中国IDC圈1月7日报道,1月5-7日,第十届中国IDC产业年度大典(IDCC2015)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。
中国IDC产业年度大典作为国内云计算和数据中心领域规模最大、最具影响力的标志性盛会,之前已成功举办过九届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。
华为企业网络产品线首席安全架构师钱晓斌出席IDCC2015大会并在大数据应用与安全技术论坛发表主题为《云清之道》的精彩演讲。
华为企业网络产品线首席安全架构师钱晓斌
以下为钱晓斌演讲实录:
大家好,非常高兴来做分享。DDOS在二十年中变化非常多,从1996年到2016年二十年的时间,攻击在持续升级,防御技术方面在不断跟进,最早从简单的扫描演进到网络层面的攻击,最后到应用层,现在到了移动端的应用攻击,变化非常多。近几年出现最大的问题是利用了大型的僵尸网络以及协议的漏洞导致放大的攻击非常严重。一旦DDOS的攻击者从互联网世界里找到可以利用的攻击资源,利用大量的僵尸网络发起攻击的时候,互联网世界就处于非常大的威胁中。可以看到开放的免费的服务器资源NTP、DDOS还有其他,利用原始的非常简单的协议特点可以发起庞大的DDOS攻击。大家知道NTP的指令发出去只是234字节的小包,这个请求包在很大程度上利用技术手段可以变得更小,一个请求包发过去,NTP的服务器会把最近统计的600个客户端的IP地址发送,每六个一组变成100组,每组482个字节,每次请求的返回数量非常大,用482除以234再乘以100,如果把这个请求包变得更小,可以把放大倍数放到500倍,很多网络服务协议都有这个特点。在互联网上做DDS的攻击非常容易。
DDOS的攻击,DDOS攻击向全球化、大流量发展,管道拥塞频发。2014年底出现过一次接近500的攻击,对运营商或者互联网用户来说影响非常大,最头疼的就是运营商,用户抱怨,它的运营成本会极大增高,很多电路费用都让供给者占了。2016年P2P的网络会被攻击者利用,利用P2P的特性做反射的放大攻击会成为一种趋势,大家可以观察。HDTP的反射攻击开始崛起,主要是两种,一种是基于JS脚本的DDOS攻击,还有一些特殊应用,像WordPress,需要整个机制增加一些特性,比如地理位置的过滤、验证、会话级的检测、更高层面的情景分析。对于IDC来说,面临的DDOS威胁分成这三大类,第一类首当其冲的是低流量的DDOS攻击,会给IDC造成带宽上的麻烦,给应用造成威胁。
互联网威胁的世界里,我的看法像病毒,如果把DDOS看作一种生物的话,二十年的演进过程中也是从原先很小的单体的单细胞的粗暴型的攻击,慢慢变成强大的类似于运营的攻击机制。对DDOS防御的关键点是三方面,如果用简单的模型来看,这里面的主要要素是三点,一个是管理中心的云查杀,云端是做管控的以及外部的威胁收集。下端是做检测的查看或者检测的流量,进一步判定它是不是DDOS的攻击流量。专业的流量分析设备在国内有很多厂商能提供,但现在在DDOS的进一步演进下需要出现清洗中心,以前买了DDOS这个设备之后,检测跟清洗是一体的,现在在大的环境里,比如数据中心运营商这一层,用单体功能设备或者单体集群都不能解决,需要不同的个体间进行联合的防御,所以这块就更有必要加强管理端的能力。
从防御的架构要点,这些核心技术都会涉及到前面说的云查杀三个点上的技术,云端更加职能化,原先通过人,通过运维方面去配置,需要设备或者系统了解更多的外部威胁情报,全球化收集数据,在防御体系里去分享。另外对于下层的检测能力,更需要增加一些新的方法,像指纹技术,更多的倾向于系统内部或者是外部加一些机器学习或者智能化的方法,在流量层面更智能地判定它的攻击流量跟正常流量的区别。对于僵尸工具的特征跟踪也是辛苦的工作,新的地理位置的过滤、会话的监控。网络流层面的检测和连包检测方案,这是在防护能力、响应时间、对现网路由器或交换机要求、检测精度、每G流量成本、检测性能扩展性方面二者的比较。技术流派就这两种,下一代的网络里这两种方案,第一方案会被基础的网络设备吸收,第二种方案在未来的网络里会变成安全资源池,池子里可以动态地调用,在前端使用成本比较低的方案,虽然延时比较大,但在全网范围内可以看得更多。如果精准定位了一些流量,一定要用后端精准的检测,在前面还有一些无法判断的流量可以引到后面做检测。