos攻击会隐藏在隧道中,形成ip6over4隧道攻击。
ipv6协议在ipv4协议基础上演进,因ipv6协议自身特点引入了一些新型的ddos。首先ipv6的报文头引入了扩展字段,增加了灵活性,但也因此引入了利用特殊构筑的ipv6扩展头发起的扩展头攻击。其次,基于icmpv6的邻居发现协议(neighbor discovery protocol),发起的ndp flood。
总结来说,ipv6时代有三类威胁形态,第一类是ipv4、ipv6共有的ddos攻击形态,第二类是ipv4向ipv6过渡时期的ddos攻击形态,第三类是针对ipv6协议的攻击形态。
针对这三类攻击,从防御角度讲,主要要做到双栈防御;针对ipv6over4流量,一般来说直接做限速即可,因为运营商ipv6网络建设已经非常完善,不应该出现ipv6over4流量,尤其是国内各种云已经不存在ipv6over4流量,如果的确有这类特殊场景,建议把隧道做白名单管理,其它隧道流量直接做限速;对ipv6流量则默认提供报文头合法性检查,以及ndp流量限速。
ipv6另一个特点是地址无限, 这导致ipv6时代主流ddos攻击形态包括虚假源网络泛洪、udp反射、tcp反射、扫段、cc攻击的攻击强度相比ipv4时代会更加猛烈。
大流量攻击频发,且攻击成本廉价,经常不足百元就能发起大规模ddos攻击,但防御需要花费数万甚至数百万。而攻防对抗本质上是成本对抗,因此,防御技术亟待变革。
以华为自身为例,5年前,抗d算法以cpu即c码实现为主,即“软防”,面对日益攀升的攻击强度,没有任何成本优势,不得已、华为摒弃单一的“软防”,借助专业硬件即np(network processor)防御网络层大流量攻击,即“硬防”。针对单节点的云,可以有效降低防御成本。
此外,面对t级攻击常态化态势,对任何云而言,边界on-premise防御失效;为了解决这个问题,有些云会借助t级高防预洗攻击,干净的流量回源到云,但自建高防成本较高,毕竟攻防本质上就是成本对抗,防御如果成本太高,等于防御失败;还有一些云会借助运营商的云云清洗在网络上游拦截攻击,但同样面临成本高的问题,同时运营商云清洗还存在调度慢的问题,t级攻击多是秒级加速(2021年多个攻击样本统计结果显示每秒加速可高达70g以上),且攻击持续时间短到不足2分钟,结果调度还未完成,攻击就已经结束了。
杨莉表示,国内头部云厂商主流的做法,是依托云骨干和边缘节点,利用anycast的调度,形成全网分布式近源清洗网络,但受国内运营商网络环境限制,很难真正做到路由随时随地的anycast,因此也引发出一种叫做运营商代播的技术。
扫段攻击已经成为互联网公害,几乎所有网络层ddos攻击形态都可以被用来做扫段,近年来数十甚至上百的c段同时被攻击已经成为云面临的最普遍网络威胁。到了ipv6时代地址海量,有可能出现上千c段同时被扫段的情况。
杨莉举例说,2021h1,香港100多个c段同时被攻击,到每一个目的ip地址的攻击报文速率不到100pps,对单目的ip而言,无法触发防御,这类扫段攻击叫做“单ip低速扫段”。
虽然攻击对单目的ip而言,没有形成直接的ddos威胁,但因为同时被攻击的ip数量庞大,所有ip加起来形成的攻击强度还是比较大的,最终导致机房的带宽拥塞,整个机房的业务受损。还有一种扫段是“单ip高速扫段”,“单ip高速扫段”是指攻击速率高,能触发每一个目的ip的防御,但要求云边界抗d系统具有高并发主机防护能力。
2021年,扫段攻击复杂化,叠加了脉冲攻击形态,使防御更加困难。过去单ip流量太大危及云基础网络设施安全,云通常采用秒级黑洞保护云自身网络,但是扫段无法使用黑洞,如果对被攻击的c段全部采用黑洞则大部分网络也会被切断,相当于杀敌一千自损八百。
针对ipv6面临扫段攻击更严重的情况,华为采用三层防御架构,对单个云网络来说是两层防御,即第一层网段防御,第二层是主机防御,网段防御层过滤扫段攻击,保护云网络,主机防御层过滤传统的针对单ip的ddos攻击,保护云租户业务。
如果扫段攻击流量大到危及云网络链路带宽,则启用bgp flowspec,在运营商网络阻断扫段攻击,将对云的攻击损失降低到最小。当前运营商已经逐步采用bgp flowspec替代传统的单一的基于黑洞路由的流量封堵技术。
同样,为了获利,互联网业务发生变化亦驱使ddos攻击形态发生变化,最终引发抗d技术随之变革。过去互联网业务以网站为主,结果以web cc为主。如今互联网业务复杂了,针对app的cc攻击,针对云微服务api的cc攻击日渐猖獗。
另外,80%的流量都加密了,但ddos攻击并没有因为加密而减少,反而让防御更加困难,再加上随着ipv6发展,5g、物联网兴起,海量僵尸主机越来越廉价,导致cc攻击速率越来越高。
互联网业务变化对防御技术产生的影响非常大,可以说传统防御技术失效。首先,过去网站防御通常采用基于重定向的源挑战认证技术,但这类防御技术不能应用于app和api业务防护,不仅认证强度不够,攻击会绕过,关键app和api访问会中断。
其次,针对加密攻击,很多厂商提倡的是解密防御,但解密防御的性能非常低,导致边界抗d丧失成本优势,最重要的是会成为网络的性能瓶颈。
最后面对海量僵尸发起的低速cc,每一个僵尸攻击速率非常低,导致源限速失效。
杨莉提到,针对这些变化,华为对http cc及https cc防御根技术进行了变革,摒弃源认证技术,采用多维度的源行为分析技术防御高频cc,同时引入滑动窗口模拟机器人周期性攻击行为,提升行为分析识别cc攻击的准确率。行为分析防御属于非侵入式防御技术,对业务的兼容性好,且防御性能有明显优势。
尤其基于行为分析防御加密cc,不解密防御性能是解密防御的几十倍,且完美地规避了边界抗d解密防御的部署缺陷。近年来ai技术火热, ai的智能分类技术非常适合用于僵尸识别,华为主要用于防御低频http cc。
近年云原生安全火热,过去云边界抗d主要职责是防御网络层攻击,但随着cc攻击强度大幅度攀升,危及云网络基础设施,因此云边界抗d必须过滤大流量cc。比如,2019年3月某云上广告api调用遭受175gbps的cc攻击,其中25gbps网络层cc,150gbps http cc。
因此,云原生安全已经逐步将cc攻击纳入ddos防护服务看护范畴。那么,华为云原生安全到底怎么做的?首先针对网络层泛洪攻击,华为云依据租户具体防护带宽划分为不同的防御组,比如10g防御组,50g防御组,依靠专家策略模版,即可做到全程无干预防御。其次,针对复杂的cc攻击主要 借助“防御自动驾驶”实现防御全程自动化。
大家知道,华为的网络已经成功实现了“自动驾驶”,当前ddos防御华为也在主推 “自动驾驶”。所谓“自动驾驶”,就是过去cc防御效果不好,全靠运维人员手工去调优策略,现在这个过程是系统自动去执行。
简单来说,就是当某ip遭受cc攻击且出现漏防时,系统会自动对被攻击ip各种维度流量做做快照,自动分析、评估防御效果,找出漏防流量,同时将被攻击的ip的防御环境进行克隆创建新的防护组,基于新的防护组进行防御策略针对性地收紧调优,同时持续进行流量快照、防御效果评估循环,只有当防御后多维度的转发流量和流量基线相符合,即说明防御效果达成,此时停止策略调优过程。攻击结束,系统自动进行攻击数据归档, ip防御环境复原。
最后,杨莉表示,云网络租户和云主机数量庞大,大流量cc攻击如果还依靠传统的人工响应策略调优,成本将达到难以想象。华为希望借助防御自动驾驶,实现云原生cc防御全程自动化。
原文标题:华为杨莉:ipv6+云时代ddos挑战与对策
文章出处:【微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。
完美替代英飞凌TC387—国产车规芯片_紫光THA6
要想商业化,首先就要解决燃料电池技术和成本问题
工信部组织编制行动规划 意味着我国开始全力攻坚人工智能前沿技术
两款安全地毯控制器的区别
广州5G网络速度测试 最高达808Mbps比4G快7~8倍
华为借助防御自动驾驶实现云原生CC防御全程自动化
比亚迪2023年净利润预增74%-86%,预计达290亿-310亿元
第八讲 其它功能的TTL门电路
关于TI PMBus的特点及应用要求介绍
无线通信加可穿戴设备加强改善工厂前线作业
功能块MCA_CamInDirect的电子凸轮功能(3)
5G时代的到来必定成为小米走向更高更强的一次良机
小米9 Pro 5G正式发布该机搭载骁龙855 Plus支持5G双卡三频全网通
苹果将在明年推出自主研发的桌面电脑处理器A14T
RFID养老院人员定位系统解决方案
应用于手机中的WLAN三频带天线设计解析
机器人团队完成了Wikipedia机器人的首次普查
中国移动发布了2019年至2020年骨架式带状光纤产品集采中标结果
预估2024年人脸识别市场的复合年增长率为16.6%
为何交流电源变直流电源时电压会增加1.4倍
近日,以“引领分布式云变革 助力湾区数字经济”为主题的全球分布式云大会在深圳隆重召开。在本次峰会举办的分布式安全存储论坛上,华为antiddos产品研发总监杨莉发表了题为《ipv6+云时代ddos挑战与对策》的精彩演讲。
随着互联网业务向云迁移,ddos攻击因简单、低廉及难防御成为云基础设施最大威胁。从ipv4时代来看,ddos攻击呈现出强度持续攀升趋势,t级攻击时代到来。今年六七月份,全国多个机房遭受到了t级攻击,华为记录的某个机房最多一天遭受了9次t级攻击;甚至网络层cc的攻击强度也提升至50g-100g。第二个趋势是攻击复杂度持续攀升, 扫断叠加脉冲,对云基础设施构成了巨大威胁。ipv6网络时代,ddos对云的威胁会持续加剧,云抗d技术必须有更大的变更,才能应对ipv6时代的ddos威胁。
俗话说“道高一尺魔高一丈”,抗d技术永远是跟随攻击被动发展。总的来说,利益趋势下,网络环境和互联网业务发展变化促使ddos攻击形态发生变化,为了防住攻击,防御技术需要随之变革。
当前网络环境最大变化自然是ipv4向ipv6演进。
从协议安全性角度看,ipv6相比ipv4在ddos上没有任何改观,ipv4面临的攻击ipv6几乎都存在。2018年,cernet北美网络节点遭受了ipv6 memcached反射;2021年国内ipv6网络层和应用层攻击频发,可以说,ipv4网络向ipv6网络发展过程中,ipv4出现过的网络层ddos攻击和应用层ddos攻击,ipv6网络照单全收。
ipv6的发展需要经历一个漫长的过程,虽然大多数国家运营商ipv6网络已经建设完毕,但互联网业务依然处于以ipv4为主的时代,所以ipv4和ipv6会处于长期共存状态,双栈共存时期的ddos攻击也有新的形态。首先是双栈攻击,一个业务既有ipv4地址又有ipv6地址,两者会同时遭受攻击;其次,双栈攻击时期,ipv6的数据会通过ipv4隧道转发,而ddos攻击会隐藏在隧道中,形成ip6over4隧道攻击。
ipv6协议在ipv4协议基础上演进,因ipv6协议自身特点引入了一些新型的ddos。首先ipv6的报文头引入了扩展字段,增加了灵活性,但也因此引入了利用特殊构筑的ipv6扩展头发起的扩展头攻击。其次,基于icmpv6的邻居发现协议(neighbor discovery protocol),发起的ndp flood。
总结来说,ipv6时代有三类威胁形态,第一类是ipv4、ipv6共有的ddos攻击形态,第二类是ipv4向ipv6过渡时期的ddos攻击形态,第三类是针对ipv6协议的攻击形态。
针对这三类攻击,从防御角度讲,主要要做到双栈防御;针对ipv6over4流量,一般来说直接做限速即可,因为运营商ipv6网络建设已经非常完善,不应该出现ipv6over4流量,尤其是国内各种云已经不存在ipv6over4流量,如果的确有这类特殊场景,建议把隧道做白名单管理,其它隧道流量直接做限速;对ipv6流量则默认提供报文头合法性检查,以及ndp流量限速。
ipv6另一个特点是地址无限, 这导致ipv6时代主流ddos攻击形态包括虚假源网络泛洪、udp反射、tcp反射、扫段、cc攻击的攻击强度相比ipv4时代会更加猛烈。
大流量攻击频发,且攻击成本廉价,经常不足百元就能发起大规模ddos攻击,但防御需要花费数万甚至数百万。而攻防对抗本质上是成本对抗,因此,防御技术亟待变革。
以华为自身为例,5年前,抗d算法以cpu即c码实现为主,即“软防”,面对日益攀升的攻击强度,没有任何成本优势,不得已、华为摒弃单一的“软防”,借助专业硬件即np(network processor)防御网络层大流量攻击,即“硬防”。针对单节点的云,可以有效降低防御成本。
此外,面对t级攻击常态化态势,对任何云而言,边界on-premise防御失效;为了解决这个问题,有些云会借助t级高防预洗攻击,干净的流量回源到云,但自建高防成本较高,毕竟攻防本质上就是成本对抗,防御如果成本太高,等于防御失败;还有一些云会借助运营商的云云清洗在网络上游拦截攻击,但同样面临成本高的问题,同时运营商云清洗还存在调度慢的问题,t级攻击多是秒级加速(2021年多个攻击样本统计结果显示每秒加速可高达70g以上),且攻击持续时间短到不足2分钟,结果调度还未完成,攻击就已经结束了。
杨莉表示,国内头部云厂商主流的做法,是依托云骨干和边缘节点,利用anycast的调度,形成全网分布式近源清洗网络,但受国内运营商网络环境限制,很难真正做到路由随时随地的anycast,因此也引发出一种叫做运营商代播的技术。
扫段攻击已经成为互联网公害,几乎所有网络层ddos攻击形态都可以被用来做扫段,近年来数十甚至上百的c段同时被攻击已经成为云面临的最普遍网络威胁。到了ipv6时代地址海量,有可能出现上千c段同时被扫段的情况。
杨莉举例说,2021h1,香港100多个c段同时被攻击,到每一个目的ip地址的攻击报文速率不到100pps,对单目的ip而言,无法触发防御,这类扫段攻击叫做“单ip低速扫段”。
虽然攻击对单目的ip而言,没有形成直接的ddos威胁,但因为同时被攻击的ip数量庞大,所有ip加起来形成的攻击强度还是比较大的,最终导致机房的带宽拥塞,整个机房的业务受损。还有一种扫段是“单ip高速扫段”,“单ip高速扫段”是指攻击速率高,能触发每一个目的ip的防御,但要求云边界抗d系统具有高并发主机防护能力。
2021年,扫段攻击复杂化,叠加了脉冲攻击形态,使防御更加困难。过去单ip流量太大危及云基础网络设施安全,云通常采用秒级黑洞保护云自身网络,但是扫段无法使用黑洞,如果对被攻击的c段全部采用黑洞则大部分网络也会被切断,相当于杀敌一千自损八百。
针对ipv6面临扫段攻击更严重的情况,华为采用三层防御架构,对单个云网络来说是两层防御,即第一层网段防御,第二层是主机防御,网段防御层过滤扫段攻击,保护云网络,主机防御层过滤传统的针对单ip的ddos攻击,保护云租户业务。
如果扫段攻击流量大到危及云网络链路带宽,则启用bgp flowspec,在运营商网络阻断扫段攻击,将对云的攻击损失降低到最小。当前运营商已经逐步采用bgp flowspec替代传统的单一的基于黑洞路由的流量封堵技术。
同样,为了获利,互联网业务发生变化亦驱使ddos攻击形态发生变化,最终引发抗d技术随之变革。过去互联网业务以网站为主,结果以web cc为主。如今互联网业务复杂了,针对app的cc攻击,针对云微服务api的cc攻击日渐猖獗。
另外,80%的流量都加密了,但ddos攻击并没有因为加密而减少,反而让防御更加困难,再加上随着ipv6发展,5g、物联网兴起,海量僵尸主机越来越廉价,导致cc攻击速率越来越高。
互联网业务变化对防御技术产生的影响非常大,可以说传统防御技术失效。首先,过去网站防御通常采用基于重定向的源挑战认证技术,但这类防御技术不能应用于app和api业务防护,不仅认证强度不够,攻击会绕过,关键app和api访问会中断。
其次,针对加密攻击,很多厂商提倡的是解密防御,但解密防御的性能非常低,导致边界抗d丧失成本优势,最重要的是会成为网络的性能瓶颈。
最后面对海量僵尸发起的低速cc,每一个僵尸攻击速率非常低,导致源限速失效。
杨莉提到,针对这些变化,华为对http cc及https cc防御根技术进行了变革,摒弃源认证技术,采用多维度的源行为分析技术防御高频cc,同时引入滑动窗口模拟机器人周期性攻击行为,提升行为分析识别cc攻击的准确率。行为分析防御属于非侵入式防御技术,对业务的兼容性好,且防御性能有明显优势。
尤其基于行为分析防御加密cc,不解密防御性能是解密防御的几十倍,且完美地规避了边界抗d解密防御的部署缺陷。近年来ai技术火热, ai的智能分类技术非常适合用于僵尸识别,华为主要用于防御低频http cc。
近年云原生安全火热,过去云边界抗d主要职责是防御网络层攻击,但随着cc攻击强度大幅度攀升,危及云网络基础设施,因此云边界抗d必须过滤大流量cc。比如,2019年3月某云上广告api调用遭受175gbps的cc攻击,其中25gbps网络层cc,150gbps http cc。
因此,云原生安全已经逐步将cc攻击纳入ddos防护服务看护范畴。那么,华为云原生安全到底怎么做的?首先针对网络层泛洪攻击,华为云依据租户具体防护带宽划分为不同的防御组,比如10g防御组,50g防御组,依靠专家策略模版,即可做到全程无干预防御。其次,针对复杂的cc攻击主要 借助“防御自动驾驶”实现防御全程自动化。
大家知道,华为的网络已经成功实现了“自动驾驶”,当前ddos防御华为也在主推 “自动驾驶”。所谓“自动驾驶”,就是过去cc防御效果不好,全靠运维人员手工去调优策略,现在这个过程是系统自动去执行。
简单来说,就是当某ip遭受cc攻击且出现漏防时,系统会自动对被攻击ip各种维度流量做做快照,自动分析、评估防御效果,找出漏防流量,同时将被攻击的ip的防御环境进行克隆创建新的防护组,基于新的防护组进行防御策略针对性地收紧调优,同时持续进行流量快照、防御效果评估循环,只有当防御后多维度的转发流量和流量基线相符合,即说明防御效果达成,此时停止策略调优过程。攻击结束,系统自动进行攻击数据归档, ip防御环境复原。
最后,杨莉表示,云网络租户和云主机数量庞大,大流量cc攻击如果还依靠传统的人工响应策略调优,成本将达到难以想象。华为希望借助防御自动驾驶,实现云原生cc防御全程自动化。
原文标题:华为杨莉:ipv6+云时代ddos挑战与对策
文章出处:【微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。
完美替代英飞凌TC387—国产车规芯片_紫光THA6
要想商业化,首先就要解决燃料电池技术和成本问题
工信部组织编制行动规划 意味着我国开始全力攻坚人工智能前沿技术
两款安全地毯控制器的区别
广州5G网络速度测试 最高达808Mbps比4G快7~8倍
华为借助防御自动驾驶实现云原生CC防御全程自动化
比亚迪2023年净利润预增74%-86%,预计达290亿-310亿元
第八讲 其它功能的TTL门电路
关于TI PMBus的特点及应用要求介绍
无线通信加可穿戴设备加强改善工厂前线作业
功能块MCA_CamInDirect的电子凸轮功能(3)
5G时代的到来必定成为小米走向更高更强的一次良机
小米9 Pro 5G正式发布该机搭载骁龙855 Plus支持5G双卡三频全网通
苹果将在明年推出自主研发的桌面电脑处理器A14T
RFID养老院人员定位系统解决方案
应用于手机中的WLAN三频带天线设计解析
机器人团队完成了Wikipedia机器人的首次普查
中国移动发布了2019年至2020年骨架式带状光纤产品集采中标结果
预估2024年人脸识别市场的复合年增长率为16.6%
为何交流电源变直流电源时电压会增加1.4倍