目前�����,網(wǎng)絡(luò)安全問(wèn)題日趨嚴(yán)重,尤其是DDoS(Distributed Denial of Service����,分布式拒絕服務(wù))攻擊成本的不斷下降,使得這類攻擊成為目前最為普遍的網(wǎng)絡(luò)攻擊手段�。給電子商務(wù)、互聯(lián)網(wǎng)金融等依賴網(wǎng)絡(luò)實(shí)現(xiàn)業(yè)務(wù)發(fā)展的行業(yè)帶來(lái)了極大危害��。因此�,如何有效防止DDoS攻擊成為目前急需解決的網(wǎng)絡(luò)安全問(wèn)題。
由于DDoS攻擊借助于客戶/服務(wù)器技術(shù)�,將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊�,從而成倍地提高拒絕服務(wù)攻擊的威力。因此����,一旦IDC(Internet Data Center,互聯(lián)網(wǎng)數(shù)據(jù)中心)受到攻擊�,不僅會(huì)直接影響IDC自身業(yè)務(wù),甚至可以利用IDC所具備的超大流量對(duì)其他網(wǎng)絡(luò)中的設(shè)備進(jìn)行飽和攻擊�����,其后果不堪設(shè)想���。而對(duì)于運(yùn)營(yíng)商網(wǎng)絡(luò)而言�,DDoS攻擊同樣是其重點(diǎn)防范對(duì)象�。
為此,作為中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司上海分公司(簡(jiǎn)稱:上海聯(lián)通)與華為公司展開(kāi)聯(lián)合創(chuàng)新���,在2014華為云計(jì)算大會(huì)上(HCC 2014)上推出了DDoS云清洗服務(wù)產(chǎn)品�。其基于華為Anti-DDoS的全流量逐包方法建立起來(lái)的60多種流量模型���,可快速����、精準(zhǔn)實(shí)現(xiàn)攻擊檢測(cè)����。對(duì)此,上海聯(lián)通產(chǎn)品管理中心總經(jīng)理魏尚俊表示:“防范DDoS攻擊是目前很多用戶的迫切需求��,由于依靠互聯(lián)網(wǎng)提供業(yè)務(wù)的行業(yè)與企業(yè)越來(lái)越多���,這些用戶對(duì)于網(wǎng)絡(luò)安全性����、網(wǎng)絡(luò)服務(wù)可持續(xù)性要求非常高,為了滿足用戶的這種需求�����,上海聯(lián)通決定推出自己的云清洗服務(wù)產(chǎn)品�。”
上海聯(lián)通、華為云清洗服務(wù)聯(lián)合創(chuàng)新發(fā)布會(huì)現(xiàn)場(chǎng)
而對(duì)于為何選擇與華為進(jìn)行合作時(shí)�,魏尚俊也表示“同全球領(lǐng)先的供應(yīng)商方案對(duì)比,上海聯(lián)通發(fā)現(xiàn)華為產(chǎn)品目前在大容量高精度性能及服務(wù)方面表現(xiàn)最佳�。所以選擇與華為公司展開(kāi)合作,共同推出了這款云清洗服務(wù)產(chǎn)品��。”
IDC如何防護(hù) DDoS攻擊
目前DDoS攻擊手段越來(lái)越復(fù)雜�����、攻擊流量越來(lái)越大等情況�,如何有效防止IDC遭受DDoS攻擊所帶來(lái)的巨大損失,對(duì)此魏尚俊表示:“首先上海聯(lián)通與華為技術(shù)在構(gòu)建云清洗方案時(shí)有幾個(gè)特別關(guān)注的性能��,第一是高容量�����,跟業(yè)界各種安全專家企業(yè)方案設(shè)計(jì)相比,普通的云清洗設(shè)備容量一般在幾十個(gè)G左右���,而華為設(shè)備容量可擴(kuò)展到T級(jí),也就是說(shuō)在建設(shè)初期就已經(jīng)考慮到后期的兼容性和擴(kuò)展性問(wèn)題��。第二華為方案采用了大數(shù)據(jù)分析技術(shù)��,并有專業(yè)的安全團(tuán)隊(duì)分析全球最新的攻擊工具及方法�����,如對(duì)僵尸網(wǎng)絡(luò)活動(dòng)進(jìn)行追蹤�,并將研究結(jié)果以僵尸網(wǎng)絡(luò)IP信譽(yù)、攻擊特征庫(kù)的形式更新到現(xiàn)網(wǎng)設(shè)備上�����,讓防護(hù)更加高效和精確���。第三華為方案采用了SDN技術(shù)�,可從源頭過(guò)濾攻擊流量���,亦可實(shí)現(xiàn)智能引流清洗�,在發(fā)生大流量DDoS攻擊時(shí),最大限度地保護(hù)聯(lián)通的網(wǎng)絡(luò)帶寬����。”
另外,魏尚俊還表示����,“后期上海聯(lián)通還會(huì)針對(duì)不同客戶采用差異化的防護(hù)策略,不僅僅在城域網(wǎng)采用逐包檢測(cè)+清洗的防護(hù)方案對(duì)IDC�、ISP客戶提供防護(hù)服務(wù)。對(duì)一些重要的VIP客戶��,我們還會(huì)考慮在客戶網(wǎng)絡(luò)接入處增加一個(gè)小型硬件設(shè)備����,實(shí)現(xiàn)檢測(cè)及客戶網(wǎng)絡(luò)帶寬范圍內(nèi)對(duì)DDoS攻擊進(jìn)行清洗,真正實(shí)現(xiàn)快速有效的云清洗�����。”
利用大數(shù)據(jù)技術(shù)預(yù)防DDoS攻擊
而在利用大數(shù)據(jù)技術(shù)防范DDoS攻擊方面�����,華為交換機(jī)與企業(yè)通信產(chǎn)品線安全產(chǎn)品經(jīng)理?xiàng)罾虮硎荆?ldquo;大數(shù)據(jù)技術(shù)主要體現(xiàn)在對(duì)流量模型的學(xué)習(xí)過(guò)程方面�,華為基于全流量逐包方法建立的攻擊檢測(cè)模型支持60多種之多��。其特點(diǎn)主要包括兩部分:首先系統(tǒng)會(huì)自動(dòng)學(xué)習(xí)客戶網(wǎng)絡(luò)的業(yè)務(wù)訪問(wèn)流量模型�����,這個(gè)流量模型經(jīng)過(guò)長(zhǎng)時(shí)間的學(xué)習(xí),形成防護(hù)網(wǎng)絡(luò)流量模型的 baseline�。其次,還會(huì)將業(yè)界流行的DDoS攻擊定義為異常的流量模型���。系統(tǒng)會(huì)利用這些流量模型實(shí)現(xiàn)攻擊預(yù)警�����,快速發(fā)現(xiàn)攻擊��。”
另外�����,楊莉表示�,“防御過(guò)程當(dāng)中也會(huì)運(yùn)用到大數(shù)據(jù)分析技術(shù)�����,防御系統(tǒng)向全球分析、共享的僵尸網(wǎng)絡(luò)IP信譽(yù)(僵尸網(wǎng)絡(luò)IP分析過(guò)程和信譽(yù)評(píng)估過(guò)程本身就是一種大數(shù)據(jù)技術(shù))�����,并通過(guò)本地IP信譽(yù)白名單及黑名單機(jī)制��,高效過(guò)濾業(yè)務(wù)流����,提升用戶體驗(yàn),同時(shí)直接阻斷位于黑名單列表的源IP的流量��,提升防御效率�。”
防止IDC淪為“僵尸云”
相信大家都有所耳聞亞馬遜云淪為“僵尸云”的報(bào)道。對(duì)此�����,楊莉也表示�,“華為Anti-DDoS方案在針對(duì)DC的防護(hù)上,不僅支持傳統(tǒng)的Inbound(對(duì)內(nèi)) DDoS攻擊防護(hù)����,還支持Outbound(對(duì)外) DDoS攻擊防護(hù),針對(duì)Outbound DDoS攻擊。傳統(tǒng)DC和云DC的服務(wù)器因?yàn)榫哂袃?yōu)勢(shì)的計(jì)算能力�、超大可用的網(wǎng)絡(luò)帶寬以及實(shí)時(shí)在線性,很多都淪為了僵尸主機(jī)���,成為網(wǎng)絡(luò)異常流量的源頭�����。
同時(shí)�����,楊莉認(rèn)為,“針對(duì)DC的Outbound DDoS防御不適合采用傳統(tǒng)的DDoS防御技術(shù)����,由于源認(rèn)證引起的流量會(huì)使DC內(nèi)部帶寬雪上加霜。華為系統(tǒng)采用包括僵尸網(wǎng)絡(luò)IP信譽(yù)�����、僵尸網(wǎng)絡(luò)通訊報(bào)文特征���,還有C&C域名等僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)來(lái)識(shí)別�、阻斷僵尸網(wǎng)絡(luò)控制報(bào)文。因此���,即使DC內(nèi)部服務(wù)器感染了僵尸網(wǎng)絡(luò)���,來(lái)自C&C的控制報(bào)文因被阻斷,得不到命令���,自然就解除了DC內(nèi)部服務(wù)器中僵尸之后向外發(fā)起異常流量的攻擊威脅����。針對(duì)DC的Outbound DDoS攻擊防御是華為方案的主要特點(diǎn)之一��,這也是華為方案基于全流量逐包檢測(cè)所具備的主要優(yōu)勢(shì)����。”
DDoS云清洗提供差異化服務(wù)
據(jù)悉,DDoS云清洗服務(wù)目前主要服務(wù)于上海聯(lián)通所有企業(yè)級(jí)用戶及IDC���、CDN等用戶�。而針對(duì)不同行業(yè)用戶上海聯(lián)通也提供了相應(yīng)的差異化服務(wù)��,魏尚俊表示:“上海聯(lián)通云清洗業(yè)務(wù)的服務(wù)對(duì)象是基于互聯(lián)網(wǎng)行業(yè)�,在互聯(lián)網(wǎng)上提供業(yè)務(wù)的客戶,不同的客戶有不同的業(yè)務(wù)場(chǎng)景,如機(jī)場(chǎng)�、校園網(wǎng)、網(wǎng)吧防護(hù)需求因業(yè)務(wù)不同而存在較大差異��。校園網(wǎng)主要以遠(yuǎn)程教育�、在線課堂、學(xué)術(shù)論壇等在線業(yè)務(wù)為主;機(jī)場(chǎng)主要以航班查詢��、機(jī)票預(yù)訂等在線業(yè)務(wù)為主����,他們的共同特點(diǎn)是容易遭受應(yīng)用型的CC攻擊。網(wǎng)吧客戶以游戲?yàn)橹��,客戶注重高速網(wǎng)絡(luò)體驗(yàn)���,而網(wǎng)吧的特點(diǎn)是行業(yè)間惡意競(jìng)爭(zhēng)導(dǎo)致的安全事件頻發(fā),尤其是以DDoS攻擊擠占帶寬�����。不同用戶攻擊類型不一樣�,防護(hù)需求也不一樣,上海聯(lián)通會(huì)針對(duì)于不同客戶提供基于業(yè)務(wù)防護(hù)需求的差異化防護(hù)�。
另外,魏尚俊表示:“云清洗服務(wù)作為上海聯(lián)通邁向網(wǎng)絡(luò)安全領(lǐng)域的第一步。在未來(lái)��,上海聯(lián)通準(zhǔn)備面向安全服務(wù)領(lǐng)域鑄造全新的綜合品牌�����,并愿與華為展開(kāi)進(jìn)一步合作�����,包括針對(duì)企業(yè)安全方面提供企業(yè)安全咨詢服務(wù)��、企業(yè)安全檢測(cè)服務(wù)等�,并在架構(gòu)實(shí)方面實(shí)現(xiàn)聯(lián)動(dòng)。我們相信通過(guò)與華為的進(jìn)一步合作�,上海聯(lián)通將面向用戶提供更多的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。”
最后��,我們不得不說(shuō)�,華為在大數(shù)據(jù)及SDN技術(shù)方面的不斷發(fā)展創(chuàng)新,無(wú)疑為網(wǎng)絡(luò)安全市場(chǎng)注入了一股新鮮力量���,為安全服務(wù)提供商及用戶實(shí)現(xiàn)DDoS攻擊防御及業(yè)務(wù)創(chuàng)新提供了基礎(chǔ)保障��,并從“源頭”做起��,有效保障了IDC及企業(yè)業(yè)務(wù)的安全流暢運(yùn)行�。
