随着互联网的高速发展,黑客攻击手段的不断演进,行业内的恶意竞争愈演愈烈,而攻击平台化、自动化又不断地降低着攻击成本,促使DDoS攻击的强度、频率和复杂度持续提升,企业网络DDoS防护面临着越多来越多的挑战:
大流量DDoS攻击峰值带宽不断攀升,T级攻击越来越频繁,依赖CPU抵御大流量攻击遭遇瓶颈;
CC攻击(Challenge Collapsar)是一种常见的DDoS攻击方式,通过僵尸网络或代理对被攻击服务器应用发起大量貌似合法的请求,耗尽服务器的处理性能。互联网业务由单一的WEB网站发展成WEB网站、APP、API调用共存的多业务模式,传统的CC防御是基于WEB网站业务特点进行源挑战认证,防御效果不佳;同时,越来越多的业务采用TLS加密模式,进一步提升了CC防御难度;另一方面,CC攻击通过高、低频率攻击混合的方式挑战防御系统灵敏度,传统依靠速率判定攻击源的防御技术难以奏效;
DDoS攻击越来越多的采用速战速决的手法,根据《2021年H1全球DDoS攻击现状与趋势分析》显示, 53.56%的攻击持续时间在10分钟以内,依靠专家经验进行防御策略手工调优的传统手段无法及时应对攻击。
华为根据大量IDC、云DC以及高防攻防对抗经验,创新地在HiSecEngine AntiDDoS系列产品上采用了NP加速+智能防御双引擎,可以有效应对这些新挑战。一方面,NP(Network Processor)加速引擎与CPU智能协同,实现对大流量DDoS攻击的快速抵御,另一方面使用智能防御引擎提供多维度行为分析能力,结合滑动窗口检测算法,可以根据僵尸主机(机器人)访问服务器资源的规律性、周期性特征,快速识别、阻断高频的CC攻击。
同时,为了提升防御效率,华为HiSecEngine AntiDDoS系列产品结合实时流量统计数据,智能判定防御效果并实现自动策略调优,将攻击响应由10分钟降低到秒级响应。针对大流量攻击、CC攻击的防御方法以及自动化防御的技术细节如下:
NP+CPU分层防御处置大流量DDoS攻击
随着新的UDP反射源、TCP反射源不断被挖掘,大流量DDoS攻击峰值带宽不断攀升,防御成本越来越高。T级攻击在IDC行业逐渐常态化。
同时,大流量DDoS攻击秒级加速,如下图所示,平均每秒加速可以超过70Gbits,攻击者通过“Fast Flooding”、脉冲攻击手法达到理想的效果,不断挑战防御系统的响应速度。
华为HiSecEngine AntiDDoS系列产品通过NP和CPU智能协同、分层防御的架构,提供逐包检测和毫秒级攻击响应,有效降低了防御成本。CPU进行逐包检测,当检测到网络层大流量攻击时,启动防御并将抵御大流量攻击的“重任”卸载到NP防御流程,经现网实测,单IP的“Fast Flooding”攻击可在20毫秒内快速阻断,针对200个C的扫段攻击则可在30毫秒内有效阻断。
智能化技术防御CC攻击
HTTP CC攻击是应用层最常见的攻击手法,传统基于HTTP 302重定向、JS等的源挑战认证仅适合HTTP网站防护。随着互联网业务变得复杂多样化,HTTP流量不仅包含WEB网站,还携带了大量的APP、API调用,传统DDoS防御手段无法有效识别。同时,越来越多的HTTP流量采用TLS加密,提升了CC攻击防御复杂度,如下图所示,HTTPS CC攻击占比高达18%(HTTPS Flood 6.68%,TLS异常会话11.4%)。
为提升防御成本,CC攻击多采用高频CC和低频CC混合的攻击模式,如下图所示。
基于业务访问的行为往往是突发性、无序的,而CC攻击属于机器人访问,攻击目标URI具有相似性,且访问行为具有明显的周期性。华为HiSecEngine AntiDDoS产品的智能化防护引擎提供多维度的源访问行为分析,精准锁定攻击资源,并结合滑动窗口动态模拟机器人攻击的周期性特点,从而快速识别、阻断高频CC。
多维度行为分析防御技术彻底摒弃源挑战认证的“侵入式”防御思路,能够兼容各类HTTP业务。尤其是在IDC防护场景下,运维人员很难以租户来判定被攻击IP的业务类型,所以基于多维度行为分析的防御方法更加简单实用,对比针对攻击人工调整防御策略,使用智能化防御引擎使得攻击响应速度从分钟级降至秒级,并且减少了防御效果对运维人员专业性的依赖度。
随着5G及IPv6的发展,僵尸数量也快速增长,采用大量攻击源降低单源CC频率的攻击方法已成为CC攻击的新趋势。面对海量僵尸源的单源低频CC攻击,华为HiSecEngine AntiDDoS系列产品针对攻击源IP进行多维度流量统计分析并上送到管理系统进行智能离线学习,精准识别出攻击源并针对攻击流量进行实时清洗。现网实际防御效果显示,通过使用智能离线学习,19秒即可实现阻断。
“自动驾驶”降低运维难度
DDoS攻击防御效果依赖防御策略的制定,防御策略配置不当,不仅导致攻击漏防,更有误防影响业务的风险。好的抗D产品不仅要求防御技术具有先进性,能应对快速演进的DDoS攻击,而且要求防御系统具有良好的易用性。
为了增加防御难度,DDoS攻击越来越倾向于使用混合攻击,运维人员通过手工调小防御阈值来抵御某种攻击的同时也可能导致了业务的误防。手工调优在漏防和误防之间寻求平衡需要花费了大量的时间成本,尤其是当发生海量僵尸单源低频CC攻击,依靠人工经验进行策略调优的过程变得更加困难,攻击应急响应时间往往超过10分钟。
为了改变DDoS攻击防御依赖运维人员的专业性,华为HiSecEngine AntiDDoS系列产品使用大数据+智能技术,通过历史流量日志离线分析+实时流量日志检测,基于本地业务流量进行多维度的基线学习,制作业务画像并生成业务白名单。攻击发生时,管理系统一方面根据基线自动优化防御策略有效抵御攻击,一方面针对攻击IP进行防御策略“备份”,将策略调优影响控制到最小范围,保证业务的正常访问。同时,防御过程中会针对攻击数据进行收集,作为后期的攻击溯源分析和复盘使用。
DDoS攻击的不断升级推动着防御技术的快速发展,华为不断探索、创新,全新推出HiSecEngine AntiDDoS系列产品,依托NP加速+智能防御双引擎,有效应对DDoS攻击带来的新挑战。
