12月12日,全球首个探讨产业互联网的大型会议,2014 CVW﹒产业互联网大会在北京亦庄召开,并通过纽约时代广场大屏幕同步呈现。大会由亚信集团、云基地和亦庄经济技术开发区联合举办,汇聚超过5000名关注互联网和传统产业发展的全球IT和传统行业领袖和精英,探讨“互联网进入传统行业”、“传统行业互联网化”的演进以及产业互联网的技术模式和业务创新。
在下午的“网络安全@互联网”主题论坛上,中国电信SOC中心主任刘紫千<2D困局和运营商的机会>的主题演讲.
以下是他的演讲全文:
刘紫千:今天我们讲2D,2D不是电影不是平面。2D是DDoS和DNS,看看这两个兄弟在互联网上面干了什么事情?在产业互联网,今天亚信提供一个非常好的平台,我们叫产业互联网化。从消费互联网走到产业互联网,之前见到庞总也说在产业互联网讲什么东西?定这个题目大概两三周之前,为什么定2D兄弟。其实任何产业互联网都会面临DDoS,DDoS是Dos的衍生品,拒绝服务,一般是比较典型的带宽,也有人说这个企业放在网上,只要联网就有可能遭受DDoS,第一个D是分布式,网上有很多机器,我们叫做肉机,他会发起很多应用层行为,将你的网站或者所有的联网资源耗尽,不管是带宽资源还是计算机的服务资源。如果你的机器你的应用你的服务接到互联网上,你会面临这个风险,会面临成倍的增长,到底多少凶险?我们看一下这个图。这个图是13年1月到14年11月份中国电信检测的网络攻击趋势,我们检测到的攻击整体趋势,每个月是一个柱状图,这一个柱子的高低代表这个月份,我们检测的攻击总流量,是总流量,不是流速,是一个累计值一个绝对值。
很明显,两年时间互联网的攻击流量一直在往上涨,但是大家看到说,这里好像矮了一下,整体趋势在往上涨的,我们的攻击一直越来越大。这三个颜色代表什么意思?我们看一下颜色定位,绿色代表攻击源头在中国电信网内,红色代表国内其他兄弟运营商,联通教育网、移动或者铁通,蓝色代表境外国际的互联网。那么也就是说这个柱子的高低代表攻击源头贡献攻击流量占到总攻击流量的比例,拿11月份来说,如果电信网络一个IP被打10G的攻击流量,电信攻击流量占到3.5G,从其他兄弟运营商打到电信的占到将近30%,但是不到50%是从境外打过来的,从北美、香港、欧洲等等。
我们看这个,这个红色代表着在14年的年初,从联通进入电信的攻击流量明显的下降了。但是蓝色,国际过来的流量总体趋势一直很凶,那么电信自己打自己的绿色,虽然有所增长但是基本占比比较稳定。为什么这个占比会下降?现在说说我们自己,我带领的团队从12年开始持续做一件事情,就是压缩国内互联网虚假原地址的流量。什么意思?大家知道发生DDoS的攻击的时候,IP可以仿冒。如果仿冒IP的流量在互联网上大行其道的时候,你可能很难。特别是终端用户,你看到一个IP,这个IP怎么是我家隔壁邻居,对不起,这个IP很可能是仿冒的。你想定位源头很难,如果不是骨干网运营商。我们当时做这个事情的之前,国内虚假流量占电信总流量的4%到5%,不保守大概是4%到6%,非常大,中国电信现在的峰值流量50TBS,它占到好几个点。通过两年的努力,我们将这种控制源不断将网络边缘化,现在占到互联网总流量的只有不到千分之一,缩减了将近两个数量级。我们后来做了这个事情以后,我们联通的同事积极跟进,他们做的稍微晚一点。在14年把联动过来的流量明显压制,大家知道黑客最宝贵的攻击是肉机,肉机可以拿来卖,如果发现以后肉机不存在了,地下黑客产业链会受影响。
我解释完这个图,回到这里面第二点,就是电信网外的源头,现在国际加上国内其他兄弟运营商过来的攻击流量占比占7成左右,那么还有一个数据我们现在骨干网检测的攻击,每天大概六百到八百,有时候会超过一千。还有DNS的攻击占百分之三点多,虽然它的占比少,但是它的危害一点都不小。持续时间小于30分钟,大部分的攻击持续比较短,但是一个效应就是超过六个小时的攻击,将近6%。12月10号到12月11号,刚才几个嘉宾铺垫了。我个人在参与处理一个互联网的DDoS的攻击,持续时间将近36个小时,这是我现在见到持续时间最长,而且范围最广的DNS攻击。这其实是6月份,从6月份到11月份,最近这六个月单次攻击的峰值,刚才看到总量趋势现在我们看看单次攻击可以达到多大规模。这个图将近62%的攻击小于10个G,但是我们看到大于100G的攻击,100+200G其中有1%,这里再看几个数字。很多企业都有防火墙、IPS还有企业有流量清洗设备。流量清洗设备,都有抗DDoS能力,但是在我们看低于10G已经不能算抗DDoS,如果你的攻击只是在10个G以下,证明你没有被人盯上。如果这些次数平均一天来说,几十次上百次的攻击如果打到一个企业,你吃不吃的消?大于100G的一月58次,大于200G,这是我们最近的发布,这是统计数据不是企业信息。200G的一个月有超过14次,这是什么概念?做云中心的朋友们可能比较熟悉,一个典型的IDC可能不到100G,可能超过100G以上的攻击,一个月将近170。
说完了困惑,看看我们的机会,这里有一个概念叫近源防护。任何在靠近防护目标,所谓目的端的防护,在抵抗大流量攻击的时候都是徒劳,因为你的出口带宽有限。一个小广告,但是不会展开。中国电信有一个产品我们叫做云D,专门抗击T级,1000G以上的DDoS攻击,这是我们的示意图。如果我们的客户在江苏南京被DDoS,它的攻击源头肯定来自祖国四面八方,大好河山都过来了。我们的云D启动以后,这是骨干运营商玩的。我们有很多在全网分布式部署的清洗中心,将攻击流量迁移到离他最近的清洗中心,然后再送达。如果你在单点来做,可能单点的网络资源,你的投入抵挡不了超百G的攻击,如果你守住自己的疆土,你可以做的带宽上限是无穷的。讲完了第一个D,我们看第二个D。
DNS的解析服务,刚才说了DNS是互联网的基础服务,那么也是一个入口的争夺。特别是BAT或者互联网公司都想自己做DNS,现在我们统计的数据中国电信网内的用户使用DNS的时候,他们的流量分布。在其他的剩下16%里面,第一是谷歌,360、114,差不多。流量我没有统计,太小了。基本家家户户都说,我能不能也有一席之地?那么他出来了,他出来问题就来了。人人都争夺入口,如果有人不合规矩争夺入口,问题就来了。这是我们去年二季度遇到的真实案例,有黑客篡改了你家宽带路由器,就是你家的Wifi路由器的一个配置界面,把用户的IP地址,从红色改成恶意IP,用户所有的查询流量没有去正规的DNS流量解析,而是去了黑客的DNS。我们的方式把这些恶意流量迁回到我们的节点,同时联合BAT,后来新浪知道了希望加入这个行动,我们一起来做,会提醒你的网络DNS被劫持了。我们修复了将近一千万的被劫持用户,这个量非常可观。
DNS的困惑列了几点,我准备这个片子,这个案例还没有发生,但是两天前这个案例折磨我到两三点才睡。就是这个案例,开放的解析器,这个好象不属于任何一家运营商管,有些人去尝试,他也可以当DNS解析服务为我提供合域名解析,好,这个东西开放有可能失控,怎么失控?这是一个真实案例。12月10号,早上4点56分,将近五点有一个尖峰,很快的过去不到一个小时。但是10点56的时候,这个尖峰引起我们注意,它大到什么程度?这里有两个数字。电信所有的DNS服务器,那一时刻收到的PPS,因为对于DNS来说最重要是PPS就是每秒的应用解析请求,不是绝对值流量是响应包,将近一千万。整个电信的监管互联网有多少?一亿五千万。这是什么概念?它已经远远超过国内现在DNS服务器一天解析的三到四倍,非常的不正常。那么好,还有一个概念,细心朋友会发现不对,深蓝色表示所有的DNS解析,浅蓝色表示电信,怎么深蓝比浅蓝还多?你电信占84%,开放的DNS服务器可能谁也不知道。今天这个说提供解析,明天可能消失,后天另外一个人又出来了。这个占比在这儿存在,但是没有人知道它到底归属谁负责?这个比例非常明显。
那么,到底什么原因?我大概还剩两分钟,一分钟。刚才我们才得到结果,因为今天凌晨时候我们拿到了样本,分析了以后,非常的复杂,因为这是一个对于运营商来讲,可能对于在座很多朋友来讲都是一个相对陌生的领域,我们讲产业互联网化,在产业非常末端、低成本的设备上存在的形态,就是嵌入式操作系统。我们提取了很多样本,最终我们发现说这种嵌入式的操作系统,是基于ARM的蠕虫病毒。这个结果结局很完美,控制端在境外。好像故事到此结束,但是其实我想说,在我们整个产业互联网来说,我们运营商占到一个中间的环节,但是我们的产业末端还有很多小型设备,不光是骨干网这种大路由器,也不是企业级或者运营商的防火墙,可能是很小的东西,就是家里一个小东西,以后家里所有的东西,摄像头开关都有可能被黑客攻击,这些东西直接就可以进去了。
总结一下刚才的片子,第一点,DDoS安全防护和DNS安全防护是产业互联网化进程中无法避的问题。任何一个企业你想服务所有的用户,这两个问题都逃不了。有人说DDoS我理解,DNS怎么理解?你企业要用域名,你申请了域名,这域名很有可能被人攻击。两天前的攻击,它针对的就是一款挖矿的游戏,一个游戏服务提供商,有人看的不爽,因为这个游戏服务提供商很火,有人声称提供保护,另外一些人觉得不爽,我要给你颜色看。如果你的企业参与商业竞争中,你的竞争对手在正面场合打败不了你,那么他就要从另外的方式打你。运营商两个资源,一个是网络资源第二是政企资源,网络资源刚才说了只有骨干网运营商能做,这是我们的竞争优势。第三,刚才在开头讲的产业链当中一环,运营商扮演着,对上我们用商业伙伴给我们的工具,为大众提供服务。我们希望能做的就是联动上游服务,把整个蛋糕做大。不光是安全蛋糕还有服务蛋糕,这个市场上我特别想提醒,如果在产业联盟上有做家庭网关,做智能小家电的设备,他们在企业研发中可能很少关注他们代码层面的问题;那么这些东西比一个正常的Windows更容易植入一些特征,而且研判中,因为它相对小众化,可能不被人注意。这里发出一个号召,我们上游不光是关注大家伙,还有数量众多的小家伙们,我们一起为中国互联网的网民提供一个安全的使用体验,良好的互联网环境。