作者:云端卫士产品总监 梁海兵
近年来,DDoS攻击的规模越来越大、方法越来越多、次数越来越密集,云端卫士检测到单次攻击中较大峰值达到602Gbps。传统的近目标清洗的模式越来越难以有效的为客户提供防护,业界也一直在思考“近源清洗”的可行性。
2015年下半年,某国内运营商向中盈优创旗下安全主品牌云端卫士(www.cloudguarder.com)寻求帮助,希望协助其构建近源清洗系统,从而实现在该运营商的骨干网络边缘对DDoS攻击进行处理。为客户带来可靠的安全服务的同时,也将大大降低DDoS攻击流量在骨干网电路中的占比,从而节省宝贵的骨干网电路资源,降低每年的投资扩容费用。
不同于传统的近目标清洗,近源清洗首先需要快速检测到DDoS攻击,并对攻击来源进行分析,列出TOP N的源主机地址、所在省份/国家、流量大小等指标。然后将上述信息传导至流量清洗系统,由流量清洗系统调用上述省份或国际出口位置的流量清洗设备,对于进入骨干网的DDoS攻击进行引流、清洗及回注,从而解决近源清洗的难题。
由于DDoS清洗技术、引流回注策略经过多年的发展,已经相对成熟可靠,完全具备近源清洗的能力,但是能否及时发现异常攻击、快速溯源还是未知数。
那么对于一次DDoS攻击的近源清洗,到底需要系统在多长时间内发现、多长时间内溯源呢?根据来自《中国电信-2015年DDoS威胁报告》中的统计,90%的DDoS攻击在半小时内结束。所以攻击发现时间和溯源的时间务必控制在数秒内完成,然后自动调用相关流量清洗设备进行近源清洗。此外,对于使用清洗服务的客户而言,越快进入清洗状态,其损失越少,清洗防护的时间每推迟1分钟,而造成的经济利益损失则会成倍增长。
实际上,较初期云端卫士的攻击检测的时间约为1分钟、攻击溯源约为3分钟,虽然该指标已经业界,但是还是无法帮助运营商实现数秒内完成检测、溯源分析。
随后云端卫士为其提供了实时、快速的攻击异常检测以及追踪溯源的解决方案——网络流量态势感知系统(Network Flow-visual Analysis System 以下简称:NFAS),通过引入了基于流量模型的Spark MLlib机器学习算法库、实时的复杂事件处理计算和新型的大数据推送技术,同时自主开发了“分类分层联动异常检测”引擎等技术和框架。NFAS单台中低端x86服务器可提供20万Flow/s左右处理能力,单台高性能x86服务器可提供30万flow/s处理能力,也可使用集群部署来进一步提升处理能力。
基于这些扎实的技术实力,云端卫士的NFAS实现了5秒内攻击检测、10秒内溯源分析,15秒之内将相关信息传导至流量清洗系统,从而实现了真正意义上的秒级近源清洗。
通过相关的部署,该运营商依托云端卫士的NFAS实现了“近源清洗”的核心诉求。同时经过现网真实攻击的考验,目前已经验证该模式的成功,同时将在不久后正式推出相关产品和服务,为企业客户提供安全防护服务,使客户可以更安全的使用互联网服务。
