剑走偏锋 极御云安全发布第二代DDoS云清洗服务
2018-08-24
公司动态

今年刷新了DDoS攻击新纪录的Memcached 放大攻击让世界顶级的开源代码托管服务商github遭受重创,攻击高达1.35Tbps(这个攻击规模相当于 12306 每秒流量的数千倍,如果换算成下载GTA5 游戏(60GB大小)的速度,相当于每秒可以下载 2 个GTA5 大小的游戏),可见DDoS攻击已成为头号互联网毒瘤。

在介绍极御云安全第二代DDoS云清洗算法之前,小编带大家先了解下DDoS攻击的 7 种武器。

长生剑——SYN Flood攻击,这武器来头可不小, 1996 的时候全球最大的互联网门户网站雅虎就被SYN Flood轻松击败,瘫痪数天,造成数百万美元的损失。SYN Flood可以凭借源IP伪造的能力利用TCP协议三次握手轻松将目标服务器资源耗尽并瘫痪。尽管硬件防火墙可以处理和防御SYN Flood攻击,但是对于SYN Flood攻击的防御依然还是杀敌一万自损三千的方式实现的。

多情环—— TCP全连接攻击,由于SYN Flood攻击能够被一些先进的防御算法所识别和防御(SYN Cookies和SYN Proxy等算法),这时候TCP全连接攻击出现了,通过完成TCP的三次握手,最终和目标服务器建立TCP连接,殊不知服务器对于TCP连接的建立和处理能力是有限的,例如某游戏的网关程序由于代码写的比较烂,超过 1000 个TCP连接就无法继续处理新的TCP请求了,正所谓“多情总被无情伤”。TCP全连接攻击正是通过这种方式绕过硬件防火墙的防御措施从而拖垮服务器。

孔雀翎——TCP畸形包攻击,发送伪造源IP的TCP数据包,并且TCP Flags 部分是混乱的,可能是syn,ack,syn+ack,syn+rst等等,会造成一些防护设备处理错误锁死(通常现在的硬件防火墙算法已经不再有这种问题了),消耗服务器CPU内存的同时还会堵塞带宽。就好像孔雀翎,总是在迷惑对手的时候施展最后的致命一击。

碧玉刀——UDP Flood攻击,这种攻击是 16 年之后开始日渐流行的,由于UDP协议是无连接的协议,互联网中有很多的服务是基于UDP协议的,例如DNS,NTP,SSDP,SNMP等,但是这些服务都可以被黑客利用成为攻击流量的放大器,黑客可以轻松的实现四两拨千斤,只需要1G的攻击流量即可通过这些放大器放大数十倍甚至数千倍,今年刷新DDoS攻击最大纪录的Memcached放大攻击就是属于这种方法实现的。看似轻盈小巧的碧玉刀,实则威力不容小觑。

拳头——DNS Flood攻击,由于DNS服务器在互联网中扮演着至关重要的角色,可以毫不夸张的说没有DNS服务器就没有互联网!可谁能想到DNS服务器也是非常脆弱的,黑客可以利用大量的肉鸡和向某个域名发起递归攻击(NXDDomain),可怜的递归DNS服务器和权威DNS服务器都将受到重创,而且一旦递归DNS服务器瘫痪,将影响大量的宽带用户的正常上网,而权威DNS服务器面对大量的递归DNS请求也只能死撑,但是能撑住的可能性很低。根据微软的统计数据,一台DNS服务器所能承受的动态域名查询的上限是每秒钟 9000 个请求。而我们知道,在一台PC机上可以轻易地构造出每秒钟几万个域名解析请求,足以使一台硬件配置极高的DNS服务器瘫痪,由此可见DNS 服务器的脆弱性。DNS解析作为DDoS攻击之根本,就好像拳头一样,随时随地可以出手。

离别钩——CC攻击,是DDoS攻击的一种,是利用不断对网站发送连接请求致使形成拒绝服务的攻击。相比其它的DDoS攻击,CC攻击是应用层的,主要针对网站,通过对网站发起大量的请求,间接的增加数据库和日志系统的压力,导致网站最终完全瘫痪。而CC攻击目前已经发展到了可以实现完全模拟真实用户的访问频率,已经成为最难防御的攻击类型之一。就像离别钩名为离别,实为相聚一样,CC攻击的真实意图又有谁能理解呢。

霸王枪——空连接和假人攻击,因为游戏服务器非常多,这里介绍最早也是影响最大的传奇游戏,传奇游戏分为登陆注册端口7000,人物选择端口7100,以及游戏运行端口7200,7300, 7400 等,因为游戏自己的协议设计的非常复杂,所以攻击的种类也花样百出,大概有几十种之多,而且还在不断的发现新的攻击种类,最普遍是假人攻击,假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家,很难从游戏数据包来分析出哪些是攻击?哪些是正常玩家。针对游戏服务器的攻击十分霸气,就像霸王枪蛟龙出水,难以抵挡。

极御云安全发布的第二代DDoS云清洗服务堪称六脉神剑

以上DDoS攻击的七种武器都有各自的特点和杀伤力,但也并非无法防范。说起抵御DDoS攻击的招数,就不得不提起六脉神剑绝技,以无形化有形,瓦解着DDoS的一次次攻击。

少商剑——SYN Flood防御算法,极御云安全自研的Safe SYN Mitigation算法可以实现几乎无损用户体验的SYN Flood防御,用户访问被SYN攻击的服务器时不会出现首次打开失败需要刷新网站或者重新登陆游戏的情况,并且相对于传统的SYN Proxy和SYN Cookies算法,极御云安全的Safe SYN Mitigation更具性价比,防御成本可以降低50%以上,同时并不会降低用户的体验。

SYN Flood防御算法就好像少商剑一样,异常刚猛,颇有石破天惊,风雨大至之势,是御敌最常用到的招式。

商阳剑——UDP Flood防御算法,UDP协议与TCP 协议不同,是无连接状态的协议,并且UDP应用协议五花八门,差异极大,因此针对UDP Flood的防护非常困难。一般最简单的方法就是不对外开放UDP服务,但是这怎么难得到极御云安全的研发Leader呢!

极御云安全突破性的结合了UDP Packet动态采样过滤算法和PacketDNA指纹算法,可以从端到云实现数据包的全链路可信认证,就和身份证一样,每一个合法的公民都有身份证,同样每一个合法的数据包从源头发起的时候就具备了唯一和可信的报文指纹和ID,而黑客通过肉鸡发出的UDP Flood攻击是无法具备这种指纹和ID,从而实现100%防御各种UDP Flood攻击。

将UDP Flood防御算法比作商阳剑,就和商阳剑一样,虽难以捉摸,但是能一招制敌。

少泽剑——DNS Flood防御算法,极御云安全基于自研的云甲FPGA芯片级DDoS防御系统实现了高性能权威DNS,能够自动学习后端的DNS服务器的DNS响应请求并缓存,并能够通过API实现替身式的DNS服务,将后端DNS服务器保护在城墙之内,代替后端DNS服务器响应。这需要相当强悍的DNS处理能力才可以支撑,好在极御云安全的DNS防御和响应能力高达 2 亿QPS,并通过各种算法限制随机查询和源IP查询次数限制等。就好似少泽剑忽来忽去,变化精微一般,DNS Flood防御算法也在变化中不断调整,以求防御的最佳效果。

少冲剑——CC防御算法, 10 年前的CC攻击和现在的CC攻击已经是今非昔比了,现代化的CC攻击具备了超强的防御对抗能力,以前的CC防御算法都已经败阵下来,极御云安全通过全新的指纹追踪算法,能够瞬间拦截各种CC攻击,无论攻击者如何变换都无法逃过指纹追踪。颇有少冲剑轻灵迅速,以巧取胜之意。

关冲剑——限制连接数, 通过限制连接数对通过验证的IP地址进行相关的访问频率和速度限制,如关冲剑一般,看似拙滞古朴,实则为招数之基本。通过判断连接数,即每秒访问数量,保证受保护主机始终有能力处理数据报文,可以有效降低肉鸡的攻击效果,即发起同样规模的攻击则需要更多的肉鸡。

中冲剑——全球部署了 20 多个DDoS云清洗中心,总DDoS防御能力超过10Tbps,拥有Anycast近源清洗能力,多维压制,降维打击。犹如中冲剑,一招御敌,气势十足。

七种武器各自为战,六脉神剑集于一身,当七种武器遇到六脉神剑,孰胜孰败已见分晓。


极御云安全团队

2018-09-20

关键词: DDoS云清洗
凡本网站转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人,如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。

马上开启您的安全之旅

立即开启